Deine NFC-Kreditkarte weiß, was du letzten Sommer getan hast

News

Das Thema kontaktloses Bezahlen greife ich hier im Blog häufiger mal auf. Ich verfolge diese Art der Technologie ziemlich genau. Es gibt aber immer wieder Aspekte, bei denen sich schnell herausstellt, dass Wissenslücken bei der Nutzerschaft bestehen. Eine davon ist die Transaktionshistorie von Kredit- und Debit-Karten.

Die Überschrift dieses Beitrags soll das ganze Thema etwas überspitzt auf den Punkt bringen. Einige Karten speichern nämlich Daten zu euren zehn zuletzt geführten „Steck-Transaktionen“ (also keine Online-Transaktionen und keine Drahtlos-Zahlungen) direkt auf der Karte und ermöglichen gleichzeitig das problemlose Auslesen dieser. Ich führe hier einige Karten beispielhaft an, diese sollen aber nicht automatisch stellvertretend für alle (kontaktlosen) Bezahlkarten sein.

Weiterhin ist anzumerken, dass dies genau so (oder noch viel häufiger) für NFC-Debitkarten gilt, also nicht nur für NFC-Kreditkarten. NFC darum, weil das einfach die Schnittstelle zum Auslesen ist.

Kartenchip als Speicher

Der Chip auf solch einer Bezahlkarte ist im Grunde ein kleiner Computer, der diverse Funktionen erfüllen soll. Unter anderem hat dieser auch einen beschreibbaren Speicher. Auf diesem Speicher werden unter Umständen vergangene Transaktionen abgelegt. So ist für jeden mit einem NFC-Leser sichtbar, wann ihr welche Transaktionen getätigt habt. Datum und Höhe der Zahlung kann problemlos ausgelesen werden, einen Betreff oder den Shop kann man nicht einsehen.

Kann jeder auslesen: Kreditkarten-Transaktionen

Number26, Fidor SmartCard, GiroGo und mehr auslesbar

Nachweislich geschieht das bei den Karten (Maestro und MasterCard) des „App-Konto“ Number26, aber auch zum Beispiel bei der Fidor SmartCard. In Sachen Number26 hat das Christian bestätigt, bei der Fidor-Karte konnte ich es selbst verifizieren (siehe Screenshot). Auch von der ING DiBa Kreditkarte ist es bekannt. Ebenfalls machen das die Sparkassenkarten mit GiroGo, daraus macht die Sparkasse auch kein Geheimnis (siehe PDF).

Etwas heikel ist, dass jeder, der irgendwie in die Nähe der Karte kommt, Zugriff auf diese Transaktionshistorie haben kann und das dazu nichts in den Datenschutzbestimmungen der jeweiligen Unternehmen aufgeführt ist. Es sei aber auch nochmal klar gesagt, dass das nicht bei allen NFC-Karten der Fall ist. Ihr dürft gerne in den Kommentaren ergänzen, wie das bei euch ausschaut.

Das ist nun kein Datenleak-Supergau, aber es ist meines Erachtens auf jeden Fall erwähnenswert. Euer Partner (oder sonst jemand) braucht nur ein NFC-fähiges Smartphone und eine kostenfreie App, um mal zu schauen, wie viel Geld ihr an welchen Tagen mit der Karte ausgegeben habt. ;-)

Einfach ausprobieren

Probiert es selbst einfach mal aus. Ihr benötigt nur ein NFC-fähiges Smartphone und zum Beispiel die (in der Basisversion kostenfreie) Android-App „Scheckkarteleser NFC (EMV)“.

[appbox googleplay com.github.devnied.emvnfccard]

Update

Damit zu diesem Thema alle Seiten zu Wort kommen können, gibt es nachfolgend eine Stellungnahme von Number26, die uns soeben per E-Mail erreicht hat. Was man zum Thema zu sagen hat stimmt soweit, nichts anderes wurde behauptet. Es wird aber nicht erwähnt, dass dies längst nicht bei allen Karten der Fall ist. Einen „Zwang“ für die Anbieter scheint es also nicht zu geben.

Warum das Speichern der Transaktionshistorie auf der Karte erfolgt, erklärt das Unternehmen leider nicht.

Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.

Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.

Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.

Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig.

[vote 5694af1a85c8601100016d80]


Fehler meldenKommentare

  1. Das DISQUS-Kommentarsystem verarbeitet personenbezogene Daten. Das System wird aus diesem Grund erst nach ausdrücklicher Einwilligung über nachfolgende Schaltfläche geladen. Es gilt die Datenschutzerklärung.

Du bist hier:
mobiFlip.de / Dienste / News / ...