Manche NFC Kredit- / Zahlkarten ermöglichen einfaches Auslesen der Transaktionshistorie

artikel_mastercardEin Argument von Kreditkartenverweigerern ist häufig, dass bei Zahlung per Karte genau verfolgt werden könne, für was wie viel Geld ausgegeben wird, inklusive Aufenthaltsort zum Zeitpunkt des Kaufs, gläserner Kunde quasi. Diese Argumentation kann mit den aktuellen Meldungen gut untermauert werden. Denn einige Karten, die sich zum kontaktlosen Zahlen nutzen lassen, speichern die Transaktionshistorie auf dem EMV-Chip der Karte. Diese lässt sich dann via Smartphone-App auslesen. Die Einträge werden mit Datum, Betrag und Währung gespeichert, wo genau die Transaktion stattgefunden hat, ist aber nicht ersichtlich.

Es ist eine ganze Kartengemeinschaft betroffen, es spielt auch erst einmal keine Rolle, ob es sich um eine Kredit- oder Debitkarte handelt. Gespeichert werden alle Transaktionen, die über ein Gerät erfolgen, sei es Bargeld am Automaten ziehen, via NFC oder „normalem“ Vorgang bezahlen. Zahlungen, die man online tätigt, werden logischerweise nicht erfasst, da ja nicht auf den Chip zugegriffen werden kann. Durch die Anzeige der Währung kann man so auch feststellen, wo sich der Inhaber aufhielt.

kk_nfc

Ich habe das Ganze mit einer Prepaid-Karte von Kalixa nachvollziehen können, die ich mehr oder weniger regelmäßig nutze. Auf dem Screenshot seht Ihr ganz normale Zahlungen im In- und Ausland und auch eine Bargeldabhebung, keine der angezeigten Transaktionen wurden via NFC getätigt. Karten von Number26 sind ebenfalls betroffen und auch die Fidor Smartcard gibt freudig Auskunft über die Transaktionen. Gleiches gilt für die Ing-Direct-Karte.

Nun stellt sich nur die Frage, für wen die auslesbaren Daten interessant sein könnten. Ich möchte damit nicht sagen, dass diese unverschlüsselte Speicherung der Daten in Ordnung ist, das geht auch besser, das zeigen die Karten, bei denen die Historie nicht ausgelesen werden kann. Aber für mich persönlich und meinen Zahlungsverkehr bricht damit keine Welt zusammen. Das kann bei Person XY aber schon wieder ganz anders aussehen, das verstehe ich.

Ich habe natürlich direkt probiert, ob man mir nun beim Vorbeigehen die Karte auslesen kann, steckt sie an ihrem gewöhnlichen Platz in der Geldbörse, ist dies nicht der Fall, das Ganze benötigt kurze Entfernungen, kommt aber vermutlich auch ein bisschen auf das Lesegerät an. Vielleicht doch einmal Zeit über eine abschirmende Geldbörse nachzudenken.

Für Euch ein Problem, dass diese Daten nicht nur unverschlüsselt gespeichert, sondern auch problemlos ausgelesen werden können? Falls Ihr selbst ausprobieren möchtet, mit der kostenlosen Android-App „Scheckkarteleser NFC“ und einer NFC-Karte könnt Ihr dies tun. Damit das klappt, muss NFC übrigens auch auf der Karte aktiviert sein, was in der Regel nach der ersten Zahlung der Fall ist.

Number 26 erklärte gegenüber T3N übrigens, dass man sich den Fehler, der nicht nur Number26-Karten betrifft zusammen mit den Partnern näher ansehen wird.

Scheckkartenleser NFC (EMV)
Scheckkartenleser NFC (EMV)
Entwickler: Julien MILLAU
Preis: Kostenlos+
  • Scheckkartenleser NFC (EMV) Screenshot
  • Scheckkartenleser NFC (EMV) Screenshot
  • Scheckkartenleser NFC (EMV) Screenshot
  • Scheckkartenleser NFC (EMV) Screenshot

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

36 Kommentare

  1. Link zur Quelle? Fehlen direkt zwei…

  2. bzw. was ich schreiben (sagen) möchte ist, dass ich die drei Links oben nicht öffnen kann, wenn das Links sind.

    Sieht in feedly etwas komisch aus.

  3. Tolles Beispiel, wie man so ein Thema aufgreift ohne eine reißerischer Überschrift zu verwenden im Gegensatz zu tn3. Die schaden damit nur den Anbieter der in diesem Falle nicht viel dafür kann.

  4. gibts auch eine App für Windowsphone?

  5. Sascha Ostermaier says:

    @Raphael: Augen auf beim Eierkauf. 3 Links zu 3 Quellen drin.

  6. Kompliment Sascha, ich finde auch, daß es sehr schön neutral geschrieben ist. Nach dem Eingangssatz habe ich nicht damit gerechnet, aber Respekt. Toll finde ich auch „Aber für mich persönlich und meinen Zahlungsverkehr bricht damit keine Welt zusammen. Das kann bei Person XY aber schon wieder ganz anders aussehen, das verstehe ich.“ Nach all der negativen Kritik, die ich auch an Deinem Stil immer wieder anbringe, muß man auch mal positive Kritik bringen 🙂

  7. Mich würden Deine Erfahrungen mit der Kalixa Card mal interessieren. Wenn man googled findet man Seitenweise negative Erfahrungsberichte, in vielen wird von Betrügerischem Verhalten seitens Kalixa gesprochen. Z.B. http://www.gutefrage.net/frage/hat-jemand-erfahrung-mit-der-kreditkarte-von-kalixa

  8. Eine NFC-Karte, die mir meine Bank aufgedrängt hat, vergammelt in der Schublade. Diese neue Meldung reiht sich eine in eine Reihe von Meldungen mit Vorfällen, die wegen der angeblich so „hohen Sicherheit“ der kontaktlosen Dinger gar nicht möglich sein sollen:

    Geld wird von den falschen Karten abgebucht:
    http://www.bbc.com/news/business-22545804

    Karten werden aus 45 cm Entfernung ausgelesen:
    http://www.bbc.com/news/technology-24743920

  9. Auslesen meiner ING Diba Kreditkarte brachte ….. diese Karte unterstützt keine Transaktionshistorie.

  10. Sascha Ostermaier says:

    @Nadin: Noch nie Probleme mit der Karte gehabt. Nutze die seit ungefähr 3 Jahren mit einem 5-stelligen Jahresumsatz. Ziehe die Zahlung mit der Karte sogar der Karte meiner Hausbank vor, frag mich aber nicht warum, bestimmt weil mir die Karte optisch besser gefällt. 😀

  11. Habs auch mal bei meiner Karte probiert und hab genau das gleiche Ergebnis wie mr.a, „Diese Karte unterstützt keine Transaktionshistorie“. Easybank (Österreich)

  12. Meine Karten können nicht ausgelesen werden und ich habe mindestens 3 NFC-fähige Karten dabei. Selbst wenn die aus mehr als paar Zentimeter entfern was empfangen könnten, bekommen die dann noch was brauchbares aus dem Wirrwar? Wenn ich es mit dem Handy probiere, muss ich nur meine Kreditkarte umdrehen und schon überstrahlt meine nicht aktivierte Bankkarte die Kreditkarte und bekomme in der App nichts mehr angezeigt…

  13. @Sascha 1. Gut und neutral verfasst. 2. Ich sehe das auch seeeeehr gelassen – immerhin sind das meine Informationen und in meiner Tasche kommen die so einfach auch nicht dran… und wenn jemand diesen Aufwand betreibt, dann frage ich mal nach dem Nutzen der dem gegenübersteht.
    @Nadine: Kalixa ist (noch) meine liebste Karte und vor allem, weil sie Kontaktlos ist. SMS bei jeder Kontobewegung schützt und ist für mich sehr informativ. Der Kerv-Ring wird die Karte wohl dann bald mal ablösen 😉

  14. Da hat aber jemand an Silvester was schönes in Tschechien „getrieben“ und ordentlich die Sau rausgelassen. Spaß, waren ja nur 17Euro.

  15. Ich wäre ein wenig vorsichtig mit der Verwendung des MasterCard-Logos.

    Hier sind die ausgebenden Banken diejenigen, die die Entscheidung getroffen haben, die History zu aktivieren.

  16. Herr Hauser says:

    Ich habe mit Kalixa auch keine Probleme. Auch kontaktloses bezahlen funktioniert tadellos.

    Da bei Gute Frage erzählt ja einer das seine Karte angeblich ständig gehackt wurde. Ich denke eher der ist auf Phishing oder anderem reingefallen und macht für seine Dummheit nur andere verantwortlich.

  17. Was heisst hier, ums auszulesen muss man nahe an die Tasche ran? Das heißt doch, das jedes Terminal, an dem man zahlt, auch gleich die Historie checken (und speichern) kann.
    Sicher für so manches Untersnehmen sehr interessant, wie oft und welche Beträge Ihr bezahlt…

  18. Herr Hauser says:

    Ich habe mal diese oben angegebene Android-App installiert und es mit der Kalixa probiert. Es wird angezeigt das es keine Transaktionshistorie gibt, obwohl ich viel mit der Kalixa zahle, auch Kontaktlos.

    Hingegen bei der Fidor-Karte gibt es eine hinterlegte Transaktionshistorie.

  19. Hab es gerade mit der Maestro und MasterCard von Number26 verifizieren können.

    Ich frag mich nur warum es so eine Historie überhaupt lokal auf der Karte gibt?

  20. @Lion:
    Und was sollen die aus meiner Historie herauslesen? Bei mir würde die nur sehen das es je nach Monat extrem schwankt. Und auf meinen Finanziellen Spielrahmen können die auch schlecht Rückschlüsse ziehen, da ich dafür zuviel Online mache.
    Außerdem sind es doch nur die letzten 10 Kontaktlosen Bezahlvorgänge, oder?

  21. @Sascha @Herr Hauser @Stefan Biel
    Danke für eure Erfahrungsberichte. Ich kannte die Kalixa vorher gar nicht und werde sie dann jetzt auch mal testen. Hatte mal eine Berliner Bank Prepaidkarte, aber dann haben Sie die AGBs geändert. Es war dann angeblich immer noch Prepaid, aber bei nicht vorhandenem Guthaben, kann man sie dann trotzdem noch nutzen und es wird einfach vom Konto abgebucht… Widerspricht für mich dann einer Prepaid-Karte zwar, aber das sah die Berliner Bank nicht so..

  22. @Lion: Und was sie alles mit den ganzen Kundenkarten machen können. 😉

  23. Gerade meine kontaktlose Visa Debit von der Consorsbank getestet. Auslesen klappt problemlos, aber Log zeigt keine Einträge, obwohl ich kontaktlos fleißig nutze. Hier scheint also alles OK.
    Meine kontaktlose Barclaycard Visa habe ich leider noch nie kontaktlos genutzt.

    Gruß

  24. Mensch Sascha… es werden maximal die letzten 10 Transaktionen gezeigt ! …. und zwar nur die wo die Karte eingesteckt wurde und mit PIN dann gezahlt wurde…. Kontaktlose Zahlungen oder Online-Zahlungen sind nichtmal erfasst :p

    Und die Infos

    Datum – Betrag

    Sind total langweilig :p

  25. @Timo: die Barclaycard wird ebenfalls nichts zeigen. Großartig finde ich aber, dass jetzt hier munter Kreditkarten über eine App von irgendeinem Entwickler ausgelesen werden 😀

  26. Ok, Datum und Höhe des Betrages sind jetzt eher weniger nützlich für Fremde. Aber ich frage mich warum das gespeichert wird.

    Was negativ auffällt ist der Umgang des NUMBER26-Supports mit dem Thema. Erst lügen („Karte speichert nichts“), dann nicht mehr antworten nachdem mehr Infos geliefert wurden, dann den Kommentar bei Facebook löschen. Die Bank wirbt mit einem anderen Anspruch.

  27. Frag ich mich auch Kalle… bei der Geldkarte wars eine coole Funktionn um zu sehen wann man sein Bargeld verbraucht hatte 😀

    Bei der MasterCard oder VISA ist es auf einmal eine Gefahr… Crazy.

    Eine Möglichkeit sehe ich noch als Grund… wenn jemand deine Karte Cloned und mit der kopierten Karte einkauft kontaktbehaftet und du hast diese Transaktion nicht auf deiner Karte drauf. Dann hast Du einen guten Beweis dafür, das es nicht mit deiner Karte gemacht wurde 😉

  28. na toll, und ich bekomme nächste Woche eine neue Kreditkarte incl NFC 😀 Aber eine von VISA, die in diesem Fall ja nicht betroffen sein soll.
    Aber auch ich finde dieses Problem recht nebensächlich. Ist natürlich nicht toll, aber da der Empfänger nicht angezeigt wird, find ich persönlich das recht egal. NFC wird bei mir vermutlich sowieso nur beim Tanken in Frage kommen und da geht es vermutlich nicht, da ich meist mehr als für 25 EUR tanke…

  29. Kontaktlos zahlen geht auch über 25€, allerdings muss dann verifiziert werden, also entweder PIN oder Unterschrift, je nach dem, was auf auf der Karte zuerst vorgesehen ist.

  30. Bei meiner DKB ist alles im Grünen Bereich. Eben ausprobiert.
    So manche Uni Karte bieten die Option auch an (z.B. via Sparkassen App) und das ist dann sogar gewollt und darüber wird auch informiert, dass man mit Hilfe von NFC und der App die Transaktionen und den Geldbetrag ablesen kann -> nur eben „für was“ steht nicht bei, tut auch nichts zur Sache, hauptsache der Student weiß zu jeder Zeit mit seinen Handy, wieviel Money er noch hat, um in der Mensa essen zu können. Finde das persönlich auch super. Das es bei der Kreditkarte nicht abgelesen werden kann, stört mich nicht.

  31. Gibt es eine vergleichbare App für iOS?

  32. Herr Hauser says:

    Apropos Kalixa, heute per Mail gekommen:

    Nach einer Laufzeit von 5 Jahren hat die Kalixa Payments Group aus strategischen Gründen entschieden, das Kalixa Pay Programm einzustellen; infolge dieser Entscheidung wird Ihr Account nun geschlossen. Wir senden dieses Schreiben an alle unsere Kunden, um zu erläutern, was diese Entscheidung für sie bedeutet.

    Einstellung von Kalixa Pay

    Ab (einschließlich) Montag, den 25. April 2016, können Sie über Ihr Kalixa Pay Account keinerlei Transaktionen mehr tätigen. Dies schließt das Aufladen von Guthaben, das Bezahlen von Waren oder Dienstleistungen mit Ihrer Kalixa Pay Karte im Internet oder an einer Verkaufsstelle, das Abheben von Bargeld an Bankomaten sowie das Überweisen von Guthaben an andere Kalixa Pay Kunden ein.

    Obgleich Ihr Kalixa Pay Account sowie Ihre Karte bis Montag, den 25. April 2016, aktiv bleiben, empfehlen wir Ihnen, von nun an kein weiteres Guthaben auf Ihren Account aufzuladen und das vorhandene Guthaben vor dem Montag, den 25. April 2016, aufzubrauchen.

  33. Herr Hauser says:

    Nochmal zu Kalxa.

    Anscheinend wurde die Karte bereits gesperrt. Trotz ausreichendem Guthaben werden Transaktionen (Internet, Geschäft) abgelehnt.

  34. Sascha Ostermaier says:

    @Herr Hauser: Gerade probiert (PayPal-Zahlung mit Abbuchung Kalixa), Transaktion wurde abgeschlossen und wird auch so in der Kontoübersicht angezeigt.