Manche NFC Kredit- / Zahlkarten ermöglichen einfaches Auslesen der Transaktionshistorie

artikel_mastercardEin Argument von Kreditkartenverweigerern ist häufig, dass bei Zahlung per Karte genau verfolgt werden könne, für was wie viel Geld ausgegeben wird, inklusive Aufenthaltsort zum Zeitpunkt des Kaufs, gläserner Kunde quasi. Diese Argumentation kann mit den aktuellen Meldungen gut untermauert werden. Denn einige Karten, die sich zum kontaktlosen Zahlen nutzen lassen, speichern die Transaktionshistorie auf dem EMV-Chip der Karte. Diese lässt sich dann via Smartphone-App auslesen. Die Einträge werden mit Datum, Betrag und Währung gespeichert, wo genau die Transaktion stattgefunden hat, ist aber nicht ersichtlich.

Es ist eine ganze Kartengemeinschaft betroffen, es spielt auch erst einmal keine Rolle, ob es sich um eine Kredit- oder Debitkarte handelt. Gespeichert werden alle Transaktionen, die über ein Gerät erfolgen, sei es Bargeld am Automaten ziehen, via NFC oder „normalem“ Vorgang bezahlen. Zahlungen, die man online tätigt, werden logischerweise nicht erfasst, da ja nicht auf den Chip zugegriffen werden kann. Durch die Anzeige der Währung kann man so auch feststellen, wo sich der Inhaber aufhielt.

kk_nfc

Ich habe das Ganze mit einer Prepaid-Karte von Kalixa nachvollziehen können, die ich mehr oder weniger regelmäßig nutze. Auf dem Screenshot seht Ihr ganz normale Zahlungen im In- und Ausland und auch eine Bargeldabhebung, keine der angezeigten Transaktionen wurden via NFC getätigt. Karten von Number26 sind ebenfalls betroffen und auch die Fidor Smartcard gibt freudig Auskunft über die Transaktionen. Gleiches gilt für die Ing-Direct-Karte.

Nun stellt sich nur die Frage, für wen die auslesbaren Daten interessant sein könnten. Ich möchte damit nicht sagen, dass diese unverschlüsselte Speicherung der Daten in Ordnung ist, das geht auch besser, das zeigen die Karten, bei denen die Historie nicht ausgelesen werden kann. Aber für mich persönlich und meinen Zahlungsverkehr bricht damit keine Welt zusammen. Das kann bei Person XY aber schon wieder ganz anders aussehen, das verstehe ich.

Ich habe natürlich direkt probiert, ob man mir nun beim Vorbeigehen die Karte auslesen kann, steckt sie an ihrem gewöhnlichen Platz in der Geldbörse, ist dies nicht der Fall, das Ganze benötigt kurze Entfernungen, kommt aber vermutlich auch ein bisschen auf das Lesegerät an. Vielleicht doch einmal Zeit über eine abschirmende Geldbörse nachzudenken.

Für Euch ein Problem, dass diese Daten nicht nur unverschlüsselt gespeichert, sondern auch problemlos ausgelesen werden können? Falls Ihr selbst ausprobieren möchtet, mit der kostenlosen Android-App „Scheckkarteleser NFC“ und einer NFC-Karte könnt Ihr dies tun. Damit das klappt, muss NFC übrigens auch auf der Karte aktiviert sein, was in der Regel nach der ersten Zahlung der Fall ist.

Number 26 erklärte gegenüber T3N übrigens, dass man sich den Fehler, der nicht nur Number26-Karten betrifft zusammen mit den Partnern näher ansehen wird.

[appbox googleplay com.github.devnied.emvnfccard]

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

36 Kommentare

  1. @Sascha @Herr Hauser @Stefan Biel
    Danke für eure Erfahrungsberichte. Ich kannte die Kalixa vorher gar nicht und werde sie dann jetzt auch mal testen. Hatte mal eine Berliner Bank Prepaidkarte, aber dann haben Sie die AGBs geändert. Es war dann angeblich immer noch Prepaid, aber bei nicht vorhandenem Guthaben, kann man sie dann trotzdem noch nutzen und es wird einfach vom Konto abgebucht… Widerspricht für mich dann einer Prepaid-Karte zwar, aber das sah die Berliner Bank nicht so..

  2. @Lion: Und was sie alles mit den ganzen Kundenkarten machen können. 😉

  3. Gerade meine kontaktlose Visa Debit von der Consorsbank getestet. Auslesen klappt problemlos, aber Log zeigt keine Einträge, obwohl ich kontaktlos fleißig nutze. Hier scheint also alles OK.
    Meine kontaktlose Barclaycard Visa habe ich leider noch nie kontaktlos genutzt.

    Gruß

  4. Mensch Sascha… es werden maximal die letzten 10 Transaktionen gezeigt ! …. und zwar nur die wo die Karte eingesteckt wurde und mit PIN dann gezahlt wurde…. Kontaktlose Zahlungen oder Online-Zahlungen sind nichtmal erfasst :p

    Und die Infos

    Datum – Betrag

    Sind total langweilig :p

  5. @Timo: die Barclaycard wird ebenfalls nichts zeigen. Großartig finde ich aber, dass jetzt hier munter Kreditkarten über eine App von irgendeinem Entwickler ausgelesen werden 😀

  6. Ok, Datum und Höhe des Betrages sind jetzt eher weniger nützlich für Fremde. Aber ich frage mich warum das gespeichert wird.

    Was negativ auffällt ist der Umgang des NUMBER26-Supports mit dem Thema. Erst lügen („Karte speichert nichts“), dann nicht mehr antworten nachdem mehr Infos geliefert wurden, dann den Kommentar bei Facebook löschen. Die Bank wirbt mit einem anderen Anspruch.

  7. Frag ich mich auch Kalle… bei der Geldkarte wars eine coole Funktionn um zu sehen wann man sein Bargeld verbraucht hatte 😀

    Bei der MasterCard oder VISA ist es auf einmal eine Gefahr… Crazy.

    Eine Möglichkeit sehe ich noch als Grund… wenn jemand deine Karte Cloned und mit der kopierten Karte einkauft kontaktbehaftet und du hast diese Transaktion nicht auf deiner Karte drauf. Dann hast Du einen guten Beweis dafür, das es nicht mit deiner Karte gemacht wurde 😉

  8. na toll, und ich bekomme nächste Woche eine neue Kreditkarte incl NFC 😀 Aber eine von VISA, die in diesem Fall ja nicht betroffen sein soll.
    Aber auch ich finde dieses Problem recht nebensächlich. Ist natürlich nicht toll, aber da der Empfänger nicht angezeigt wird, find ich persönlich das recht egal. NFC wird bei mir vermutlich sowieso nur beim Tanken in Frage kommen und da geht es vermutlich nicht, da ich meist mehr als für 25 EUR tanke…

  9. Kontaktlos zahlen geht auch über 25€, allerdings muss dann verifiziert werden, also entweder PIN oder Unterschrift, je nach dem, was auf auf der Karte zuerst vorgesehen ist.

  10. Bei meiner DKB ist alles im Grünen Bereich. Eben ausprobiert.
    So manche Uni Karte bieten die Option auch an (z.B. via Sparkassen App) und das ist dann sogar gewollt und darüber wird auch informiert, dass man mit Hilfe von NFC und der App die Transaktionen und den Geldbetrag ablesen kann -> nur eben „für was“ steht nicht bei, tut auch nichts zur Sache, hauptsache der Student weiß zu jeder Zeit mit seinen Handy, wieviel Money er noch hat, um in der Mensa essen zu können. Finde das persönlich auch super. Das es bei der Kreditkarte nicht abgelesen werden kann, stört mich nicht.

  11. Gibt es eine vergleichbare App für iOS?

  12. Herr Hauser says:

    Apropos Kalixa, heute per Mail gekommen:

    Nach einer Laufzeit von 5 Jahren hat die Kalixa Payments Group aus strategischen Gründen entschieden, das Kalixa Pay Programm einzustellen; infolge dieser Entscheidung wird Ihr Account nun geschlossen. Wir senden dieses Schreiben an alle unsere Kunden, um zu erläutern, was diese Entscheidung für sie bedeutet.

    Einstellung von Kalixa Pay

    Ab (einschließlich) Montag, den 25. April 2016, können Sie über Ihr Kalixa Pay Account keinerlei Transaktionen mehr tätigen. Dies schließt das Aufladen von Guthaben, das Bezahlen von Waren oder Dienstleistungen mit Ihrer Kalixa Pay Karte im Internet oder an einer Verkaufsstelle, das Abheben von Bargeld an Bankomaten sowie das Überweisen von Guthaben an andere Kalixa Pay Kunden ein.

    Obgleich Ihr Kalixa Pay Account sowie Ihre Karte bis Montag, den 25. April 2016, aktiv bleiben, empfehlen wir Ihnen, von nun an kein weiteres Guthaben auf Ihren Account aufzuladen und das vorhandene Guthaben vor dem Montag, den 25. April 2016, aufzubrauchen.

  13. Herr Hauser says:

    Nochmal zu Kalxa.

    Anscheinend wurde die Karte bereits gesperrt. Trotz ausreichendem Guthaben werden Transaktionen (Internet, Geschäft) abgelehnt.

  14. Sascha Ostermaier says:

    @Herr Hauser: Gerade probiert (PayPal-Zahlung mit Abbuchung Kalixa), Transaktion wurde abgeschlossen und wird auch so in der Kontoübersicht angezeigt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.