Neue „girocard kontaktlos“ unsicher?
20.10.16 (Verkehrspolitik) Autor:Max Yang
Viele Sparkassen und Volksbanken senden seit Mitte dieses Jahres ihren Kunden eine sogenannte „girocard kontaktlos“ aus. Dies ist eine neue Generation der ehemals als EC-Karte bekannten girocard, welche mit Ausnahme weniger Direktbanken von fast alle deutschen Institute zu ihren Girokonten ausgegeben wird. Ähnlich wie kontaktlose Kreditkarten basiert „girocard kontaktlos“ auf Near Field Communication (NFC)-, also Nahfunk-Technik, die branchenweit als Zukunft des Bezahlens insbesondere für Kleinbeträge angesehen wird.
Beteiligte erhoffen sich dadurch, dass der deutsche Markt zu den europäischen Nachbarn aufschließt. NFC-Bankkarten werden im öffentlichen Nahverkehr von Städten wie London, Szczecin (Stettin) oder Wroclaw (Breslau) bereits länger als Zahlungsmittel akzeptiert. Einige Daten auf NFC-Karten können mit handelsüblichen Mobiltelefonen ausgelesen werden – in der Regel Kartennummer und Ablaufdatum. Bei einer Kreditkarte reicht das im Regelfall nicht mehr aus, um eine Zahlung im Fernabsatz auszulösen.
Anders als bei Kreditkarten besteht bei girocards ein großer Teil der im Chip gespeicherten 19-stelligen Kartennummer aus der Kontonummer und einem Platzhalter für die Bankleitzahl, so dass die IBAN bestimmt werden kann. Daher gibt es neben der eigentlichen, garantierten girocard-Zahlung ein „elektronisches Lastschriftverfahren“ als nicht kreditwirtschaftliches Alternativverfahren, das von deutschen Handelsunternehmen entwickelt wurde und nach einem aktuellen Artikel der „Lebensmittel Zeitung“ auch kontaktlos möglich sein soll.
Das Terminal bestimmt aus der Kartennummer die IBAN und generiert ein Lastschriftmandat. Das Bundeskartellamt äußerte 2013/14 Bedenken gegen etwaige Pläne bestimmter Institute, die Kartennummern der girocard von der Kontonummer unabhängig zu machen. Trotz Einführung der Kontaktlostechnik bei der girocard sieht das Bundeskartellamt jedoch in einer Stellungnahme, die der Redaktion von Zughalt.de vorliegt, keinen Anlass zu einem Positionswechsel. In so einem frühen Stadium könnte die Sicherheitssituation nicht abschließend beurteilt werden.
Man vertraue auf Handel und Banken. Nach Ansicht von Kritikern kann damit „digitaler Taschendiebstahl“ mit dem Smartphone für die „girocard kontaktlos“ ein reales Problem sein – ein physischer Zugriff auf die Karte sei nicht nötig, um Kontonummern abzufischen. Zwar kann man missbräuchliche Lastschrifteinzüge stornieren, aber vereinzelt berichten Verbraucher, dass wegen einer betrügerischen Lastschrift legitime Zahlungen nicht mehr ausgeführt werden können und ihnen Inkassokosten in Rechnung gestellt werden. Durch die kontaktlose Auslesbarkeit einer IBAN gibt es ein ganz anderes Spektrum an Angriffsmöglichkeiten.
Missbrauchte Kreditkarten werden durch andere mit neuer Nummer ersetzt – ein Wechsel einer Kontonummer ist jedoch nicht so üblich, wenn auch mehrere Banken versichern, dass dies möglich sei. Nach Angaben eines Sprechers des Deutschen Sparkassen- und Giroverbands soll eine Kontonummer auslesbar bleiben, auch wenn der Karteninhaber die „girocard-kontaktlos“-Funktion am Geldautomaten deaktiviert hat. Anders jedoch der Bundesverband deutscher Banken: weder Umsatzdaten noch Chipdaten könnten nach der am Automaten erfolgten Deaktivierung noch kontaktlos ausgelesen werden. Übereinstimmend betonen Vertreter beider Verbände aber, es sei dennoch nicht erforderlich, dass der Kunde seine neue „girocard kontaktlos“ in einer Schutzhülle trage.
Es ist jedoch zu betonen, dass sich die Bedenken zur „girocard kontaktlos“ nicht auf das VDV-eTicket beziehen, welches nicht mit Zahlungskonten verbunden ist. Ebenso wenig betroffen sind die kontaktlosen Zahlkarten der internationalen Marken Mastercard und Visa, die unter anderem in London bereits seit Jahren im ÖV im Einsatz sind, da Kartennummer und Kontonummer nicht verbunden sind. Letztlich haben solche Sicherheitsfragen auch für die ÖV-Branche Relevanz.
Erinnert sei an die Debatte zum Jahreswechsel 2015/16 um ein angebliches „Datenleck“ bei der VBB-fahrCard, welche die letzten Kontrollereignisse speicherte. Nach Ansicht des Branchenjournalisten Jochen Siegert könnten volle Kontodaten per NFC einerseits zum Problem für die Lastschrift wegen potenziell vermehrtem Missbrauch werden, andererseits aber auch das Vertrauen in die gesamte NFC-Technik generell schwächen.
So mag es noch länger dauern, bis Smart Ticketing – ein großes Thema der InnoTrans – loslegen kann. Michael Ebeling von Freiheitsfoo, einer mit Persönlichkeitsschutz und Menschenrechten befassten Gruppe, sieht die Thematik in einem größeren Kontext. Jeder Bankkunde sollte ein Recht auf eine Karte ohne Nahfunk haben. Darüber hinaus müsse auch die Möglichkeit der anonymen Nutzung von Verkehrsmitteln, etwa mit Bargeld, erhalten und garantiert bleiben. Schon bei den Automaten der Kölner Verkehrsbetriebe – nur Hartgeld oder Karte – scheitert man aber bei großen Summen, die man mit Scheinen zahlen würde.
Siehe auch: Minenfeld Ticketing