Bei kontaktlosen Kredit- und Bankkarten muss man bei Zahlungen bis 25 Euro keine PIN eingeben. c't ist mit einem 29-Euro-Terminal auf Diebestour gegangen.

Dass man bei kontaktlosen Zahlungen mit aktuellen Bank- und Kreditkarten erst ab 25 Euro eine PIN eingeben muss, beschleunigt den Einkauf immens – aber eröffnet auch neue Möglichkeiten für Taschendiebe. Für nur 29 Euro bekommt ein drahtloses Zahlterminal, das so klein ist, dass es in der Hand kaum auffällt. Im Gedrängel – zum Beispiel in der vollbesetzten U-Bahn – können Diebe das Gerät einfach an die (Hosen-)Taschen der Fahrgäste halten, um so bis zu 25 Euro von Kontaktlos-Karten abzufischen.

Video: Das Kontaktlos-Klau-Experiment

Das Ganze klappte in einem c't-Experiment mit einem Terminal der Firma Sumup ganz ohne Berührung, und zwar nicht nur durch dünne Sommerhosen, sondern auch durch Jeansstoff oder Leder-Portemonnaies. Ein solches Terminal kann jeder im Netz bestellen, ein Gewerbeschein wird nicht benötigt.

Dieses Symbol signalisiert die Kontaktlos-Funktion.

Erkennbar ist die Kontaktlos-Funktion auf Bank- oder Kreditkarte an einem aufgedruckten Wellensymbol (siehe Bild). Wer eine Karte ohne NFC-Antenne haben will, schaut bei den meisten Banken in die Röhre: So gut wie alle zurzeit ausgegebenen Karten kommen standardmäßig mit Nahfunk. Eine NFC-Deaktivier-Möglichkeit für Kreditkarten bietet laut c't-Recherchen keine Bank an. Zumindest bei Girocards lässt sich die Kontaktlos-Funktion bei Sparkassen und Volks- und Raiffeisenbanken deaktivieren. Bei Sparkassen muss man zum Schalter, bei Volks- und Raiffeisenbanken lässt sich die Funktion am Geldautomaten abschalten.

Andere Banken bieten ihren Kunden lediglich ein kostenloses Abschirm-Etui an, das vor unerwünschtem Abfischen schützt. Außerdem gibt im Handel sogenannte "Anti-RFID"-Portemonnaies, die mehrere Karten aufnehmen. Im c't-Test schützten alle so beworbenenen Schutzhüllen und Geldbörsen zuverlässig. Hartgesottene nutzen die Brachial-Methode mit Bohrer oder Lötkolben.

Schon eine zweite Nahfunk-Karte schützt

Bei unseren Experimenten reichte es allerdings auch schon, eine zweite Nahfunk-Karte ins Portemonnaie zu stecken, beispielsweise den neuen Personalausweis. Dann kommt es zum sogenannten "card clash", das Lesegerät erkennt unterschiedliche Kartendaten und verweigert die Funktion.

Mit Smartphones oder Smartwatches, auf denen eine NFC-Payment-App wie Google Pay läuft, klappt das unbemerkte Abfischen übrigens nicht: Hier muss man mindestens das Display aktivieren (Android) oder den Fingerabdruck scannen (iPhone), damit die Zahlfunktion freigschaltet wird.

In der kriminellen Praxis dürfte das Kontaktlos-Fischen ohnehin eher problematisch sein: Vor der Nutzung des Zahlterminals muss man ein Girokonto angeben, schließlich muss das Geld irgendwo hin. Und zur Kontoeröffnung benötigt man einen Identitätsnachweis.

Auch die Idee, ein Terminal zu manipulieren und beispielsweise die Feldstärke zu erhöhen, dürfte für Kriminelle schwer umsetzbar sein: Ein Terminal bekommt erst Verbindung zu den Bezahlnetzen der Kartenunternehmen, wenn vorher ein Akzeptanzvertrag geschlossen wurde. Jede heimlich durchgeführte Abzock-Transaktion würde über die Terminal-ID direkt zum Betrüger führen. (jkj)



[Update] Das Sumup-Kartenterminal wird zurzeit für 29 Euro statt für, wie ursprünglich berichtet, 39 Euro angeboten.



[Update 2] NFC-Deaktivierungsmöglichkeiten bei Sparkassen, Volks- und Raiffeisenbanken detaillierter ausgeführt.