Beim Bezahlen ausgespäht: Datenspione an der Kasse?

Das kontaktlose Bezahlen "Girogo" birgt ein Datenschutzrisiko
"Girogo"-System

Foto: dpa/Sparkassenverband

Das kontaktlose System soll es künftig möglich machen, ein zuvor auf die Karte geladenes Guthaben drahtlos abzubuchen und damit kleine Einkäufe bis 20,- Euro zu begleichen.

Immer schneller, besser und weiter muss es in der Welt zu gehen. So heißt es zumindest in der Marketingstrategie von zahlreichen Unternehmen. Auch Banken sind längst auf diesen Zug aufgesprungen: Jetzt testen einige von ihnen das kontaktlose Bezahlen. Vor rund drei Monaten hat in Niedersachsen ein Pilotprojekt bei Sparkassen, Raiffeisen- und Volksbanken begonnen – die Macher zeigen sich zufrieden mit Girogo. Doch die Kritik an der Technik verstummt nicht.

Schneller und komfortabler sei das neue kontaktlose Bezahlen Girogo, so bewerben Banken und Sparkassen die neue Funktion auf den Kontokarten. Ohne diese aus der Hand geben zu müssen, könne mit diesem System ganz bequem eingekauft werden. Dafür muss die Karte nur einige Zentimeter über ein kleines Auslesegerät gehalten werden und der entsprechende Betrag wird abgebucht. Seit Mitte April wird in Niedersachsen die funkgesteuerte Bezahlfunktion mit dem Geldkarten-Chip in einem Pilotprojekt gestestet.

Vor rund drei Monaten haben mehr als 1,3 Millionen Kunden der Sparkassen, Raiffeisen- und Volksbanken in Hannover, Braunschweig, Hildesheim und Wolfsburg eine Girogo-Bankkarte erhalten. Die ersten Resonanzen sind gut, sagt Ralf-Christoph Arnoldt, Leiter Zahlungsverkehr beim Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR). Kunden würden in Girogo eine spannende und nützliche Funktion sehen. "Auch beim Handel verzeichnen wir eine große Akzeptanz. Es gibt schon mehr als 300 Läden in der Pilotregion, die Girogo akzeptieren", so Arnoldt.

Dafür wurde die bisherige Geldkarten-Funktion erweitert. NFC-Technik sorgt dafür, dass Daten per Funk übertragen werden, dann wird das Geld abgebucht. Einen entsprechenden Betrag muss der Kunde vorher auf den Prepaid-Chip in der Karte laden, derzeit sind maximal 20 Euro für einen Zahlungsvorgang möglich. Insgesamt können 200 Euro auf die Karte gebucht werden. 

Doch nicht überall stößt die neue Bezahlmöglichkeit auf Begeisterung. Für Kritiker wie die Datensicherheitsexperten von Praemandatum in Hannover liegt das Problem beim kontaktlosen Bezahlen im Detail. Denn beim Auslesen werden Kartennummer und alle Transaktionsnummer angezeigt, so Wulf Bolte von Praemandatum – und damit das Kauf- und Bewegungsverhalten des Kunden gespeichert. Bei der Entwicklung von Girogo wurden einfachste Sicherungsmöglichkeiten nicht bedacht. "Das ist erstes Semester Informatik: Alles was funkt, ist angreifbar", sagt der Datensicherheitsexperte.

Nach Angaben der Geldinstitute können die Daten nur in einem maximalen Abstand von vier Zentimetern ausgelesen werden. Doch Bolte und seine Kollegen warnen, dass sich mithilfe einer leistungsstärkeren Antenne dieser Abstand sehr wohl vergrößern lässt – "auf zehn Zentimeter und mehr". So wäre es möglich, die Karte zu nutzen, "um spezielle Kundenprofile aufzuwerten".

Diebstahlsschutz als Ausspähmaschine?

Die schon in Geschäften eingesetzte RFID-Technik könnte zum Beispiel helfen, diese Profile zu ermitteln. RFID soll eigentlich Ladendiebstähle verhindern. Dabei sind kleine funkgesteuerte Chips beispielsweise in Kleidungsstücken enthalten. Werden diese an der Kasse nicht deaktiviert, lösen Antennen am Ausgang eines Geschäftes Alarm aus.

Autor
Keine Autoren gefunden

Da die "Girogo"-Karten nicht vor dem Auslesen geschützt sind und die dort eingebaute Technik auf die RFID-Technik aufbaut, könnte diese Diebstahlssicherung möglicherweise genutzt werden, um an die Kartendaten zu kommen. "Solche Datensätze sind für viele interessant", so Bolte. Gemeint sind beispielsweise Firmen, deren Ziel es ist, passgenaue Angebote oder Werbung an Kunden zu verschicken, über deren Wünsche, Vorlieben und Interessen sie durch ein differenziertes Profil bestens informiert sind. So würden unnötig Begehrlichkeiten geweckt, meinen die hannoverschen Sicherheitsexperten. Sie fordern deshalb, dass die Girogo-Funktion nachgebessert werden muss.

Dabei erhalten sie unter anderem Unterstützung vom niedersächsischen Datenschutzbeauftragten Udo Robra. Für ihn ist es untragbar, dass Kundendaten unverschlüsselt gespeichert und ausgelesen werden können, wie Robra dem NDR sagte.

Das wird auf Seiten der Banken anders gesehen. "Wir kennen die Kritik, aber da können wir beruhigen", sagt Arnoldt vom BVR. Girogo basiere auf den hohen Sicherheitsstandards der deutschen Kreditwirtschaft. Es würden weder personenbezogene noch kontobezogene Daten im Klartext gespeichert oder beim Bezahlen übermittelt. Karteninhaber können die letzten fünfzehn Transaktionen und die letzten drei Ladevorgänge nachprüfen. Zu sehen ist der Betrag, der Zeitpunkt und die Nummer des jeweiligen Händlerterminals, "aber es ist nicht ersichtlich, ob man als Kunde zum Beispiel bei Edeka, Media Markt oder dm eingekauft hat, diese Information ist da nicht enthalten, die Händlernummer ist anonymisiert".

Nach einem Jahr wird Bilanz gezogen

Wie beim Bezahlen mit Bargeld wird bei der neuen Funktion nur solange ein Betrag von dem Chip abgebucht bis das Guthaben aufgebraucht ist – allerdings funkgesteuert. Die hannoverschen Spezialisten kritisieren, dass dabei sowohl immer die gleiche eindeutige Karten-ID wie auch die Tranksaktionsdaten mitübertragen werden. Sie sind nachweisbar nicht verschlüsselt. "So kann bei jedem Auslesevorgang genau geschaut werden, wo war diese Karte und damit nachvollzogen werden, was der Kunde gemacht hat", erklärt Bolte.

Das wäre nicht nötig, auch die Geldkarte hat dies bislang nicht getan. Diese Sicherung wurde aber aufgehoben: "Die Funkübertragung hat sie ausgehebelt", sagt der Praemandatum-Geschäftsführer. Verschärft würde das Problem, wenn der Kunde auch noch eine Kundenkarte mit einem entsprechenden funkgesteuerten Chip bei sich trage würde. Laut Bolte kann die ID problemlos wie beim Personalausweis verschlüsselt werden, das würde den Bezahlvorgang nicht nennenswert verlangsamen.

Alufolie hilft gegen den unfreiwilligen Funk

Im kommenden Frühjahr soll bei den Sparkassen, Volks- und Raiffeisenbanken Bilanz gezogen werden. "Jede Bankgruppe wird dann für sich entscheiden, wie sie weiter verfährt, zum Beispiel ob sie den Service bundesweit ausweitet", so Arnoldt vom BVR. "Dann könnte auch über Wahlmöglichkeit für Kunden über die Kontaktlos-Funktion auf ihrer Karte nachgedacht werden."

Praemandatum-Geschäftsführer Bolte ist allerdings sicher, dass die die kontaktlose Bezahlfunktion nicht mehr aufzuhalten ist. Früher oder später würde alle Bankkunden eine mit Chip versehene Karte erhalten. Schutz gegen das unfreiwillige Auslesen der Daten biete nur eine kleine Metallhülle, denn abgeschaltet werden kann die Funkübertragung des Chips bislang nicht. So eine Schutzhülle lässt sich mit Aluminiumfolie schnell selbst herstellen. Dennoch hofft der Praemandatum-Sprecher, dass die Banken die Kritik ernst nehmen und die Sicherheitsstandards der neuen Bezahlfunktion erhöhen: "Ich möchte gerne auch künftig anonym bezahlen können".