20.03.2013, 14:06 Uhr | 0 |

Elektronische Geldkarte unsicher Datenschützer warnen vor Funktechnologie NFC

Für die Sparkassen ist die Sache klar: Der Funktechnologie NFC gehört die Zukunft. Deshalb wollen sie in den nächsten Jahren alle 45 Millionen EC-Karten gegen neue Karten tauschen, die den kontaktlosen Informationsaustausch beherrschen. Datenschützer sind frustriert und sauer.

Solche Geldkarten sollen schon bald mit Funkchips ausgestattet sein.
Á

Solche Geldkarten sollen schon bald mit Funkchips ausgestattet sein. Datenschützer sind entsetzt.

Foto: Jens Büttner dpa/lmv

Es ist ja so praktisch: Man hält einfach seine Geldkarte kurz an ein Lesegerät und sofort ist das Zugticket bezahlt oder auch der kleine Einkauf an der Tankstelle. Möglich macht dies die Funktechnologie Near Field Communication, zu Deutsch Nah-Feld-Kommunikation, und ganz kurz NFC. Seit Mitte vergangenen Jahres haben Sparkassen damit begonnen, die Geldkartenfunktion mit NFC aufzurüsten. Die schleswig-holsteinischen Sparkassen werben mit der „SparkassenCard kontaktlos“, ganz so, als könnte man sich damit vor Bakterien,  Viren und anderen Angreifern schützen. Das Gegenteil ist der Fall, wie Thilo Weichert, Datenschutzbeauftragter von Schleswig-Holstein jetzt feststellte. „Es werden bundesweit Karten ausgegeben, die problematisch und damit nicht im Ansatz zukunftssicher sind“, sagte Weichert, als er den Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz (ULD) präsentierte.  Alle Versuche seiner Behörde, den Einsatz der neuen Funktechnik in EC- und Kreditkarten datenschutzkonform zu gestalten, seien gescheitert, räumte er ein.

Mit der NFC-Technik ist die Geldkarte ein offenes Buch ohne Siegel

Und die Vorwürfe der Datenschützer wiegen schwer: Es ist möglich, die Logs der letzten drei Lade- bzw. Entlade- und der letzten 15 Abbuchungs- bzw. Rückbuchungstransaktionen mit Datum, Zeit, Händlerkartennummer, gezahltem Betrag und Restbetrag und als Sahnehäubchen obendrauf eine eindeutige Kartennummer ohne zusätzliche Prüfung einer Zugriffsberechtigung und ohne eine explizite Autorisierung durch die Inhaberin oder den Inhaber der Geldkarte durch einen PIN-Code oder ein Kennwort ganz einfach auszulesen. Darüber hinaus wird der Abruf der Daten durch die Karte selbst nicht einmal protokolliert. Die Geldkarte wird so durch den Funkchip zu einem sehr offenen Buch ohne sieben Siegel.

Die Datenschützer sind sauer, weil die Prüfung der Abrufberechtigung und die Protokollierung der Abrufe gesetzlich vorgeschrieben sind. Für die Datenschützer ist das vor allem deshalb sehr ärgerlich, weil die verwendeten Kartensysteme durchaus zur Durchführung sicherer Datenverarbeitung und -übermittlung in der Lage sind. Auch Mechanismen zur vorherigen Autorisierung der Datenübermittlung durch die Karteninhaber sind vorgesehen. Die Banken sehen das alles dagegen vollkommen unproblematisch. Sie verweisen auf die Möglichkeit, die NFC-Schnittstelle als Kunde selbst zu deaktivieren. Bedauerlicherweise steht diese Möglichkeit den Kunden derzeit aber noch nicht zur Verfügung. Und torpediert ganz nebenbei die Idee der NFC-Technik. Denn deaktiviert nützt sie dem Karteninhaber rein gar nichts. Und noch etwas stimmt nachdenklich: Selbst mit deaktivierter NFC-Schnittstelle bleibt die eindeutige Kartennummer auslesbar.

Banken warten einfach ab: Keine Risikoanalyse und auch keine Bewertung der Risiken

Die Datenschützer gehen mit den Banken und Sparkassen deshalb hart ins Gericht. „Die Geldkarte mit NFC-Funktion ist gegen das unbefugte Auslesen der Transaktionsdaten und der eindeutigen Kartennummer nicht ausreichend gesichert. Die weitere Produktion von Geldkarten mit NFC-Schnittstellen ohne verbesserte Absicherung der Transaktionsdaten und der eindeutigen Kartennummer sollte unterbleiben.“ Ihr Fazit: „Die Banken müssen die bisher fehlende Risikoanalyse und –bewertung nachholen.“

Die Geldkarte ist ein 1996 gestartetes System für eine elektronische Geldbörse in Deutschland. Mit der Geldkarte ist es möglich, bargeldlos und ohne Benutzeridentifizierung, also PIN-Prüfung oder Unterschrift, kleine Geldbeträge offline zu zahlen. Codiert ist die Geldkarte in dem kleinen goldenen Chip auf den EC- oder Girocard-Karten. Das Guthaben der Geldkarte wird per Geldautomat auf die Karte übertragen und vom Konto abgebucht. Der Maximalbetrag, der auf die Geldkarte übertragen werden kann, ist auf 200 Euro gedeckelt. Die Geldkarte ist im Prinzip ein Erfolgsmodell: Aus 0,3 Millionen Bezahlvorgängen im Jahr ihrer Einführung steigerte sich der Einsatz der Karte innerhalb von fünf Jahren auf über 41 Millionen Bezahlvorgänge im Jahr 2011. Die Geldkarte wird offenbar wirklich als Ersatz-Geldbörse für lästiges Kleingeld angesehen.

Durchschnittlich luden sich die Nutzer der Geldkarte im Jahre 2011 bei ihren 5,3 Millionen Ladevorgängen an den Geldautomaten gerade einmal 28 Euro auf die Karte. Im Durchschnitt geben sie dann je Bezahlvorgang so um die drei Euro aus.

Kunden autorisieren mit ihrer Unterschrift mehr als nur den aktuellen Kauf

Auch über die Praktiken im so genannten Elektronischen Lastschriftverfahren (ELV) sind die Datenschützer einigermaßen empört. Jeder kennt die ewig langen Kassenzettel im ELV, die man an der Supermarktkasse vorgelegt bekommt und unterschreibt, um damit der Lastschrift über den Kassenbetrag zuzustimmen. Hinter den ellenlangen Kassenzetteln verbirgt sich im ELV aber die Zustimmung der Kunden zu einer gewissen Sammelleidenschaft der von den Händlern beauftragten Netzbetreiber, um vermeintlich finanziell riskante Kunden zu identifizieren und Rücklastschriften zu verhindern. Denn beim ELV liegt das Risiko der Transaktion allein beim Händler, dafür ist es für ihn auch günstiger, als das Verfahren mit einer PIN-Eingabe und der Online-Überprüfung des Kontos durch die Bank.

Es hat den Anschein, als übernähmen die Netzbetreiber für ihre Kunden, die Händler, also all die Supermärkte und  Tankstellen, an denen wir bargeldlos bezahlen, eine Art Auskunftei-Funktion. Damit begeben sie sich allerdings hart an den Rand der gesetzlichen Vorschriften. Denn solche Negativdaten, wie die Informationen über Rücklastschriften, müssen die gesetzlichen Voraussetzungen erfüllen. Und hier wird es heikel und vor allem spitzfindig. Denn eine fällige Forderung muss zum Beispiel durch ein Urteil festgestellt oder zweimal schriftlich angemahnt worden sein. Diese Voraussetzungen erfüllt die bloße Rücklastschrift nicht. Denn hier kann der Kunde durchaus solvent sein, es könnten sich nur aktuell Zahlungseingänge verzögert haben und somit eine Kontounterdeckung erzeugt haben.

Back to the roots: Datenschützer raten zur Bargeldzahlung

Noch krasser ist der Verdacht der Datenschützer, dass die Netzbetreiber händlerübergreifend Positivdaten zum Einkaufsverhalten der Kundinnen und Kunden sammeln. „Hierdurch werden alle Kundinnen und Kunden unter einen Generalverdacht gestellt“, merken sie kritisch an. Zu Recht. Denn das alles geschieht auf der Grundlage einer Unterschrift auf einen Kassenzettel, auf dessen Rückseite nur sehr klein gedruckt über die Möglichkeiten der späteren Verarbeitung und Verwendung der durch den Kassenbeleg erfassten Daten informiert wird. Von Aufklärung mag man da nicht sprechen. „Die Kundeninformation hat in einer verständlichen Sprache zu erfolgen“, monieren die Datenschützer deshalb und geben noch einen abschließenden, sehr praktischen Tipp gegen die überall grassierende Daten-Sammelwut an den Kassen: „Die Kundinnen und Kunden können durch die Wahl des Bezahlwegs Einfluss nehmen. Bei Bargeldzahlungen fallen keine elektronischen Spuren an.“ So einfach ist das. Und vielleicht war ja früher tatsächlich mal etwas besser...

Anzeige
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden