Zum Inhalt springen

Header

Video
Hacking-Experiment: Angriff auf Karten mit Kontaktlos-Funktion
Aus Kassensturz vom 04.06.2019.
abspielen
Inhalt

Sicherheit von Bankkarten Hacking-Experiment: Geld von Kontaktlos-Karte abgebucht

Unter idealen Bedingungen lassen sich Karten mit Kontaktlos-Funktion hacken. Das zeigt ein Experiment von «Kassensturz».

Die Kartenzahlung in der Schweiz boomt. Vor allem seit der Möglichkeit, kontaktlos zu zahlen. Rund jede zweite Zahlung wird heute nach Angaben der Nationalbank mit einer kontaktlosen Debit- oder Kreditkarte getätigt. Doch: Wie sicher sind Bankkarten mit kontaktloser Zahlmöglichkeit? Diese Frage stellen sich viele Konsumentinnen und Konsumenten. «Kassensturz» macht das Experiment.

Abbuchungen dank «manipuliertem» Lesegerät

Zusammen mit zwei Experten des Cyber-Security-Unternehmens OneConsult testet «Kassensturz», ob und wie leicht sich Karten hacken lassen. Die «guten» Hacker setzen dazu ein Bankkarten-Lesegerät ein, das mit einem Verstärker gekoppelt ist. Dieses soll es möglich machen, Daten von Karten auszulesen – und unbemerkt Geld von Kreditkarten von Passanten abzubuchen.

Was nützen NFC/RFID-Schutzhüllen für Debit- und Kreditkarten?

Personen-Box aufklappenPersonen-Box zuklappen

Die Vereinigung der Kreditkarten-Herausgeber erklären:

«Kreditkarten sind – wenn die gängigen Sorgfaltspflichten eingehalten werden – sehr sicher (und sicherer als Bargeld). Das heisst konkret: Schutzhüllen sind unnötig. Hier wird höchstens versucht, mit den (unbegründeten) Befürchtungen ganz vereinzelter Karteninhaber ein Geschäft zu machen.

Quelle: Swiss Payment Association

Ein Treffer: 38 Franken abgebucht

Mit dem in einer Tasche versteckten Lesegerät stellt sich einer der Hacker auf einer Rolltreppe möglichst nahe an Besucher eines Einkaufscenters. Und tatsächlich: Bei einem ersten Testlauft mit dem «Kassensturz»-Reporter als Opfer gelingt das Abbuchen. Experte Adrian von Arx bestätigt: «Wir haben eine Abbuchung machen können: 38 Franken von Ihrer Kreditkarte.» Zum Beweis zeigt er auf einem Laptop die Buchungs-Bestätigung. Allerdings: Bei diesem Versuch wusste der Experte, wo das Portemonnaie verstaut war.

Zahlungsbeleg Kreditkarte.
Legende: Der Beleg: Die 38 Franken wurden unbemerkt abgebucht. SRF

Die Hacker setzen das Experiment fort. Im Getümmel der Wochenendeinkäufer schleicht von Arx mehrmals in die Nähe nichtsahnender Passanten. Diese wurden zuvor von «Kassensturz» angesprochen, ob sie bei einem Experiment mitmachen würden. Worum es dabei ging, wurde nicht aufgedeckt.

Weitere Versuche scheitern

Insgesamt probieren es die Experten bei acht «Opfern». Beruhigend: Bei keinem der Versuche gelingt der «Diebstahl». Es komme sehr darauf an, wo das Portemonnaie mit den Bankkarten liege, erklärt Adrian von Arx: «Es war wohl die Kombination aus der Lage der Karten in den Taschen, welche Karten mit dabei waren und ob sie überhaupt die Kontaktlos-Möglichkeit boten», sagt Jan Alsenz von OneConsult, der ebenfalls am Experiment beteiligt war. «Für die Kartenbesitzer ist das aber ein erfreuliches Resultat.»

Video
Cyber-Security-Experte Jan Alsenz: «Die Kombination führte wohl dazu, dass es keinen Treffer gab.»
Aus Kassensturz vom 04.06.2019.
abspielen

Fazit des «Kassensturz»-Experiments: in acht von neun Fällen konnten die Hacker kein Geld von Kontaktlos-Karten abbuchen. Lediglich beim ersten Test unter idealen Bedingungen gelang dies. Heisst: Für Langfinger gibt es wohl einfachere Wege, um an Geld zu kommen.

Schliessen

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

11 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

verfügbar sind noch 500 Zeichen

Mit dem Absenden dieses Kommentars stimme ich der Netiquette von srf.ch zu.

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.