Kontaktloses Bezahlen bietet viele Vorteile. Allen voran: Bequemlichkeit. Je nachdem braucht man nichts weiter tun, als die Karte oder das Smartphone an das Terminal zu halten – fertig. Schon ist das Produkt der Wahl bezahlt und man kann weiter. Dennoch soll kontaktloses Bezahlen per NFC (Near Field Communication) überaus sicher sein. So sieht es auch das deutsche Bundesministerium für Sicherheit in der Informationstechnik (BSI). Forscher der Universitäten Surrey und Birmingham vertreten eine gegenteilige Meinung.
Bequemlichkeit schlägt Sicherheit
„Weniger ist mehr“ heißt es im Titel einer neuen Untersuchung der Universitäten Surrey und Birmingham. Die Sicherheitsforscher haben viele versteckte Schwachstellen von Bezahlsystemen aufgedeckt, die es ihnen ermöglichten, unautorisiert Transaktionen mit hohem Wert durchzuführen, wie die BBC berichtet.
Konkret haben die Forscher Terminals etwa dazu gebracht, Geldkarten zu akzeptieren, obwohl nur Smartphones erlaubt gewesen wären. Oder aber, Bezahlvorgänge durchzuführen, die über einem bestimmten Limit für kontaktloses Bezahlen liegen. Letzteres ohne PINs oder biometrische Überprüfungen. In einem Fall soll es sogar möglich gewesen sein, eine unautorisierte Zahlung in Höhe von 25.000 Pfund (etwa 28.500 Euro) durchzuführen. Und damit einen Betrag zu überweisen, der weit über den üblichen Kontaktlos-Limits liegt.
Als Grund für die zahlreichen Schwachstellen gaben die Sicherheitsforscher nicht etwa konkrete Fehler von Unternehmen an. Sondern unterstrichen lediglich, dass komplexe Systeme wie die von Visa, Mastercard oder Europay, Schwachstellen entwickeln können, wenn neue Features ohne die nötige Koordination zwischen den Anbietern ergänzt werden. Dazu zählen etwa Offline-Bezahlmöglichkeiten, Optionen für den Transport und regionsspezifische Regeln für die PIN-Eingabe bei Transaktionen mit hohem Wert.
- Passend dazu: Drahtloser Angriff: So verteidigst du deine Geldkarte
Zusammenarbeit erforderlich
„Die Branche hat bereits vielversprechende Verbesserungen vorgenommen, aber es besteht weiterhin Bedarf an einer besseren Koordination zwischen den Anbietern, um sicherzustellen, dass Bequemlichkeit nicht neue Möglichkeiten für Betrug schafft“, so Ioana Boureanu, Direktorin des Surrey Centre for Cyber Security. Die Forscher sollen bereits 2024 alle gefundenen Schwachstellen gemeldet und auch geholfen haben, diese zu beseitigen.
Ein Visa-Sprecher versicherte gegenüber der BBC, kontaktloses Bezahlen sei weiterhin eine der sichersten Zahlungsoptionen für Kunden. Wir empfehlen dennoch, einerseits verstärkt darauf zu achten, dass Geldkarten und für das kontaktlose Bezahlen eingerichtete Endgeräte nicht verloren gehen oder entwendet werden. Und andererseits regelmäßig abgebuchte Beträge zu überprüfen, um Karten im Zweifelsfall zeitnah zu sperren. In Deutschland geht das über den Sperr-Notruf 116 116.
