Number26 äußert sich zum Auslesen der Transaktionshistorie bei NFC-Karten
Gespeicherte Transaktionskarten auf NFC-fähigen Kredit- und Debitkarten machten gestern die mediale Runde, da sie sich einfach per Smartphone auslesen lassen. Die Transaktionsdaten sind unverschlüsselt gespeichert, ersichtlich sind so für den auslesenden der Betrag und die Währung, die bei der Transaktion verwendet wurde. Wie man diese Daten missbräuchlich verwenden sollte, ist mir schleierhaft, dennoch natürlich ein Thema, das man nicht vernachlässigen kann. Von Number26, einem der betroffenen Kartenanbieter, gibt es nun eine offizielle Stellungnahme. Bereits der erste Satz stößt aber etwas auf, denn um eine „übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist“ soll es sich handeln. Da ich gestern aber mehr Karten gesehen habe, bei denen es nicht geht, scheint das so üblich gar nicht zu sein. Aber lest die komplette Stellungnahme, immerhin erfahrt Ihr, dass sich mit den Daten offensichtlich nichts anfangen lässt.
[color-box color=“gray“ rounded=“1″]Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.
Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.
Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig. – Number26[/color-box]
Zwei Möglichkeiten habt Ihr, wenn Ihr vom Ausleseszenario betroffen seid. Entweder Ihr nehmt den Umstand der Speicherung hin oder Ihr sucht Euch einen Anbieter, der diese Option auf seinen Karten nicht aktiviert hat. Im Gegensatz zur Meinung von Number 26 gibt es da doch einige.
@Max26
Diese Daten sind absolut nutzlos.
Aber wer weiß was die noch alles nicht abgeschaltet haben? Bis vorgestern hätten doch alle gedacht das es sowas nicht gibt. Andere Banken haben es abgeschaltet. Das zeigt doch nur das das Dilletanten sind.
Ich habe mich für N26 auch interessiert und hatte ein paar Fragen dazu. Nach mehrmals 30 Minuten Warteschleife – und niemals jemand der drangegangen ist – sowie vergeblichen anderen Versuchen (Chat) hatte ich die Nase voll von denen.
Wenn ich mal ein echtes Problem, und es gibt keine Möglichkeit mit denen zu kommunizieren, dann habe ich ein Riesenproblem.
Das geht GAR NICHT. Die spielen nur und sind völlig überfordert.
Per NFC auslesbare (genau wie hier die letzten Transaktionen etc.) Bank-Karten gabs schon vor 2 Jahren, technologisch ist da zu Kreditkarten kaum ein Unterschied und auch die Hersteller sind die selben (MasterCard etc.).
Für mich teilweise verständlich ist die neuerliche Aufregung schon, aber nicht warum nach dieser Zeit die Hersteller nicht nachgebessert haben bzw. sich auf überholte Voreinstellungen auszureden versuchen.
http://derstandard.at/1388650296717/Smartphone-App-liest-Bankomatdaten-aus
Interessant in dem alten Artikel finde ich die Erwähnung, die Karten mittels NFC möglicherweise unbrauchbar zu machen (durch mehrfache Übermittlung falscher PIN Codes). Ich gehe mal jetzt davon aus, dass das auch für diese neuen Number26 Karten gelten würde.
Ob auslesbar oder nicht, für mich überwiegen letztlich die Vorteile – fertig! :o)
Numbers26 macht weder einen kompetenten noch seriösen Eindruck. Zeigt sich ja sehr schön an der Stellungnahme zu diesem Problem. Wer um alles in der Welt tut sich so etwas an? Mit einer echten Bank ist man da wohl besser beraten.
Sehe da keinen Skandal.
Ich hab mal meine number26 Karte ausgelesen.
Genau zwei Datensätze kamen raus, obwohl auf der Karte schon etliche Transaktionen gelaufen sind.
Die eine, auf der Karte abgelegte, Transaktion war dann auch noch aus der Anfangszeit, wo die Karte noch nicht aktiv war und ich aus Versehen bezahlen wollte. Also eine nicht getätigte Buchung.
Wow…Skandal…nicht.
Muss irgendwie @Petr zustimmen. Und auch mal der Tatsache, dass mit den aufgedruckten Daten auf der Karte wesentlich mehr Schaden angerichtet werden kann. Letztlich sollte das also im Verhältnis gesehen werden.
Schön ist es trotzdem nicht, zumal ja offenbar ohne großen Aufwand vermeidbar.
@der wahre Tom!
Das hier ist ein Blog. Keine Fachzeitschrift. Und selbst wenn es eine Fachzeitschrift wäre. Darf ein Autor keine Schätzung oder Meinung im Artikel unterbringen? Sie ist als solche gekennzeichnet. Wer ausreichend in der Lage ist, seinen Verstand zu benutzen, sollte sich des Umstandes bewusst, und demnach in der Lage sein, die Informationen sinnvoll verarbeiten zu können. Wenn du also nicht Fakt, Meinung und/oder Schätzung unterscheiden kannst, liegt das Problem nicht bei Sascha.
@der wahre Tom !
ich glaube du kannst zwischen Berichterstattung und Editorials nicht unterscheiden. Wenn die Crew auf diesem Blog zu jedem Bericht eine detailierte Inhaltsanalyse nach Tatsachen machen würde, um daraus eine eigene Meinung zu formulieren, dann würde man die Anzahl der Posts hier wahrscheinlich dritteln. Für dein Anliegen gibt es dann genau diese Kommentare, wo du nett und sachlich deine eigene Meinung vertreten kannst. Die Inhalte sind ja schon umsonst, da kann man also ruhig mal als Teil der Community beitragen. Außerdem kann ich mir vorstellen, wenn du dein Statement etwas netter formuliert hättest, dass dir Sascha sogar zugestimmt hätte.
Back to Topic. Ich hantiere gerade mit Number26, aber werd wohl auch erstmal die Finger davon lassen. Zumindest als vollwertigen Ersatz meines Girokontos. Wir Techies gehören meistens zu den „early Adopters“, bei denen neue und gut durchdachte Services gerne mal das Herz höher schlagen lassen. Produkte von Start Ups auszuprobieren ist für uns das täglich Brot. Man darf dabei nur nicht den Blick von oben vergessen, denn hier geht es bei einer Bank als Dienstleister um unser hart verdientes Geld! Start Ups sprießen genau so aus dem Boden, wie sie auch wieder absterben und ich habe noch nicht das Gefühl, dass N26 diese sichere Hürde schon überschritten hat. 100.000 Nutzer finde ich auch nicht sonderlich eindrucksvoll. Wenn man jetzt 30min+ in der Warteschlange hängt, heißt das für mich, dass man nicht das nötige Geld für eine ausreichende Anzahl an Mitarbeitern in die Hand nimmt. Das „könnte“ schon ein erstes Alarmsignal sein, für eine Bank, die doch einen so guten Support nach außen kommuniziert.
Oh.. ist die supi dupi Hipster Bank doch nicht so gut und vertrauenswürdig wie alle am Anfang schwadroniert haben. Wer hätte das gedacht…
Wie immer bei NFC-Karten (Personalausweis, Reisepass, Geldkarte, Kreditkarte, Bezahlkarte vom Stadion) die Karte immer schön in einen abgeschirmten Schuber stecken. Es gibt sogar Portemonnaies mit entsprechenden Fächern.
Die Frage ist.
Ist die „hipster bank“ schuld.
Oder doch eher wirecard. Wo man am Ende ja rechtlich Kunde ist?
Noch schlimmer als Hipster sind die Leute, die scheinbar keine Ahnung haben, wofür das Wort steht. Prinzipiell finde ich es nämlich eine feine Sache, was N26 so treibt. Keine andere Bank-App bewegt sich auch nur im gleichen User Experience Universum, als das man sie überhaupt vergleichen könnte. Die App ist einfach fantastisch und wer sich das nicht eingesteht, hat sie höchstwahrscheinlich noch nicht ausprobiert. „That being said“ gibt es leider viele Leute, die nur diese Fassade sehen und das ist natürlich bei weitem nicht die ganze Geschichte. Ich persönlich denke jeden neuen Service auf dem Markt ohne Hintergedanken auszuprobieren, ist genau so bescheuert wie sich aus Paranoia vor staatlichen Cyber-Agenturen zu Hause einzuschließen und den Computer nur noch für Microsoft Word zu gebrauchen.
Bis aus N26 eine richtig Bank wird, wird es noch eine Weile dauern. Anfrage bzgl. Scheckeinreichung und Gemeinschaftskonto an N26 per E-Mail gestellt. Automatische Antwort dass die Bearbeitung 3-5 Tage dauern kann. Die Antwort (geht beides nicht) dann kam nach 11 Tagen! Seriös ist anders. Meine Old-Style Genossenschaftsbank antwortet während der Geschäftszeiten innerhalb von 2-3 Stunden. Gebühren fallen dort auch keine an. Im Gegenteil, für meine Genossenschaftsanteile bekomme ich sogar noch eine für heute Verhältnisse satte Verzinsung.
Jetzt mal im Ernst:
Kennt einer von Euch eine Bank, deren EC oder MasterCard man in Echtzeit für Transaktionen freischalten oder sperren kann? Ich empfinde diese Funktion, die im übrigen hervorragend funktioniert, als bestes Sicherheitstool seit langem. Für den Rest der Zeit habe ich quasi nur ein wertloses Stück Plastik in der Tasche!
Sich jetzt über ein paar „wertlose“ Daten aufzuregen, während man alleine für diesen Komtentar schon seine Mail-Adresse angeben muss, halte ich für übertriebenen Aktionissmus. Ich gehe davon aus, dass jeder der sich an dieser Diskussion beteiligt eine gewisse Tech-Affinität hat. Es fällt mir daher schwer zu glauben, dass alle Nörgeler keinen Facebook, Google oder sonstigen Cloud-Account haben. Oder?
Und jetzt kommt der Hammer – der Vorname ist sogar mein echter !
Mich wundert, daß dies nicht als Sicherheitsfunktion gewertet wird. So lässt sich doch nachvollziehen, daß mit dieser Karte zum Beispiel nicht per NFC gezahlt wurde. Auf dem Chaos Communication Congress in Hamburg (27. bis 30. Dezember) wurde zum Beispiel das Projekt NFCGate der Öffentichkeit vorstellt, wo es genau um dieses Thema geht.
Number26 legt hauptsächlich wert auf Design (sagt auch der CEO). Die dahintersteckende Technik ist eher etwas mau…
Und Sicherheit ist auch nicht deren bestes Feld: z.B. MasterCard SecureCode wird angeblich nicht unterstützt, bei mir gehen Transaktionen immer so durch. Dann liegt die Haftung im Notfall halt bei N26 😉
Mal abweichend dazu: Auf derstandard.at zu verweisen ist wie, auf Bild.de zu verweisen.
derstandard ist drüben wie hier die Bild.
Schade, hatte ich mich gerade an Number26 gewöhnt. Aber dann wird das Konto dort halt wieder gekündigt. Sorry, aber lascher Datenschutz geht gar nicht!
@ Denny und Petr: Vermutlich nutzt Ihr auch Whatsapp. Sorry, mit dieser „Ist-mir-egal“-Haltung habe ich weiterhin meine Probleme. Und die genannten Beispiele sind natürlich weit weg vom Thema, es fehlt der Bezug („Die meisten Kontoauszugsdrucker funktionieren ohne Eingabe einer Geheimzahl.“ ???????)
Was ich dabei nicht verstehe – wenn die Daten so absolut nutzlos sind: warum werden die dann überhaupt gespeichert?
Ich denke schon, dass diese Daten genutzt werden können, um Personen, die mit dieser Karte nicht gerade hochfrequent arbeiten, zu tracken. Wäre richtig einfach, wenn auch die Uhrzeit im Datensatz enthalten wäre. Aber bisher ist nur vom Datum die Rede.
Identifkation kann nur bei einer Zahlung erfolgen.
Darüber hinaus lässt sich ersehen, ob ich gerade in einem kurzen Zeitraum viel, oder über einen längeren Zeitraum wenig Geld ausgegeben habe. Aus meinem Kaufverhalten könnte man so halbwegs treffsichere Annahmen über meine Finanzstärke machen. Auch nicht direkt, sondern über Korrelation mit Vergleichsgruppen.
Bitte überlegt euch genau was hier das eigentliche Problem ist. Geht es hier um Sicherheit oder um die klassische Datenkrake. Wenn es euch um Sicherheit geht, dann solltet ihr euch lieber darüber aufregen, dass der CVC Code auf jeder Karte aufgedruckt ist. Wenn es euch um das Problem der Datenkrake geht – OK. 100% Zustimmung meinerseits.
Hört aber bitte auf über Sicherheit im Bezug auf Kreditkarten zu sprechen. Sobald ihr eure Karte aus der Hand gebt, gebt ihr auch KNr, Name, Ablaufdatum und CVC aus der Hand. Dabei ist es egal ob das Gegenüber ein Mensch oder eine Maschine ist.