Hacker-Angriff auf Kreditkarte in der Tasche. Ein Versuch zeigt, wie leicht es geht.

Die Hackerin Kristin Page demonstrierte auf der Sicherheitskonferenz Shmoocon, wie leicht Kreditkarten mit RFID-Chip ausgelesen werden können. Das US-Wirtschaftsmagazin Forbes berichtet über dieses Angriffs-Szenario. Die millionenfach verbreiteten Kreditkarten mit RFID-Chip können problemlos durch Kleidung oder Geldtasche hindurch angezapft werden. Für den Angriff sind nur ein RFID-Leser und ein Schreibgerät für den Magnetstreifen der Karten notwendig, mehr nicht. Beide Geräte sind für ein paar hundert Euro frei erhältlich.

Analoge Taschendiebe benötigen Körperkontakt mit ihren Opfern. Die digitalen Vertreter ihrer Zunft müssen dagegen nur in die Nähe ihres Opfers zu kommen. Das Lesegerät erfasst die Kreditkarten-Daten dann berührungslos durch Stoff oder Tasche hindurch. Auch eine Ledergeldtasche bietet keinen Schutz. Die erhaltenen Daten werden auf eine leere Kreditkarte magnetisiert und schon kann eine unautorisierte Zahlung erfolgen.

Page demonstrierte den Angriff eindrucksvoll auf der Sicherheitskonferenz Shmoocon in der US-Hauptstadt Washington. Sie las die Karte eines Freiwilligen aus dem Publikum aus und überwies sich selbst 15 Dollar. Um die Konferenzteilnehmer restlos vom geglückten Angriff zu überzeugen, präsentierte sie dann seine Kreditkartendaten auf dem Bildschirm, sichtbar für alle Konferenzteilnehmer. Um eine Betrugsanzeige zu vermeiden, gab sie ihm daraufhin einen 20 Dollarschein.

Ohne dass der Besitzer seine Karte aus der Hand gibt, ja ohne sein Wissen, ist es für den Angreifer ein Leichtes, an die Daten zu kommen. Laut Page sei der Hacker-Angriff geradezu lächerlich einfach. Für die Kreditkarten-Industrie ist dies jedoch nichts Neues. Gegenüber dem Forbes Magazin bestätigt Randy Vanderhoof von der Smart Card Alliance, dass das Szenario hinreichend bekannt sei, jedoch in der Geschichte der neuen RFID-Karten noch kein einziges Mal vorgekommen ist. Aber obwohl hundert Millionen dieser Karten im Umlauf sind, wurde innerhalb der sechs Jahre ihrer Verwendung noch kein einziger Betrugsfall dieser Art gemeldet. Möglicherweise liegt das daran, dass sich der Aufwand für den Hacker nicht wirklich lohnen würde. Die Bedrohung ist also weder neu noch unbekannt, sagt Randy Vanderhoof. Bei Visa heißt die neue Technologie der mit RFID-Chip ausgestatteten Kreditkarte payWave, bei MasterCard PayPass, und American Express nennt sie ExpressPay.

Eine neue Sicherheitsmaßnahme bietet die RFID-Kreditkarte im Vergleich zu älteren Kreditkarten. Der eingebaute Chip erzeugt einen CVV-Code, der nur für eine einzige Transaktion gültig ist. Bei jeder neuen Verwendung wird auch ein neuer Code geliefert. Aus diesem Grund können die berührungslos aus der Geld-oder Hosentasche herausgelesenen Daten nur ein einziges Mal verwendet werden. Und falls der ahnungslose Besitzer der Karte zuvor eine Zahlung tätigen sollte, sind die gestohlenen Daten für den Dieb wertlos geworden – er kann sie nicht mehr verwenden. Laut Vanderhoof ist das Sicherheitsrisiko bei RFID-Karten aus diesem Grund niedriger als bei Kreditkarten, die ohne diese Sperre auskommen.

Trotzdem wird angesichts einer immer hochtechnisierteren Welt das Thema Datenklau immer brisanter. Die Vorstellung, so einem Angriff zum Opfer fallen zu können, erzeugt ein unangenehmes Gefühl. Da dies vor allem ohne eigenes Wissen und ohne jede Berührung geschehen kann, ist es auch nicht möglich, sich gegen so einen Angriff zu wehren. Und in Zukunft werden zweifellos mehr und mehr Karten mit Zusatzfunktionen ausgestattet werden, die den Datentransfer erleichtern, aber auch neue Sicherheitsrisiken mit sich bringen. Wer angesichts des Vormarsches der neuen Technologien auf Nummer Sicher gehen will, hat allerdings die Möglichkeit, seine Kreditkarte, oder auch andere mit RFID ausgestattete Karten, wie den Personalausweis, auf eine neuartige Weise gegen Datendiebstahl zu schützen. PersoSafe ist der Name einer speziellen Schutzhülle aus Metall, die das Herauslesen der Daten in jedem Fall verhindern kann.