Number26 äußert sich zum Auslesen der Transaktionshistorie bei NFC-Karten

artikel_number26Gespeicherte Transaktionskarten auf NFC-fähigen Kredit- und Debitkarten machten gestern die mediale Runde, da sie sich einfach per Smartphone auslesen lassen. Die Transaktionsdaten sind unverschlüsselt gespeichert, ersichtlich sind so für den auslesenden der Betrag und die Währung, die bei der Transaktion verwendet wurde. Wie man diese Daten missbräuchlich verwenden sollte, ist mir schleierhaft, dennoch natürlich ein Thema, das man nicht vernachlässigen kann. Von Number26, einem der betroffenen Kartenanbieter, gibt es nun eine offizielle Stellungnahme. Bereits der erste Satz stößt aber etwas auf, denn um eine „übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist“ soll es sich handeln. Da ich gestern aber mehr Karten gesehen habe, bei denen es nicht geht, scheint das so üblich gar nicht zu sein. Aber lest die komplette Stellungnahme, immerhin erfahrt Ihr, dass sich mit den Daten offensichtlich nichts anfangen lässt.

Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.
Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.
Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.
Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig. – Number26

Zwei Möglichkeiten habt Ihr, wenn Ihr vom Ausleseszenario betroffen seid. Entweder Ihr nehmt den Umstand der Speicherung hin oder Ihr sucht Euch einen Anbieter, der diese Option auf seinen Karten nicht aktiviert hat. Im Gegensatz zur Meinung von Number 26 gibt es da doch einige.

(Quelle: T3N (Update))

number26_maestro

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

44 Kommentare

  1. Die Antwort ist schlicht eine Frechheit. Unverschlüsselte Transaktionshistorien, für jedermann einlesbar, als „üblich“ und „unproblematisch“ zu bezeichnen. Aber, nunja, Hipster-Bank halt.

  2. habe gestern Miles&More und Valovis getestet.
    Bei beiden war keine Transaktionshistorie gespeichert!

  3. Bei der lbb Amazon ist auch nichts gespeichert. Bei meiner N26 konnte ich 10 Buchungen sehen.

  4. Verstehe das Problem nicht, niemand kann mit diesen Daten was anfangen und es sind ja auch gar nicht alle Transaktionsdaten enthalten. Wer sich über sowas aufregt sollte in der heutigen Zeit am besten gleich gar keine Technik mehr nutzen.

  5. Über was man sich alles aufregen kann, unglaublich.
    Die Bank meiner Großeltern, die kein Internet haben verschickt die Kontoauszuge per Post.
    Oh, wenn die einer in die Hände bekommt.
    Die meisten Kontoauszugsdrucker funktionieren ohne Eingabe einer Geheimzahl.

  6. „Im Gegensatz zur Meinung von Number 26 gibt es da doch einige.“

    Welche denn? Ich dachte, dass wäre das Problem dieser Technologie. Schließlich wird „automatisch“ zu Geräten in der Nähe eine Verbindung aufgebaut. Es gibt ein paar Anbieter, die nicht Logs speichern. Aber schlimmer ist es bei Kreditkarten (und dort sind die NFC Chips ja zumeist eingebaut) die Kartennummer und das Ablaufdatum auslesen zu können. Aber dies lässt sich kaum vermeiden, da man sich sonst beim Zahlen nicht „registrieren“ kann. Das ganze funktioniert laut Entwickler der App, mit welcher die Screenshots gemacht wurden, für nahezu alle Banken. Nur einige neuere NFC EMV-Kreditkarten wurden diese Daten entfernt.
    Am besten ist es einfach eine Metallschutzhülle für die NFC-Mastercard/Visa/… zu kaufen, dann kann dort nichts ausgelesen werden.

  7. Ich vermute mal, dass nur MasterCard-Karten betroffen sind? Und davon auch nur einige? Bei der DKB und Consorsbank (beide Visa) kann ich nichts auslesen.

  8. Eine Frechheit von Number26!
    Das passt ins Bild zum schlechten Kundenservice: in der Hotline habe ich nach 40 Minuten aufgegeben und meine Anfrage per E-Mail wurde seit drei Wochen nicht beantwortet.
    Number26 wirkt wie ein Saftladen!

  9. Den schlechten Kundenservice kann ich bestätigen. Bei zwei Vorfällen über keinen Kanal Kontakt bekommen (eine Ausnahme s.u.). Telefon dauerbesetzt, Mails werden nicht beantwortet und im Chat Wartezeiten von über einer Stunde. Das habe ich mir einmal angetan, das Ergebnis war mehr als bescheiden.

    So wird das nix, N26, da bin ich bald wieder weg.

  10. der wahre Tom ! says:

    Es geht hier GENAU um Datum und Betrag.
    Gut, das ist erst einmal ein wenig unschön, Skandal geht allerdings vollkommen anders.

    @Verfasser:

    Zusammenfassung dieses Beitrages:
    = Sachverhalt benannt.
    = Auf den (vermeintlichen) Widerspruch hingewiesen zwischen „übliche Karteneinstellung“ und „scheint es so üblich gar nicht zu sein ..“

    Wenn „scheint nicht so üblich zu sein“ in einem Satz steht, ist das kein Fakt, das ist noch nicht mal eine Aussage, das ist einfach heiße Luft !

    Damit ist dieser vermeintliche Widerspruch und damit der eigentliche Inhalt des Artikel bis auf die Problemdarstellung vollkommen substanzlos.
    Und selbst bei der Problemdarstellung fehlt das „Warum ist so“ um die Relevanz etwas genauer für sich selbst und andere einschätzen zu können.

    Die Aussage das etwas „üblich ist“ bringt natürlich ebenfalls wenig glaubhafte Information.
    Um so mehr erwartet man von einem technischen Artikel in Blog nicht nur Geraune a la „Das neue Blatt“, sondern vielleicht einmal ein paar zusätzliche Infos für die geneigte Zielgruppe:

    Warum ist diese Funktion wohl vorhanden ?

    Warum könnte das ein Problem sein ?
    (Kein Problem, kein Skandal )

    Inwiefern ist diese Funktionalität nicht üblich, und damit die Aussage von N26 falsch ?
    (konkrete Zahlen, Vergleiche wie „Mastercard sagt dazu.. oder xx % aller (Kredit-) Karten mit Ausgabedatum 2015/ von xxx ausgegeben besitzen diese Funktion nicht .. usw.)

    „Üblich“ ist tatsächlich schwer zu quantifizieren, aber ein „scheint es so üblich gar nicht zu sein ..“ ist wohl nicht besser…

  11. Sascha Ostermaier says:

    @der wahre Tom !: Der Inhalt des Artikels ist die Stellungnahme von Number26 zu einem Artikel gestern (bereits erkennbar an der Überschrift). Wenn Dir das zu substanzlos ist, kann ich da nichts für, für die Substanz hat in diesem Fall Number26 als einer der betroffenen Kartenausgeber gesorgt. Und natürlich kann ich nur schätzen, wenn ich keine belastbaren Zahlen habe, aber ich habe gestern sehr viele Kommentare zu dem Thema auf verschiedenen Seiten gelesen und durch diese Kommentare scheint es nunmal nicht so verbreitet zu sein, wie es von manchen Seiten gerne als Skandälchen hochstilisiert wurde. Schönen Tag noch.

  12. Wo kann ich denn den Blog vom wahren Tom lesen? Freue mich immer qualitativ besten Journalismus zu konsumieren, der keine Wünsche offen lässt!

  13. der wahre Tom ! says:

    @Sascha

    „für die Substanz hat in diesem Fall Number26 als einer der betroffenen Kartenausgeber gesorgt.“
    Für die Substanz in DEREN Information, das habe ich auch durchaus kritisch zum Ausdruck gebracht.
    Ich hatte mir aber erlaubt die Substanz in DEINEM Artikel kritisch zu hinterfragen.

    „natürlich kann ich nur schätzen, wenn ich keine belastbaren Zahlen habe“

    Ziel eines journalistischen Tuns ist es eigentlich sich entsprechende Informationen zu beschaffen.
    Erster und gern genutzter Anlaufpunkt sind da zum Beispiel die Pressestellen der Kartenanbieter oder Banken.

  14. Die Transaktionshistorie kann sehr wohl sensibel sein. Hat der Kunde im Sex-Shop nebenan eingekauft? Hat er im Waffenladen mit seiner Karte bezahlt? Fährt er Taxi und bezahlt dort? Wenn ja, dann kann ein Laden alle diese Daten mit Kundenkarten etc. verknüpfen und ein Profil erstellen.

  15. @r0m
    Da der Händler in der History nicht gespeichert wird. Funktioniert das aber nicht…

    ———+-

    PS: Die Geldkarte hat übrigens auch eine unverschlüsselte Historie.

  16. @r0m
    der Empfänger der Transaktion ist doch garnicht auslesbar! Oder schließt du bei einem Betrag von 26,95EUR auf einen Sexshop und bei 3560€ auf einen Waffenladen?

  17. Sascha Ostermaier says:

    @der wahre Tom !: Darf ich fragen, was Du beruflich machst? Ich würde Dir Deinen Job nämlich auch gerne erklären.

  18. @r0m
    Du solltest erst mal den Artikel lesen und verstehen und erst danach kommentieren… dann sonderst du auch nicht so ein Blabla ab.

    Da oben steht ganz klar drin das nur Betrag und Datum gespeichert steht. Und sonst nichts. Insbesondere auch nicht der Name des Händlers.

  19. Was stört euch alle denn daran wenn diese (absolut belanglosen) Daten einsehbar sind??

    Als nächstes stören sich die Leute wohl auch noch daran dass die Kreditkartennummer, Ablaufdatum und dieser CVC Code auf der Karte steht Oo

  20. der wahre Tom ! says:

    @sascha

    das lasse ich jetzt mal dem Sinn nach unkommentiert ..

    Ansonsten muss ich mich wohl entschuldigen, da ich Dir offensichtlich auf die sprichwörtlichen Füße getreten bin.

    Ansonsten bin ich in der IT im Bereich QM / Konstruktion tätig.
    Wenn Du dazu Vorschläge oder Meinungen hast, nur zu.. 😎

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.