NFC Security: Wann kontaktloses Bezahlen sicher ist

Near Field Communication (NFC) hat spätestens seit der welt­weiten Covid-19-Pandemie Hoch­konjunktur: RFID-Chips in Bank- und Kredit­karten, Personal­ausweisen oder Smart­phones ermög­lichen den Aus­tausch von Daten und das Bezahlen an der Kasse ohne physischen Kontakt. Aber auch ohne sonstige Risiken?

Kein Kontakt, kein Risiko?

Von Dirk Bongardt

Gesundheitsrisiko Bargeld? Rund 3000 unterschiedliche Bakterienarten auf Geldscheinen haben Forscher der New York University bereits 2014 im Rahmen des Dirty Money Projects gezählt. Alternativen zum Bezahlen mit Bargeld gibt es zwar schon lange. Doch speziell in Deutschland dauert es traditionell lange, bis sich solche Alternativen sowohl bei Händlern als auch bei Kunden durchsetzen – wenn überhaupt, wie das Scheitern der einst gefeierten GeldKarte anschaulich belegt. Trotz der gestiegenen Popularität sind auch zum kontaktlosen Bezahlen per NFC (Near Field Communication) kritische Stimmen zu hören. Vor allem solche, die vor technischen Risiken warnen.

Diebstahl: Mythos und Wahrheit

Beim Bezahlen via NFC hält der Kunde seine Kredit- oder Girokarte respektive sein Smartphone nah an ein entsprechendes Lesegerät. Das Lesegerät sendet elektromagnetische Signale an den NFC-Chip in der Karte des Kunden und empfängt dann von diesem die für die Abwicklung der Zahlung erforderlichen Daten. Das Ganze spielt sich in Bruchteilen von Sekunden ab. Bei Beträgen unterhalb des von der Bank festgelegten Limits (maximal 50, häufig noch 25 Euro) muss der Käufer die Zahlung auch nicht mit einer PIN autorisieren. Diese Leichtigkeit macht vielen Angst, und durch die Boulevardmedien geistern immer wieder Geschichten von Dieben, die, mit einem mobilen Lesegerät bewaffnet, von hinten an arglose Kreditkartenbesitzer herantreten und durch deren Gesäßtasche hindurch kontaktlos Geld vom Konto entwenden.

Doch ganz so einfach ist der Diebstahl nicht: Zwar sind bereits Lesegeräte für nicht viel mehr als 20 Euro zu bekommen. Damit ein Dieb damit aber Geld abbuchen kann, benötigt er einen Vertrag mit einem Zahlungsdienstleister, der ihm das Geld auf ein Bankkonto transferiert. Um nicht aufzufliegen, müsste ein NFC-Taschendieb vor seinem Raubzug also mit falscher Identität sowohl einen Vertrag mit einem Bezahldienstleister schließen als auch ein Girokonto eröffnen. Beides ist passé, sobald der erste Geschädigte Anzeige erstattet oder sich auch bloß an seine Bank wendet, weil er den illegal abgebuchten Betrag auf seinem Kontoauszug entdeckt hat.

Die Technik hinter NFC

Passive NFC-Chips, wie sie in Geldkarten oder Plastik-Tags eingesetzt werden, bestehen aus einem Mikrochip, einem Kondensator und einer Antenne in Form einer Metallspule. NFC-Lesegeräte – dazu zählen auch NFC-fähige Smartphones – erzeugen ein elektromagnetisches 13,56-MHz-Wechselfeld. Die Antenne eines in unmittelbarer Nähe befindlichen NFC-Chips nimmt die Hochfrequenzenergie auf, der Kondensator puffert sie und versorgt den Mikrochip mit Energie. Um Daten zu übertragen, moduliert das Lesegerät dieses Feld, was der NFC-Chip als Daten interpretiert. Die Übertragungsgeschwindigkeit beträgt bis zu 424 kBit/s. Ein Datenaustausch zwischen Lesegerät und passivem NFC-Chip ist nur über eine Distanz von maximal 10 cm möglich, in der Praxis sind die Abstände gewöhnlich noch geringer. Größere Distanzen sind beim Einsatz von aktiven NFC-Transpondern möglich, die eine eigene Stromversorgung haben. Die kommen aber in Geldkarten oder Personalausweisen nicht zum Einsatz.

Hinzu kommt, dass NFC-Zahlungen nicht nur bei Beträgen oberhalb des festgelegten Limits per PIN bestätigt werden müssen, sondern nach fünf Transaktionen unabhängig von der Höhe des Betrages. Außerdem ist eine kontaktlose Transaktion zwischen Lesegerät und den in Kreditkartenchips eingesetzten passiven RFID-Transpondern nur aus wenigen Zentimetern Distanz möglich – nicht aus Distanzen von mehreren Metern, wie es oft heißt. Und: Erhält das Lesegerät Antwortsignale von mehr als einem Transponder (zum Beispiel, weil das Diebstahlopfer in spe neben einer NFC-fähigen Kreditkarte auch noch einen aktuellen Personalausweis in der Tasche trägt), scheitert die Kommunikation meist insgesamt. Für Diebe ist das kontaktlose Klauen also mit hohem Aufwand bei vergleichsweise geringen Erträgen verbunden.

Anders sieht das freilich bei einem physischen Diebstahl aus: Wer eine NFC-fähige Kreditkarte stiehlt, kann, wenn es gut für ihn läuft, in mehreren Geschäften hintereinander für bis zu 150 Euro einkaufen, bis er eine PIN eingeben muss. Hat der Dieb die PIN nicht, verliert die Karte danach jeden Wert für ihn. Vor physischem Diebstahl müssen sich allerdings auch die Verwender von Kredit- oder Girokarten ohne NFC in Acht nehmen.

ITK-Unternehmen 2020-01.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „IT- und Technologie­unternehmen stellen sich vor“. Einen Über­blick mit freien Downl­oad-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

NFC per Smartphone

Die in vielen Smartphones verbaute NFC-Technik bietet ganz unterschiedliche Möglichkeiten. So lassen sich etwa schnell und ohne großen Aufwand Fotos zwischen zwei Smartphones austauschen. Und natürlich ist auch mit dem Smartphone kontaktloses Bezahlen möglich, etwa über Google Pay oder Apple Pay.

Auch hier ist das Risiko, im Vorbeigehen per mobilem Lesegerät um sein Geld gebracht zu werden, real, aber gering. Einige Bezahl-Apps lassen sich so konfigurieren, dass ein Bezahlen nur bei entsperrtem Handy möglich ist. Verwendet der Nutzer eine sichere Displaysperre, muss er sich dann zumindest um die Bezahlfunktion keine Sorgen machen, falls ihm sein Smartphone gestohlen wird.

NFC-Bezahlkarten und -Ausweise sicher aufbewahren
Das Verhältnis von Aufwand und Ertrag beim Versuch, mit NFC-Lesegeräten Geld zu stehlen, ist für die Diebe ungünstig. Wer es solchen Tricksern noch schwerer machen will, hat zusätzliche Optionen:

  • NFC-Karten zusammen aufbewahren: Erhalten NFC-Lesegeräte mehrere Antworten parallel, können sie mit den erhaltenen Daten in der Regel nichts mehr anfangen.
  • RFID-Blocker: Solche Blocker im Kreditkartenformat senden beim Versuch, die in der Brieftasche deponierten NFC-Karten zu scannen, massive Störsignale.
  • Spezialbeschichtung: Schon für 20 bis 30 Euro bieten einige Hersteller Brieftaschen oder Schutzhüllen an, die Karten wirksam gegen NFC-Funksignale abschirmen. Auch handelsübliche Alufolie verhindert NFC-Kommunikation.

Banken begrenzen bei Karten und auch bei Smartphones die Haftung der Bestohlenen für unberechtigte Zahlungen in der Regel auf 50 Euro. Bei grober Fahrlässigkeit kann das aber anders aussehen: Wer in der Hülle seines Smartphones einen Zettel mit der Entsperr-PIN aufbewahrt, bleibt eventuell auf dem gesamten Schaden allein sitzen.

Smartphones bieten Kriminellen allerdings auch noch ganz andere Angriffsflächen: Gelingt es ihnen, ein Schadprogramm auf einem Smartphone zu platzieren, können sie mit dessen Hilfe die Sicherheitsmechanismen von NFC-Apps aushebeln. Wer sein Smartphone als digitale Geldbörse nutzen möchte, sollte sich also noch besser überlegen, welche Apps er installiert, und nur in begründeten Einzelfällen Apps aus unbekannten Quellen zulassen.

Ausgerechnet eine der prominenteren NFC-Apps wies bis Oktober 2019 eine kritische Sicherheitslücke auf: Android Beam. Die App dient eigentlich dem bequemen Austausch von Dateien zwischen Android-Smartphones und nicht dem Abwickeln von Zahlungen. Mithilfe manipulierter NFC-Lesegeräte – etwa an Bezahlterminals – wäre es aber möglich gewesen, auf dem betroffenen Android-Gerät unbemerkt Schadsoftware zu installieren, während der Nutzer über eine andere NFC-App seinen Einkauf bezahlt.

Kontaktloser Identitätsdiebstahl?

Bereits seit 2010 sind Personalausweise mit einem RFID-Chip ausgestattet, der die auf dem Ausweis aufgedruckten Daten in digitaler Form enthält. Neben Namen, Anschrift, Geburtsort und -datum ist auch das Passfoto auf dem Chip gespeichert. Bürger können zudem ihre Fingerabdrücke im Chip hinterlegen, verpflichtend wird das aber erst für Personalausweise, die ab August 2021 ausgestellt werden. Der Zugriff auf diese Daten ist über ein Zertifikat gesichert, ohne PIN lassen sich die Daten nicht maschinell auslesen. Speziell auf die biometrischen Daten, also das Foto und gegebenenfalls die Fingerabdrücke, sollen nur staatliche Behörden Zugriff erhalten.

In einem Proof of Concept ist es Sicherheitsforschern von SEC-Consult im Sommer 2018 allerdings gelungen, diese Daten zu manipulieren, ohne die digitale Signatur ungültig zu machen. Beim Bundesamt für Sicherheit in der Informationstechnik wurde diese Sicherheitslücke gelassen zur Kenntnis genommen – die von den Forschern ausgenutzte Schwachstelle komme lediglich in einer Demo-Anwendung zum Tragen, hieß es, Manipulationen der Ausweisdaten würden im echten Einsatz zuverlässig erkannt.

Wer um seine persönlichen Daten fürchtet, sollte in jedem Fall darauf achten, seinen Ausweis sicher aufzubewahren und nur dort vorzuzeigen, wo er benötigt wird, etwa an Hotelrezeptionen oder bei behördlichen Kontrollen.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.


Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links