Logbuch

Eintrag vom 1. November 2016

Ich habe gestern meine neue EC-Karte zugestellt bekommen. Das Schreiben wanderte erstmal in die Ablage, ehe ich es mir genauer angesehen habe - logisch, die Gültigkeit meiner alten Karte endet mit diesem Jahr, es musste also eine neue kommen. Erst als ich die Karte vom Klebestreifen abgezogen hatte und auf der Rückseite unterschreiben wollte, fiel mir ein kleines Symbol mit dem Kürzel "NFC" auf - was für "Near Field Communication" steht.
Da begannen dann die Glocken zu läuten: was mir da zugeschickt wurde ist eine EC-Karte für das "berührungslose Bezahlen". Also nichts anderes als eine Bankkundenkarte mit einem RFID-Chip darin, wie er auch bei Zugangschips für sicherheitsrelevante Bereiche oder beim sog. "bargeldlosen ÖNVP" verwendet wird.

Wer sich bislang immer noch nicht mit RFID beschäftigt hat, dem möchte ich hier eine kurze Zusammenfassung geben: RFID-Chips bestehen aus einem kleinen Sender mit einer Induktionsspule. Je nach Frequenz und Feldstärke können diese Chips aus dem Funksignal eines Senders genug Energie generieren, um eine "Antwort" an das Lesegerät zu funken. Da dieses Signal nicht gerichtet ist, funkt der RFID-Chip seine Antwort kugelförmig verteilt in die Umgebung hinein, solange er hierfür genug Energie hat.
Diese Technik kennen wir alle aus dem täglichen Leben: die Diebstahlsicherungen im Supermarkt oder Einkaufszentrum funktionieren auf diese Weise, ebenso wie die implantierten ID-Chips von Haustieren oder Transport-Labels in der Warenlogistik. Solange sie nicht zerstört werden, also der Induktionskreislauf der Antenne durch mechanische Einwirkung unterbrochen wird, bleiben diese Chips aktiv bis zum Sankt-Nimmerleins-Tag und warten auf ein elektromagnetisches Feld, dass sie mit Energie versorgt so dass sie die auf ihnen gespeicherten Daten senden können. So weit, so gut.
Denn wie jede Technik, die der Mensch ersonnen hat, kommt es darauf an wie man sie nutzt. Und vom Standpunkt des Datenschutzes aus sehe ich den Einsatz von RFID-Technik immer dann besonders kritisch, wenn dadurch eine Identifizierung einer Person oder die Verknüpfung zu personenbezogenen Daten möglich ist.

Was soll nun diese Technik für Vorteile bei einer EC-Karte bringen? Laut den Banken soll es durch die kontaktlose Möglichkeit des elektronischen Bezahlens zu erheblichen Zeiteinsparungen beim Zahlungsvorgang kommen, da die Karte nun nicht mehr in das Lesegerät an der Supermarktkasse gesteckt, sondern nur noch kurz darübergehalten werden muss. Zahlungsvorgänge bis zu einem Betrag von 20 Euro sollen sogar ohne die zusätzliche Verifizierung durch die Eingabe der Kunden-PIN am Lesegerät erfolgen.
Und spätestens jetzt sollte auch der technisch weniger bewanderte Bankkunde hellhörig werden. Die Eingabe einer PIN geschieht ja aus einem guten Grund: nämlich, um die Transaktion durch den Kunden zu legitimieren, also die Richtigkeit der Abbuchung vom Konto des Eigentümers zu bestätigen. Nicht umsonst versuchen die Banken bei unrechtmässiger Abbuchung von Kundenkonten als erstes, eine unberechtigte Weitergabe der PIN durch den Kunden zu unterstellen, um alle Schadensansprüche bereits im Vorfeld abschmettern zu können.
Und jetzt soll es möglich sein, Abbuchungen ohne jegliche Bestätigung durchzuführen, an jeglicher Sicherheitsabfrage vorbei?

Ich glaube, ich lehne mich nicht zu weit aus dem Fenster wenn ich folgendes Szenario skizziere: ein technisch versierter Mensch sollte in der Lage sein, ein Lesegerät in einem Supermarkt manipulieren zu können, so dass automatisierte Abbuchungen vorgenommen werden - und zwar immer dann, wenn sich ein Kunde nahe genug an einem der Lesegeräte befindet. Bei NFC-Geräten beträgt diese Reichweite zwischen 10 cm und maximal 3 m - es wäre aber auch denkbar, ein eigenes Lesegerät zu konstruieren, dass durch ein weitaus stärkeres Feld eine deutlich größere Reichweite besitzt.
Da der Besitzer der EC-Karte nichts von dieser Transaktion mitbekommt, kann er so ungehindert "ausgenommen" werden - die mehrfache Abbuchung von "Kleinbeträgen" bis 20 Euro ist ja als einzelne Rechnungen durchaus möglich. Er erkennt erst bei der Kontrolle seiner Kontoauszüge, dass hier etwas nicht mit rechten Dingen zugegangen ist - oder wenn er beim Bezahlen an der Kasse feststellen muss, dass sein Dispokreditrahmen aus unerklärlichen Gründen das Limit erreicht hat. Nun kann er bestenfalls Anzeige gegen Unbekannt erstatten, die Polizei mit Hilfe seiner Bank vielleicht versuchen den Inhaber des Empfängerkontos zu ermitteln - mit geringem Erfolg übrigens, wenn der Kriminelle sich nicht wirklich dumm angestellt hat. Das Geld ist aber in jedem Fall weg, während sich das Kreditinstitut die Hände in Unschuld wäscht und mit einem Ausdruck großen Bedauerns zusätzlich die Überziehungsbegühren für das Girokonto in Rechnung stellt.
Zusammengefasst also: der Einsatz von RFID-Technik in Verbindung mit einer EC-Karte bringt erhebliche Risiken, die allerdings ausschließlich beim Kunden liegen. Man könnte also auf den Gedanken kommen, dass es sich hierbei nicht um einen "Bug", sondern ein "Feature" handelt...

Meine erste Reaktion deswegen: Brief und Bankkarte in die Tasche gesteckt und zu meiner örtlichen Bankfiliale marschiert, um nachzufragen ob meine neue Bankkarte auch ohne NFC-Funktion lieferbar ist - was die freundliche Bankangestellte meiner Raiffeisen-Volksbank verneinte. Immerhin bot sie mir, im Gegensatz zu anderen Bankinstituten, die "Deaktivierung" der kontaktlosen Bezahlfunktion an - allerdings wäre in diesem Fall dann leider auch das Bezahlen im Lastschriftverfahren generell nicht mehr möglich, es gäbe nur noch die Funktion mit der Eingabe der PIN.
Diese "Deaktivierung" bezieht sich übrigens ausschließlich auf die Sperrung der Funktion in einer zentralen Datenbank - die Sendefunktion des RFID-Chips in der Karte bleibt erhalten. Ob diese Sperrung also tatsächlich ausgeführt oder nicht zu einem späteren Zeitpunkt wieder aufgehoben wird, kann ich nicht überprüfen. Wirkliche Sicherheit gibt es also auch bei einer Sperrung nur dann, wenn man selbst aktiv wird und den in die Karte eingebetteten Chip mechanisch zerstört. Dies kann allerdings zur Folge haben, dass die Karte selbst dadurch beschädigt oder an Automaten oder in Geschäften nicht mehr angenommen wird.

Ich habe mich deswegen für die "weiche" Lösung und den Einsatz einer RFID-Schutzhülle entschieden. Diese verhindert durch eine Abschirmung, dass die Signale von Lesegeräten den in der Karte enthaltenen RFID-Chip erreichen können, solange sich die Karte im Inneren der Hülle befindet.

Damit das auch tatsächlich der Fall ist werde ich zusätzlich - noch öfter als bisher - auf den Einsatz meiner EC-Karte als Zahlungsmittel verzichten und sie nur noch zum Abheben von Bargeld an Bankautomaten nutzen. Damit schlage ich dann gleich mehrere Fliegen mit einer Klappe:

Erstens werde ich dadurch von unbedachtem Konsum abgehalten - ich kann nur das Geld ausgeben, was ich tatsächlich in der Tasche habe und gerate nicht in Versuchung, Dinge zu kaufen ohne mir zuvor durch Abzählen des Betrages deren monetären Gegenwert vor Augen geführt zu haben. Es ist bekannt dass Menschen durch bargeldloses Bezahlen eher bereit sind zu konsumieren als bei Barzahlung. Auf diese Weise kann man also durchaus zusätzliches Geld sparen.
Zweitens sichere ich mir in einer immer stärker überwachten Welt ein Stückchen meiner Privatsphäre zurück. Allein die Konsuminformationen von uns Verbrauchern sind für die beteiligten Unternehmen und Konzerne pures Gold wert. Durch die Barzahlung entkoppelt man die Zuordnung von Konsum und Verbrauchergewohnheiten - sofern man seine Privatsphäre nicht für das Versprechen von mikroskopischen Rabatten durch den Einsatz von Kundenkarten oder Bonusprogrammen freiwillig preisgibt. Bargeld ist ein wesentlicher Bestandteil unserer Freiheit, weshalb wir Piraten uns auch so vehement gegen dessen Abschaffung einsetzen.

Meines Wissens nach gibt es in Deutschland keine Bank mehr, die ihren Kunden eine EC-Karte ohne NFC-Funktion anbietet oder dies nicht bis spätestens 2018 realisieren will. In einer Zeit ausgedünnter Filialnetze wird es also in Kürze keinen Einwohner in Deutschland geben, der nicht davon betroffen ist.

Es liegt deshalb - wieder einmal - bei uns Verbrauchern, selbst auf die Barrikaden zu gehen und Schutzmaßnahmen zu ergreifen: nicht nur gegen die Gefahr eines digitalen Betrugs, sondern auch gegen die Erfassung unserer Gewohnheiten und Auswertung unseres Konsumverhaltens zu kommerziellen Zwecken.