RFID-Kreditkarten schicken Daten in den Äther
Alles wird einfacher und angeblich sicherer: RFID-Kreditkarten dürfen in der Tasche bleiben, statt sie in den Schlitz des Geldautomaten einzuführen. Das ist jedoch keineswegs Safer Banking. Denn sie schicken ihre Daten drahtlos – aber nicht etwa nur an den Geldautomaten.
Nachdem die neue Kreditkarten-Generation in den USA schon millionenfach unterwegs ist und in Apotheken, Kinos und McDonalds-Buden akzeptiert wird, stellt sich heraus, dass sie gar nicht so sicher sind wie versprochen. Viele von ihnen arbeiten nicht mit der angeblichen 128-Bit-Verschlüsselung, schon gar nicht mit “dem höchsten Standard der Verschlüsselung, die durch die US-Regierung erlaubt” wird, wie die Bank J. P. Morgan Chase von ihren Karten behauptet. Sie geben ihre Daten vielmehr mit geringerer und leicht knackbarer Verschlüsselung preis, und einige Karten übertragen den Namen des Karteninhabers und weitere Daten sogar unverschlüsselt.
Schon mit einem einfachen Gerät, gebastelt aus Computer- und Radioteilen im Wert von etwa 150 US-Dollar und in der Größe von ein paar Taschenbüchern, sind die Karten in der Brieftasche des Nachbarn zu scannen. Es soll sogar noch kleiner und billiger zu machen sein, in der Größe eines Kaugummi-Päckchens und für schlappe 50 Dollar.
Das fanden Forscher der RSA-Labs einem Bericht der New York Times zufolge heraus. “Wäre es Ihnen genehm, Ihren Namen, Ihre Kreditkartennummer und das Ablaufdatum der Karte auf Ihrem T-Shirt zu tragen?” fragte der Student Heydt-Benjamin, der an den Untersuchungen beteiligt war.
Ihm gelang die Online-Bestellung elektronischer Geräte mit Hilfe der abgehörten Daten einer Kreditkarte, die er selbst für sich bestellt, aber in einem versiegelten Umschlag gelassen hatte.
Es wurden Karten von Visa, MasterCard und American Express untersucht. Die ausstellenden Banken wiegelten ab wie immer. Das sei ja eine nette technische Übung, erklärte etwa ein Brian Triplett von der Visa-Produktentwicklung, aber in der Praxis käme so etwas doch gar nicht vor. Außerdem sei Phishing bislang ohnehin lukrativer als ein so technisch anspruchsvoller Raubzug. Und überhaupt, sie hätten ja noch weitere Sicherheitsvorkehrungen, so dumm seien sie ja auch nicht.
Die weiteren Sicherheitsvorkehrungen sind tatsächlich verfügbar. Nicht alle Karten haben sie aber, denn es war den Banken schlicht zu umständlich oder ein wenig zu teuer, sie auch einzusetzen.
Art Kranzley von MasterCard ließ schließlich die Katze aus dem Sack: Die einzelnen Banken können selbst auswählen, wie viel Sicherheit sie auf ihren Karten implementieren wollen. Da lässt sich sparen, denn von außen sieht man es den Karten ja nicht an, was alles an Unsicherheit drin ist. (Nick Farrell/bk)