Die Kartenzahlung in der Schweiz boomt. Vor allem seit der Möglichkeit, kontaktlos zu zahlen. Rund jede zweite Zahlung wird heute nach Angaben der Nationalbank mit einer kontaktlosen Debit- oder Kreditkarte getätigt. Doch: Wie sicher sind Bankkarten mit kontaktloser Zahlmöglichkeit? Diese Frage stellen sich viele Konsumentinnen und Konsumenten. «Kassensturz» macht das Experiment.
Abbuchungen dank «manipuliertem» Lesegerät
Zusammen mit zwei Experten des Cyber-Security-Unternehmens OneConsult testet «Kassensturz», ob und wie leicht sich Karten hacken lassen. Die «guten» Hacker setzen dazu ein Bankkarten-Lesegerät ein, das mit einem Verstärker gekoppelt ist. Dieses soll es möglich machen, Daten von Karten auszulesen – und unbemerkt Geld von Kreditkarten von Passanten abzubuchen.
Ein Treffer: 38 Franken abgebucht
Mit dem in einer Tasche versteckten Lesegerät stellt sich einer der Hacker auf einer Rolltreppe möglichst nahe an Besucher eines Einkaufscenters. Und tatsächlich: Bei einem ersten Testlauft mit dem «Kassensturz»-Reporter als Opfer gelingt das Abbuchen. Experte Adrian von Arx bestätigt: «Wir haben eine Abbuchung machen können: 38 Franken von Ihrer Kreditkarte.» Zum Beweis zeigt er auf einem Laptop die Buchungs-Bestätigung. Allerdings: Bei diesem Versuch wusste der Experte, wo das Portemonnaie verstaut war.
Die Hacker setzen das Experiment fort. Im Getümmel der Wochenendeinkäufer schleicht von Arx mehrmals in die Nähe nichtsahnender Passanten. Diese wurden zuvor von «Kassensturz» angesprochen, ob sie bei einem Experiment mitmachen würden. Worum es dabei ging, wurde nicht aufgedeckt.
Weitere Versuche scheitern
Insgesamt probieren es die Experten bei acht «Opfern». Beruhigend: Bei keinem der Versuche gelingt der «Diebstahl». Es komme sehr darauf an, wo das Portemonnaie mit den Bankkarten liege, erklärt Adrian von Arx: «Es war wohl die Kombination aus der Lage der Karten in den Taschen, welche Karten mit dabei waren und ob sie überhaupt die Kontaktlos-Möglichkeit boten», sagt Jan Alsenz von OneConsult, der ebenfalls am Experiment beteiligt war. «Für die Kartenbesitzer ist das aber ein erfreuliches Resultat.»
Fazit des «Kassensturz»-Experiments: in acht von neun Fällen konnten die Hacker kein Geld von Kontaktlos-Karten abbuchen. Lediglich beim ersten Test unter idealen Bedingungen gelang dies. Heisst: Für Langfinger gibt es wohl einfachere Wege, um an Geld zu kommen.
