NFC und girogo: Das Geld liegt in Bus und Bahn


Am 05.06.2012 gab es im Radio bei WDR5 den Beitrag „Lauschangriff per Funk“. Dort wird erklärt, dass die Daten von neuen Kreditkarten, die mit einem NFC-Chip ausgestattet sind, relativ leicht von Unbefugten ausgelesen werden können. Zwar fragt der Chip manchmal nach dem 3-stelligen Sicherheits-Code, aber eben nicht immer.

Nachhören kann man den Beitrag hier:

[audio:http://www.wlabs.de/wp-content/files/2012/06/au120605lesen_der_kreditkarten.mp3]

Vor diesem Hintergrund hat die Sparkasse „girogo“ angekündigt, ein kontaktloses Bezahlverfahren, bei dem der NFC-Chip der Karte mit bis zu 200€ aufgeladen werden kann und dann Einzel-Beträge von bis zu 20€ bezahlen kann.

Von einem Sicherheits-Code wie bei den oben erwähnten Kreditkarten habe ich nichts finden können. Viel mehr schreibt die Sparkasse auf die Frage „Wie sicher ist girogo?“ folgendes:

Wenn Sie Ihr Portemonnaie verlieren, ist das darin befindliche Bargeld in der Regel weg. Ebenso verhält es sich mit dem in der elektronischen Geldbörse gespeicherten Geld. Es kann aber nur das Guthaben verloren gehen, das Sie auf dem Chip Ihrer Karte gespeichert haben.

Daraus kann man indirekt schließen, dass jeder, der physischen Zugriff auf die Karte hat, an das Geld der „elektronischen Geldbörse“ kommen kann. Aber eigentlich muss man nicht mal die Karte besitzen, man muss nur nah genug ran kommen.

Mal sehen, wann es hier die ersten Geräte oder Apps für Smartphones mit NFC-Chip gibt, mit denen man dann Geld in zB. Bus und Bahn „einsammeln“ kann.


3 Antworten zu “NFC und girogo: Das Geld liegt in Bus und Bahn”

  1. Hallo Artur,

    ich arbeite bei einer Sparkasse und Du kannst beruhigt sein. Wenn jmd. Geld vom Chip abbuchen möchte, dann benötigt er eine physisches Sicherheitsmodul von einer dt. Bank. Wird dann ein Zahlvorgang ausgelöst, wird in der Zahldatei gespeichert, von welcher Kartennummer das Geld kommt und an welche Kartennummer das Geld geht. Über die Empfängerkartennummer kann man „mit berechtigten“ Interesse nachvollziehen lassen, an welches Bankkonto das Geld ging… . Im Übrigen denken auch Diebe wirtschaftlich. Für max 20€ ist es zu aufwändig, das System überhaupt anzugreifen. Weiterhin ist die Karte meist in einer Geldbörse, die selbst schirmt die Antenne gut ab.

    Nicht immer gleich alles schlecht reden, ohne eine Recherche. Denn dass machen z.Zt. leider nicht mal mehr die Redakteure von WISO & Co. …
    VG René

    Und…keiner wird gezwungen, die Funktion zu nutzen.

    • Hallo René, danke für deine Erläuterungen.

      gibt es zu dem erwähnten „physischen Sicherheitsmodul“ noch irgendwo weitere Informationen? Auf girogo.sparkasse.de habe ich dazu nichts finden können.
      Und ich denke schon, dass ein solches Angriffs-Szenario wirtschaftlich ist, vor allem in Großstädten. Wenn es nur genug Menschen nutzen, werden sich auch Kriminelle nicht lange bitten lassen. Und dazu können ja bei physikalischem Zugriff auf die Karte bis zu 200€ drin sein.

      Zum Glück muss vorerst niemand diese Funktion nutzen. Ich möchte auch nicht die Technik an sich schlecht reden, sie wird, wie es eben üblich ist, nie vollkommen ausgereift sein. Aber wenn mein Beitrag etwas zeigen soll, dann das, dass die Informations-Poitik zum Thema Sicherheit nicht wirklich funktioniert hat.

  2. Guten Morgen,

    auch in Ballungszentren wird keiner angreifen, weil das Geld erst auf ein dt. Bankkonto überwiesen wird, bevor man es verfügen kann. Der Beweis dafür ist das schnelle „Deaktivieren“ von Finanzagenten in Deutschland (Empfänger von Überweisungen aus Onlinebetrügereien). Geht Geld auf diesen Konten ein, ist es innerhalb von 1-2 Tagen gesperrt und das LKA aktiv.

    Um den (mit Sicherheit nicht geladenen) Höchstbetrag in Höhe von 200€ zu entladen muss die Karte physisch in ein Terminal gesteckt werden, das bleibt sicher nicht unbemerkt.
    Wird man Überfallen, ist es halt wie Bargeld, da spielt sicher auch kaum jmd. den Helden. Im Nachinein kann man aber einfach den Empfänger ermitteln lassen, was bei Bargeld unmöglich ist… . Also ist es in diesem Punkt sogar besser als Bargeld.

    Details zur Sicherheit findet man unter http://www.geldkarte.de, den die seit 16 Jahren sichere GeldKarte bildet das technische Rückgrat für girogo. Einfach nach Sicherheit oder Händlerkarte auf der Seite suchen und lesen.

    Eine Informationspolitik hat es seitens der dt. Kreditwirtschaft noch nicht gegeben, weil gerade erst der Pilotversuch läuft. Ich denke im 2. HJ wird sicher noch etwas kommen. Außerdem interessieren sich die Medien kaum für Fakten, selbst WISO behauptet die Karten würden ständig funken…, mit welcher Energiequelle bitte? Angst und Misstrauen schüren bringt aber auch mehr Einschaltqoute 🙁 . Zudem werden ständig MasterCard, Visacard und girogo in einen „Topf“ geworfen und das ist technisch einfach ein Affront.

    VG René