Number26 äußert sich zum Auslesen der Transaktionshistorie bei NFC-Karten

Gespeicherte Transaktionskarten auf NFC-fähigen Kredit- und Debitkarten machten gestern die mediale Runde, da sie sich einfach per Smartphone auslesen lassen. Die Transaktionsdaten sind unverschlüsselt gespeichert, ersichtlich sind so für den auslesenden der Betrag und die Währung, die bei der Transaktion verwendet wurde. Wie man diese Daten missbräuchlich verwenden sollte, ist mir schleierhaft, dennoch natürlich ein Thema, das man nicht vernachlässigen kann. Von Number26, einem der betroffenen Kartenanbieter, gibt es nun eine offizielle Stellungnahme. Bereits der erste Satz stößt aber etwas auf, denn um eine „übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist“ soll es sich handeln. Da ich gestern aber mehr Karten gesehen habe, bei denen es nicht geht, scheint das so üblich gar nicht zu sein. Aber lest die komplette Stellungnahme, immerhin erfahrt Ihr, dass sich mit den Daten offensichtlich nichts anfangen lässt.

[color-box color=“gray“ rounded=“1″]Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf NUMBER26 beschränkt ist. Diese Karteneinstellung ist MasterCard Standard und gang und gäbe bei vielen Banken in Europa.
Grundsätzlich ist die Speicherung der Daten unproblematisch. Auf dem Chip werden die letzten zehn Transaktionen (Datum und Höhe des Betrags) gespeichert. Händlerdaten werden nicht gespeichert. Aus den Transaktionsdaten können keine personenbezogenen Informationen über den Karteninhaber oder dessen Kontoverbindung abgeleitet werden. Persönliche Daten wie Name, Geburtsdatum oder Adresse sind nicht auf dem Chip hinterlegt. Da weder Name noch CVC Code gespeichert werden, kann kein Dritter die Daten für eine Transaktion nutzen. Somit ist die Speicherung der oben genannten Transaktionsdaten (Datum und Höhe des Betrags) unbedenklich.
Das Auslesen der Daten ist nur möglich, wenn die Karte direkt an das Leseterminal, bzw. das NFC-fähige Smartphone, gehalten wird. POS Terminals im Einzelhandel haben nicht die Fähigkeit vergangene Transaktionsdaten zu lesen.
Von der NFC-Technologie unabhängig und wie bei jedem Zahlungsinstrument gilt: Wer seine Kartendaten optimal vor Dritten schützen möchte, sollte seine Karte auch grundsätzlich nicht aus der Hand geben. Auf der physischen Karte sind weitere Daten (CVC Code und Karteninhaber) aufgedruckt, die einen Missbrauch der Karte ermöglichen. Aus genau diesem Grund ist das umgehende Sperren der Karte bei Verlust so wichtig. – Number26[/color-box]

Zwei Möglichkeiten habt Ihr, wenn Ihr vom Ausleseszenario betroffen seid. Entweder Ihr nehmt den Umstand der Speicherung hin oder Ihr sucht Euch einen Anbieter, der diese Option auf seinen Karten nicht aktiviert hat. Im Gegensatz zur Meinung von Number 26 gibt es da doch einige.

(Quelle: T3N (Update))