Datenschützer äußern massive Kritik an der Informationssicherheit von Geldkarten mit NFC-Funktion. Anbieter, die ihren Kunden die Möglichkeit der kontaktlosen Bezahlung per NFC-Geldkarte anbieten möchten, sind gegebenenfalls gut damit beraten, abzuwarten, bis die Technologie einen ausreichenden Sicherheitsstandard erfüllt.

Geldkarte mit NFC-Chip

Immer mehr Banken führen Geldkarten mit Funkchips ein. Mit der Funktion der sogenannten „Near Field Communication“ (NFC) können Bezahlvorgänge vorgenommen werden, ohne dass die Karten in einen Leser eingeführt werden müssen. Es genügt, sie in die Nähe der Funklesegeräte zu bringen.

Der Datenfluss während der eigentlichen Bezahlfunktion erfüllt meist hohe Sicherheitsanforderungen. Jedoch werden bei der NFC-Bezahlung darüber hinaus weitere Daten verarbeitet und nicht alle Funktionen sind dabei ausreichend abgesichert. Datenschützer verlangen daher eine Verbesserung der Informationssicherheit bei der NFC-Technologie.

Der Landesdatenschutzbeauftragte von Schleswig-Holstein etwa kritisiert, dass vor der Einführung der Technologie von den verantwortlichen Stellen keine vollständige Folgeabschätzung vorgelegt worden sei. Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein führt zahlreiche konkrete Mängel an, die aus Sicht der Datenschützer eine Nachbesserung der Technologie dringend erforderlich machen:

  • Auf den Geldkarten werden umfangreiche Informationen über NFC-Transaktionen wie Ladevorgänge und Abbuchungsaktionen mit Datum, Zeit, gezahltem Betrag sowie Händlerkartennummer gespeichert. Für den Abruf solcher Logdaten sowie der eindeutigen Kartennummer ist im Augenblick kein PIN-Code oder Kennwort notwendig. Die Daten können also ohne eine ausdrückliche Autorisierung des Karteninhabers ausgelesen werden.
  • Der Karteninhaber verfügt über keine Kontrollmöglichkeit der Datenübermittlung, da der Datenabruf nicht auf der Karte protokolliert wird. Eine nachträgliche Feststellung der empfangenden Stellen ist somit nicht möglich.
  • Vor einem Zugriff auf die Daten erfolgt keine Überprüfung der Abrufberechtigung. Dem Karteninhaber ist es damit auch nicht möglich, selbst zu bestimmen, welchen Stellen er einen Zugriff erlauben oder verweigern möchte.
  • Um ein Auslesen durch Unbefugte zu verhindern, beschränken sich die Banken in Ihren Empfehlungen an die Nutzer der NFC-Technologie momentan lediglich auf Hinweise, wie die Funktion der NFC-Schnittstelle mechanisch eingeschränkt werden kann. Aus Sicht der Datenschützer ist dies jedoch absolut ungenügend. Vielmehr müsste der Karteninhaber über die technische Möglichkeit verfügen, die Karte selbst zu aktivieren und deaktivieren.
  • Bisher wurden die Risiken des unbefugten Auslesens mit aktuell verfügbarer Technologie seitens der Banken nicht ausreichend überprüft und bewertet. Das ULD nennt etwa das passive Mitlesen eines stattfindenden Auslesevorgangs oder den gezielten Datenabruf mithilfe spezialisierter Antennen höherer Feldstärke.

Empfehlungen

Aufgrund der gravierenden Mängel bezüglich der Informationssicherheit bei den aktuell angebotenen Geldkarten mit NFC-Funktion raten die Datenschützer zu äußerster Vorsicht.

Anwendern, die bereits über Geldkarten mit NFC-Chip verfügen, wird empfohlen, diese Funktion zumindest nicht für Bezahlvorgänge zu verwenden, die Rückschlüsse auf Sachverhalte der Privat- und Intimsphäre zulassen.

Grundsätzlich empfiehlt das ULD, dass eine weitere Produktion von Geldkarten mit NFC-Chip beim aktuellen Stand der Informationssicherheit gänzlich unterbleiben sollte. Eine breite Nutzung der Technologie sollte erst nach einer ausreichend langen Testphase erfolgen, in der oben genannte Risiken erforscht und behoben werden.

Das ULD erachtet es für erforderlich, dass Banken sämtliche Kunden, die bereits über Karten mit NFC-Funktion verfügen, über die bestehenden Risiken sowie existierende Schutzmaßnahmen für die Übergangszeit informieren.
 

Verwandte Themen:
Rechtskonformes Forderungsmanagement
Wann ist die Drohung mit dem Schufa-Eintrag rechtswidrig?
Bonitätsprüfungen und Datenschutz
Datenschutz: Welche Rechte hat der Betroffene?
Externer Datenschutzbeauftragter erleichtert Compliance

Artikelbild: Symbolbild (c) BeauGiles

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.