NewsOff Topic

NFC Kreditkarte von Number26: Das ungeschützte Sicherheistrisiko?

Number26, NFC und die Kreditkarte mit Problem

Immer mehr Banken in Europa rüsten technisch auf und geben an ihre Kunden eine NFC-taugliche Kreditkarte aus. Damit soll unter anderem der Bezahlvorgang an der Kasse einfacher werden, was prinzipiell zu begrüßen ist. Trotzdem darf dabei nicht die Sicherheit der Karten und der darauf gespeicherten Daten vernachlässigt werden, wie das aktuelle Beispiel des Online Bankunternehmen Number26 zeigt.

In Deutschland haben Kreditkarten prinzipiell eine bedeutend geringere Verbreitung im Vergleich zu anderen Ländern, woran auch die NFC Kreditkarte nicht viel ändern wird. Der deutsche Kunde vertraut der Technik und deren Sicherheit nicht so recht über den Weg und das vielleicht auch aus gutem Grund. Number26, ein gefeiertes Fin-Tech-Startup aus Berlin, hat derzeit mit einem größeren Sicherheitsproblem zu kämpfen und bei Nachforschungen stellte sich heraus, dass diese Bank bei weitem nicht alleine ist.

Sensible Daten auf der NFC Kreditkarte

Das Problem: Mit Hilfe eines NFC-fähigen Android Smartphones, einer simplen App zum Auslesen von NFC-Tags und einer NFC Kreditkarte von Number26, der Fidor Bank AG, ING DiBa und sogar American Express (AmEx) lassen sich auf den Karten gespeicherte Daten auslesen. Während es sich bei der ING DiBa, Fidor Bank AG und AmEx auf die Kartennummer und das Ablaufdatum der jeweiligen NFC Kreditkarte beschränkt, sind es bei den Number26-Karten von MasterCard und Maestro zudem die 10 zuletzt durchgeführten Transaktionen. Inklusive Betrag, der Währung und dem Datum.

Entdeckt hatte die Sicherheitslücke Christian Hawkins, welcher seine Erkenntnisse rund um die NFC Kreditkarte von Number26 auf seinem Blog MetaBubble veröffentlichte.

Das Gefährliche an der Sache ist nicht nur die Möglichkeit, quasi im Vorbeigehen sensible Daten per NFC auszulesen, sondern das Geschäfte auch eine – wenn auch nur sehr geringe und nicht viel aussagende – Kauf-Historie von einzelnen Kunden anlegen können. Wer eine NFC-Kreditkarte oder eine andere NFC-fähige Geldkarte sein Eigen nennt, kann den Selbsttest mit einer kostenlosen Android-App durchführen.

Scheckkartenleser NFC (EMV)
Scheckkartenleser NFC (EMV)
Entwickler: Julien MILLAU
Preis: Kostenlos

Laut Entdecker Hawkins sollen Karten von Comdirect, Consorsbank sowie anderen Kreditinstituten nicht von dem Sicherheitsproblem betroffen sein. Wichtig für den Versuch ist dabei ein sogenannter EMV-Chip, auf welchem die Daten gespeichert sind. In erster Linie soll dieser für die Echtheit der Karte sorgen und vor einer gefälschten Kreditkarte schützen, ist aber eben je nach Einstellungen des Herausgebers der Karten auch als Datenspeicher nutzbar.

Einem offiziellen Statement von Number26 gegenüber den Kollegen von t3n sei dies aber nicht der Fall. So würden auch andere NFC-fähige Kreditkarten die Daten ohne dem Wissen des Nutzers speichern, wobei man hier nicht weiter auf die Kartengemeinschaft eingehen wollte. Das Startup versicherte lediglich, dass man mit dem Hersteller der Chip-Karten sowie den anderen Partnern das Problem näher anzuschauen.
Was Number26 offiziell dazu zu sagen hat, könnt ihr im folgenden Klapptext lesen.

[EXPAND Offizielle Stellungnahme von Number26]

Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.

Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.

Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.

Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig.

Der Fehler liegt nicht nur bei Number26

Was man bei der ganzen Sache jedoch nicht vergessen darf ist der Punkt, dass Number26 selbst nicht für das Datenleck der NFC Kreditkarte verantwortlich ist. Das Startup selbst zum Beispiel wartet noch immer auf seine offizielle Bankenlizenz, sodass als Herausgeber der MasterCard sowie Maestro-Card die Wirecard Bank fungiert. Von daher ist dieses Kreditinstitut eher die Ursache für das Problem, was jedoch bei der Berichterstattung nicht sofort ersichtlich ist.

Geht es nach den Mitgliedern des Rat Pack, Experten aus dem Bereich der Finanz-Technologie, dann muss nicht einmal die Wirecard Bank selbst der Auslöser sein. Da die Software des EMV-Chips neben den herausgebenden Finanzinstituten auch vom Hersteller der jeweiligen Karte definiert wird, könnte auch da die Ursache liegen. Manche Banken setzen sogar auf das Auslesen der Daten. So ist das Auslesen per App inklusive der zuletzt getätigten Einkäufe bei der GiroGo-Karte des Sparkassenverbundes sogar ein extra genanntes Feature.

Unterm Strich sind zwar keine wirklich gefährlichen Daten die ausgelesen werden können, aber der Vorfall zeigt, dass eine NFC Kreditkarte alles andere als wirklich sicher ist. Das Peinliche an der Sache ist daher vielmehr, dass Number26 gar nichts von dem potentiellen Sicherheitsleck wusste.
Im Bezug darauf ist ein Kommentar-Artikel von t3n zu empfehlen: Letzten Endes wird viel Wind um ein Thema gemacht, dessen Problem tatsächlich nur sehr wenige Rückschlüsse überhaupt auf den Nutzer zulässt.

[Quelle: t3n]

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert