Zum Inhalt springen

Sicherheit von Bankkarten Hacking-Experiment: Geld von Kontaktlos-Karte abgebucht

Unter idealen Bedingungen lassen sich Karten mit Kontaktlos-Funktion hacken. Das zeigt ein Experiment von «Kassensturz».

Die Kartenzahlung in der Schweiz boomt. Vor allem seit der Möglichkeit, kontaktlos zu zahlen. Rund jede zweite Zahlung wird heute nach Angaben der Nationalbank mit einer kontaktlosen Debit- oder Kreditkarte getätigt. Doch: Wie sicher sind Bankkarten mit kontaktloser Zahlmöglichkeit? Diese Frage stellen sich viele Konsumentinnen und Konsumenten. «Kassensturz» macht das Experiment.

Abbuchungen dank «manipuliertem» Lesegerät

Zusammen mit zwei Experten des Cyber-Security-Unternehmens OneConsult testet «Kassensturz», ob und wie leicht sich Karten hacken lassen. Die «guten» Hacker setzen dazu ein Bankkarten-Lesegerät ein, das mit einem Verstärker gekoppelt ist. Dieses soll es möglich machen, Daten von Karten auszulesen – und unbemerkt Geld von Kreditkarten von Passanten abzubuchen.

Was nützen NFC/RFID-Schutzhüllen für Debit- und Kreditkarten?

Box aufklappen Box zuklappen

Die Vereinigung der Kreditkarten-Herausgeber erklären:

«Kreditkarten sind – wenn die gängigen Sorgfaltspflichten eingehalten werden – sehr sicher (und sicherer als Bargeld). Das heisst konkret: Schutzhüllen sind unnötig. Hier wird höchstens versucht, mit den (unbegründeten) Befürchtungen ganz vereinzelter Karteninhaber ein Geschäft zu machen.

Quelle: Swiss Payment Association

Ein Treffer: 38 Franken abgebucht

Mit dem in einer Tasche versteckten Lesegerät stellt sich einer der Hacker auf einer Rolltreppe möglichst nahe an Besucher eines Einkaufscenters. Und tatsächlich: Bei einem ersten Testlauft mit dem «Kassensturz»-Reporter als Opfer gelingt das Abbuchen. Experte Adrian von Arx bestätigt: «Wir haben eine Abbuchung machen können: 38 Franken von Ihrer Kreditkarte.» Zum Beweis zeigt er auf einem Laptop die Buchungs-Bestätigung. Allerdings: Bei diesem Versuch wusste der Experte, wo das Portemonnaie verstaut war.

Zahlungsbeleg Kreditkarte.
Legende: Der Beleg: Die 38 Franken wurden unbemerkt abgebucht. SRF

Die Hacker setzen das Experiment fort. Im Getümmel der Wochenendeinkäufer schleicht von Arx mehrmals in die Nähe nichtsahnender Passanten. Diese wurden zuvor von «Kassensturz» angesprochen, ob sie bei einem Experiment mitmachen würden. Worum es dabei ging, wurde nicht aufgedeckt.

Weitere Versuche scheitern

Insgesamt probieren es die Experten bei acht «Opfern». Beruhigend: Bei keinem der Versuche gelingt der «Diebstahl». Es komme sehr darauf an, wo das Portemonnaie mit den Bankkarten liege, erklärt Adrian von Arx: «Es war wohl die Kombination aus der Lage der Karten in den Taschen, welche Karten mit dabei waren und ob sie überhaupt die Kontaktlos-Möglichkeit boten», sagt Jan Alsenz von OneConsult, der ebenfalls am Experiment beteiligt war. «Für die Kartenbesitzer ist das aber ein erfreuliches Resultat.»

Fazit des «Kassensturz»-Experiments: in acht von neun Fällen konnten die Hacker kein Geld von Kontaktlos-Karten abbuchen. Lediglich beim ersten Test unter idealen Bedingungen gelang dies. Heisst: Für Langfinger gibt es wohl einfachere Wege, um an Geld zu kommen.

Meistgelesene Artikel