Sicherheit bei kontaktlosen Kreditkarten

Im Moment ist der große Aufreger (nicht nur in Deutschland, auch z.B. in Großbritannien) das "drahtlose Kreditkarten" über NFC-fähige Smartphones und einer entsprechenden App "auslesbar" wären. Ich frage mich gerade, wo mein Denkfehler hier ist. Denn genau das, was jetzt als Sicherheitslücke gesehen wird, ist doch der Zweck dieser Kartentechnik! Wenn ich nicht möchte, dass die Daten kontaktlos ausgelesen werden können, dann schaffe ich mir keine solche Karte an. Ist sie jedoch da, dann wird diese auch entsprechend arbeiten. Es ist ja der Sinn und Zweck, dass diese Karte ohne Kontakt von Lesegeräten ausgelesen werden kann. So soll der Bezahlvorgang vereinfacht werden. Das jetzt Spaßvögel Methoden entwickeln, auch dann die Karte auszulesen, wenn sie dazu keine Veranlassung haben, war ja nichts, was die Welt wirklich überraschen sollte.

Fakt ist, dass jetzt die Kreditkartennummer inkl. des Ablaufdatums praktisch von beliebigen Personen (aus-)gelesen werden kann. Ob das überhaupt verboten ist oder verboten werden kann, sei mal egal. Kriminell wird es doch erst, wenn jemand auf die Idee kommt, mit diesen Daten zu "bezahlen" und sie eben beim Bezahlvorgang anzugeben.

Nachdem dies jetzt aber möglich ist, muss man sich überlegen, ob die Technik nicht doch zu voreilig eingesetzt wurde. Oder aber ob nicht doch zusätzliche Sicherheitsmechanismen in die Karte zu integrieren wären. So z.B. das die Karte die Daten erst unverschlüsselt frei gibt, wenn ein- oder zwei Sensoren auf der Karte freigelegt oder abgedeckt sind (oder was ähnliches). Jetzt aber über die Hersteller oder die Karte herzufallen, nur weil sie macht, was sie soll, ist nicht nachvollziehbar.

Was für eine Sicherungsmaßnahme würdet ihr hier akzeptieren, um so eine drahtlose Kreditkarte sicherer zu machen, aber ohne den Aufwand erforderlich zu machen, den es z.B. bei den Magnetkarten gab und der Vorteil des "kontaktlosen" verloren geht? Eine Möglichkeit wäre ja z.B. zwei verschiedene kontaktlose Karten im Geldbeutel zu halten.

Wie bei vielen anderen Themen wird auch hier vor allem der Kunde verunsichert. Beim kontaktlosen Bezahlen wird ja vor Ort immer auch die Unterschrift, manchmal auch der Ausweis geprüft. Das heißt, nur mit den ausgelesenen Daten kann (auch, weil keine Originalkarte vorliegt) im Geschäft schonmal nicht bezahlt werden. Auch eine funktionierende Kartendublette kann mit den ausgelesenen Daten nicht hergestellt werden, weil zusätzlich ein EMV-Chip abgefragt wird, der die Originalkarte verifiziert. Für einen Missbrauch der Daten müsste ich also schon online einkaufen gehen.

Die meisten Online-Händler verlangen aber zusätzlich zur Kartennummer und zum Ablaufdatum auch den 3-stelligen CIV-Code, der auf der Rückseite der Karte aufgedruckt ist und der nicht kontaktlos übertragen wird. Wenn der Händler aber diesen Code nicht verlangt und nur aufgrund der ausgelesenen Kartennummer und des Ablaufdatums der Karte die Bezahlung akzeptiert, so haftet dieser Händler in vollem Umfang für den entstandenen Schaden, weil er sich dazu entschlossen hat, das unsicherere Verfahren anzubieten.

Falls man Opfer eines solchen Datenmissbrauchs wird, einfach mit dem Kreditkartenauszug zur Bank oder Sparkasse gehen, die kümmern sich für Euch um die Erstattung.