Kontaktloses Bezahlen ohne Pin: 50-Euro-Limit von Visa wurde geknackt

Die Sorgen vieler kritischer Nutzer rund um das kontaktlose Bezahlen scheinen sich zu bewahrheiten. Zwei britischen Forschern ist es gelungen, bei VISA-Kreditkarten das Limit für Zahlungen ohne PIN oder Unterschrift zu knacken. mehr...

Aldi Süd, Kontaktloses Bezahlen, Bezahlterminal Aldi Süd

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++5 --9

"Ihre Tests hätten aufgezeigt, dass der Betrüger nur für kurze Zeit nah genug an die Karte des Opfers herankommen muss, um eine Zahlung durchzuführen." - Und genau das ist ein vollkommen unrealistisches Szenario, weshalb VISA da schon richtig liegt. Technisch ist das schon denkbar und möglich, dass jemand verdeckt ein mobiles Terminal mit sich führt und das vorbeigehenden Leuten an die Tasche hält. Allerdings kann man sich so ein Terminal nicht selber bauen, sondern dieses muss registriert sein, damit es überhaupt Zugriff auf das Zahlungsnetzwerk von VISA, MasterCard oder anderer Gesellschaften erhält. Dabei wird es fest mit einem Konto verknüpft und die Identität der Person festgestellt.
Wer das also tut, um dann damit rumzulaufen und Leuten praktisch das Geld aus der Tasche abzubuchen, ist ganz schön bescheuert, denn der erste, der die betrügerische Transaktion meldet, führt die Behörden direkt zum Betrüger.

Das zweite Szenario, dass jemandem die Karte erst geklaut wird, um dann damit bei einem eigtl. seriösen Händler damit einkaufen zu gehen und das beschriebene Verfahren anzuwenden, ist da schon realistischer. Allerdings kann ich mir nicht vorstellen, dass das dem Kassierer nicht auffällt, wenn der Kunde anfängt neben seiner Karte auch noch mit einem zusätzlichen "nicht näher spezifiziertem Gerät" rumzuhantieren. Ein Händler/Verkäufer, der das durchgehen lässt ohne alarmiert zu sein, handelt genauso fahrlässig wie einen 50€- oder 100€-Schein nicht auf eine Fälschung zu untersuchen.
Und zum anderen, bevor man jemandem die Karte aus der Tasche klaut und dann ein evtl. auffälliges Betrugsverfahren damit irgendwo an der Kasse abzieht, ist es in jedem Fall einfacher dieser Person einfach das Bargeld aus der Geldbörse zu entwenden, denn damit kann man dann in jedem Fall erheblich unproblematischer shoppen gehen - das wäre dann auch das Argument gegen die Bargeldfraktion. Denn es ist gewiss nicht leichter, jemandem eine Karte aus der Geldbörse zu klauen statt des Bündels an Geldscheinen.

Bearbeitet am 31.07.19 um 21:56 Uhr.

[re:1] am ++8 --1

@mh0001: Fakekarte in der Hand mit zusätzlichem Sender in der Handfläche.
Das Phishinggerät mit der ehemaligen Karte befindet sich im Rucksack auf dem Rücken.
Ein Kabel verbindet den Sender in der Hand mit dem Gerät im Rucksack.
Sollte relativ unauffällig möglich sein.

[re:1] am ++1 --4

@Mixermachine: Und die echte Karte im Rucksack hast du woher genau? Und du meinst nicht, dass es leichter gewesen wäre, statt dieses Verfahren aufzusetzen einfach jemandem, der so einen Kontaktloskram gar nicht erst hat, dafür jedoch ein Bündel Bargeld im Portemonnaie, einfach das Bargeld zu klauen und auszugeben ohne diesen Zirkus?

Bearbeitet am 31.07.19 um 22:00 Uhr.

[re:1] am ++2 --2

@mh0001: tja, mit dem Abgreifen der Daten per NFC funktioniert allerdings nur dann, wenn derjenige den man ausspähen möchte nur eine einzige Karte mit NFC Funktion im Portmonee hat, was eher selten der Fall sein dürfte. Inzwischen haben die meisten Leute ja mindestens eine Bank und eine Kreditkarte und die aktuellen Karten haben in der Regel alle die NFC Funktion. Theoretisch ist vieles denkbar aber so einfach wie die Forscher das einem glauben lassen wollen ist das längst nicht.

[re:1] am ++1 --

@Annettekrum: auch bei mehreren Karten mit NFC Funktion funktioniert das auslesen einer Karte aufgrund der Protokolle ohne Probleme.

Siehe z.B. hier: https://www.youtube.com/watch?v=2Gl4xtHcAYY

[re:2] am ++2 --

@mh0001: die kann man entweder emulieren oder clonen.
Wahlweise selbst oder das Ganze käuflich erwerben.

Klar, aber die meisten Leute geben ihr Geld sehr ungern her und haben selten wirklich viel des selben am Körper.
Bevor ich jemanden einen Knüppel über den Kopf ziehe, würde ich eher soetwas ausprobieren (wobei ich froh bin, auf keines der beiden Sachen angewiesen zu sein).

[re:2] am ++1 --1

@mh0001: Soweit ich weiß sind die Geräte zumindest frei käuflich erwerbbar und Bankkonten lassen sich ebenfalls auf falsche Daten anmelden. Zumindest unmöglich ist dies nicht. Da gehört dann nicht viel mehr Kriminelle Energie dazu, als für den anfänglichen Prozess auch schon.
Heise/CT hat das vor einem Jahr getestet: https://youtu.be/z87ksEbV4iQ

[re:1] am ++1 --1

@Nahkampfschaf: Dann reklamiert man als Karteninhaber die Transaktion und sagt, man war das nicht. Dann wird die Zahlung erstmal rückabgewickelt und der Inhaber des Terminals, welches die Transaktion in Auftrag gegeben hat, kriegt einen Anschrieb und soll die Rechtmäßigkeit dieser Transaktion belegen. Das soll er dann mal machen, wenn er das Alles mit falschen Daten angemeldet hat. In jedem Fall verliere ich als Karteninhaber keinen einzigen Cent bei der Sache.

Bearbeitet am 01.08.19 um 11:42 Uhr.

[re:3] am ++1 --

@mh0001: D.h. doch nur ich benötige auch ein geklautes Terminal und einen gestohlene Kontozugriff.
Außerdem war das hier ist der Proof of Concept. Die Geräte werden kleiner und die Technik besser werden und dann gibt es auf einen Schlag großen Schaden und die Kartenanbieter haben dann kaum Zeit zu reagieren.
Man könnte aber auch die Lücke jetzt schließen.

[re:1] am ++1 --2

@Fropen: Das fällt dann jedoch, sobald der Vorgang aufgrund einer Betrugsmeldung untersucht wird, schnell auf. Etwas besseres kann einem als KK-Nutzer gar nicht passieren. Denn dann ist selbst ohne eigene Mitwirkung eindeutig klar, dass es nicht an grober Fahrlässigkeit des Karteninhabers lag, sondern an einem Betrug auf der anderen Seite (mit dem geklauten Terminal). D.h. jede Transaktion wird umgehend rückabgewickelt, der KK-Nutzer bleibt komplett schadlos.

[re:4] am ++3 --1

@mh0001: Viele Terminals bei Händlern sind doch nicht mal ordentlich für den Kassierer einsehbar.

Bargeld ist meist weniger in der Geldbörse als auf der Karte, was glaubst du wie heute schon bei den betrugsfällen mit Kreditkarten gearbeitet wird? Künftig ist dafür nicht mal mehr die pin nötig, die Betrügerei wird einfacher und dadurch weitreichender

[re:1] am ++1 --3

@0711: Mich als Kreditkartennutzer kümmert das jedoch wenig, denn wenn ich den Betrug melde sobald ich davon Kenntnis erlange, hafte ich in keinster Weise für den entstandenen Schaden. Die Transaktion wird schlicht rückabgewickelt, das steht schwarz auf weiß in den AGB meiner Bank. Das Bargeld hingegen ist weg wenn es geklaut wurde.

Bearbeitet am 01.08.19 um 11:36 Uhr.

[re:1] am ++3 --2

@mh0001: Ich kenne das nur so dass die Schäden welche nach der Meldung verursacht wurden von der Bank erstattet werden bzw rückabgewickelt wenn "ich" z.B. meine PIN weitergegeben habe und da zahlungen entgegen meinem Interesse getätigt wurde.

DKB z.B.
http://dok.dkb.de/pdf/kk_visa_mc.pdf
"8.4 Anzeige-, Prüfungs- und Unterrichtungspflichten des Karteninhabers
1) Stellt der Karteninhaber den Verlust oder Diebstahl seiner Kreditkarte oder des mobilen Endgeräts, auf dem die digitale Kreditkarte gespeichert ist, die missbräuchliche Verwendung oder eine sonstige nicht autorisierte Nutzung der Kreditkarte, Kartendaten, PIN oder eines sonstigen Personalisierten Sicherheitsmerkmals für das besondere Authentifizierungsverfahren fest, oder hat er einen entsprechenden Verdacht, hat er die DKB AG hierüber unverzüglich zu unterrichten (Sperranzeige).

13.2 Haftung des Karteninhabers ab Sperranzeige
Sobald der DKB AG der Verlust oder Diebstahl der Karte, die missbräuchliche Verwendung oder eine sonstige nicht autorisierte Nutzung von Kreditkarte, PIN oder Personalisiertem Sicherheitsmerkmal für das besondere Authentifizierungsverfahren angezeigt wurde, übernimmt die DKB AG alle danach durch Kartenverfügungen entstehenden Schäden.

14.3 Schadensersatzansprüche des Karteninhabers
1)[] Dies gilt nicht, wenn die DKB AG die Pflichtverletzung nicht zu vertreten hat.[]

2) Hat der Karteninhaber durch ein schuldhaftes Verhalten zur Entstehung des Schadens beigetragen, bestimmt sich nach den Grundsätzen des Mitverschuldens, in welchem Umfang DKB AG und Karteninhaber den Schaden zu tragen haben."

8.4 und 13.2 machen für mich klar dass die Haftung erst ab Sperrung vollständig auf die bank übergeht. 14.1 trifft nicht zu weil autorisiert. 14.2 trifft nicht zu weil die bank nicht verspätet oder fehlerhaft gehandelt hat in dem sie die verfügung freigab (letzteres natürlich unter der annahme das man die sicherheitslücke nicht anerkennt/kennt)...damit bleibt 14.3 und die annahme dass die PIN abfrage sicher ist womit wir bei 14.3 2) sind.

Wenn deine Bank das in jedemfall übernimmt, schätze dich glücklich, welche Bank ist das? Die allermeisten Bedingungen die ich kenne sehen sehr ähnlich zu denen der DKB aus.

Bearbeitet am 01.08.19 um 11:53 Uhr.

[re:1] am ++--

@0711:
Ich kenne das auch nur so, dass die Banken erst in Haftung nach der Meldung kommen. Vorher haftest du vollumfänglich selber.

[re:2] am ++--

@0711: Die persönliche Haftung durch Kreditkartenmissbrauch ist seit Januar 2018 gesetzlich auf insgesamt 50€ begrenzt, sofern keine grobe Fahrlässigkeit vorlag. Daher ist es vollkommen unerheblich, wenn einem irgendwelche AGBs versuchen die Haftung für die Transaktionen bis zur Sperrung aufzudrücken.
Selbst im worst case, wenn die Bank dir eine Haftung zuschieben will, ist diese gesetzlich auf 50€ begrenzt, da kann die Bank sagen was sie will. Notfalls gehst du damit eben zum Anwalt.

Und auch diese 50€ gelten nur für den Fall, dass du es nicht sofort gemeldet hast, sondern dir damit zu viel Zeit gelasssen hast, siehe (2) 1. in der unten zitierten Quelle.
Und wenn der Händler/Kassierer nicht ausreichend dem Betrug vorgebeugt hat, gilt (4). Das erschlägt nehme ich mal an auch den Fall eines geklauten oder mit falschen Daten registrierten Terminals.

Paragraph 675v BGB:
https://www.gesetze-im-internet.de/bgb/__675v.html

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

[...]

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.

Bearbeitet am 01.08.19 um 12:52 Uhr.

[re:3] am ++--

@JTRch: Was zutiefst illegal wäre nach §675v BGB. Wenn die Bank darauf besteht, am besten direkt zum Anwalt. Siehe [re:2] von mir direkt hierüber.

Wenn die Bank da ungünstigere Haftungsbedingungen in ihren AGBs formuliert, ist das schlicht unseriös. Das Gesetz ist jedoch recht eindeutig und einer der Gründe, warum Kreditkarten mit zu den sichersten Zahlungsmitteln zählen.

Bearbeitet am 01.08.19 um 12:55 Uhr.

[re:4] am ++--

@0711: Und hier z.B. der entsprechende Abschnitt aus den AGB der comdirect, der korrekt formuliert ist:

"Kommt es vor der Sperranzeige zu einer nicht autorisierten Verfügung und hat der Karteninhaber in betrügerischer Absicht gehandelt oder seine Sorgfaltspflichten nach diesen Bedingungen vorsätzlich oder grob fahrlässig verletzt, trägt der Karteninhaber den hierdurch entstandenen Schaden in vollem Umfang. Grobe Fahrlässigkeit des Karteninhabers kann insbesondere dann vorliegen, wenn
• er den Verlust oder den Diebstahl der Karte oder die missbräuchliche Verfügung der comdirect bank AG oder der VisaRepräsentanz schuldhaft nicht unverzüglich mitgeteilt hat, nachdem er hiervon Kenntnis erlangt hat,
• die persönliche Geheimzahl auf der Karte vermerkt oder zusammen mit der Karte verwahrt war (zum Beispiel im Originalbrief, in dem sie dem Karten inhaber mitgeteilt wurde),
• die persönliche Geheimzahl einer anderen Person mitgeteilt und der Missbrauch dadurch verursacht wurde."

Das ist eigtl. sehr eindeutig formuliert. Bei nicht autorisierten Verfügungen VOR der Sperranzeige hat der Karteninhaber die Haftung, wenn er in BETRÜGERISCHER ABSICHT oder GROB FAHRLÄSSIG gehandelt hat.

[re:5] am ++--

@mh0001: "sofern keine grobe Fahrlässigkeit vorlag."
Genau das ist doch das Problem bei der Sache hier, die PIN kann eigentlich fast nur durch Fahrlässigkeit an dritte gelangen...das ist im wesentlich auch das was in den Bedingungen der DKB steht

Hier noch wie gerichte das aktuell handhaben
https://www.haufe.de/steuern/rechtsprechung/diebstahl-und-verlust-der-ec-karte-wer-kommt-fuer-den-schaden-au_166_74004.html

Bearbeitet am 01.08.19 um 13:32 Uhr.

[re:6] am ++--1

@0711: Aber es ging ja hier eigtl. im Wesentlichen um die Szenarien, die ohne Mitwirkung des Karteninhabers auskämen, nämlich a) Diebstahl der Karte und der Dieb nutzt dieses Gerät, um eben ohne PIN das Zahlungslimit zu umgehen, oder b) heimliches Abbuchen mit diesem Gerät im Vorbeigehen.

In beiden Fällen ist grobe Fahrlässigkeit des Karteninhabers ausgeschlossen, wenn man es sofort meldet sobald es auffällt.

[re:7] am ++1 --

@mh0001: Nun die Problematik sehe ich vor allem darin dass die Zahlung hoher Beträge ohne PIN seither als ausgeschlossen galt, sprich man durfte von Gerichtswegen davon ausgehen wenn es um ein Szenario geht bei dem man eigentlich eine PIN benötigt diese fahrlässig in die Hände dritter gelangte. Und da ist auch im Falle eines Diebstahls der Karte Fahrlässigkeit unterstellt (siehe haufe link) wenn hier Zeitnah etwas "bezahlt" wird wo eigentlich eine PIN Abfrage im Spiel sein sollte.
Hier detailierter https://winfuture.de/comments/thread/#3347968,3347980

Die Bekanntmachung dieser Lücke ändert hier vermutlich die Sichtweise/Erfolgschancen vor gericht aber genau das ist die zugrundeliegende Problematik an der Lücke.

[re:5] am ++1 --

@mh0001: https://www.youtube.com/watch?v=XwLUqf35YHE

[o2] am ++--21

Wer nimmt denn heute noch Kreditkarten mit? Für Kleinkram noch ein bischen Bargeld, ansonsten Apple Pay und gut. Da is nix mit PayWave/NFC auslesen etc. Handy hat man sowieso immer dabei.
Wer mich betrügen will, muß schon an mein Handy. Und das hat sich bisher noch niemand getraut.

[re:1] am ++4 --2

@Gast87878: Das Analogon bei Google Pay wäre das aktivierte Display ohne das Gerät zu entsperren. Mit Google Pay kann man ja auch schon bezahlen, wenn man im gesperrten Lockscreen ist, wobei dann die gleiche 50€-Grenze gilt wie bei richtigen Karten ohne PIN. Theoretisch würde es also reichen, wenn du dein Handy irgendwo einen Moment unbeaufsichtigt liegen lässt. Der Betrüger müsste nur ein Einschalter drücken damit das Display aufleuchtet, dann kann er die 20-50€ mitnehmen, oder aber auch mehr, falls dieses beschriebene Verfahren auch da funktioniert (wovon ich fast ausgehe, dass ja). Aber das ist auch nur Theorie, denn eigtl. passt man auf sein Handy ja auch nicht weniger drauf auf als auf die Geldbörse.

[re:1] am ++4 --1

@mh0001: Dann ist Google Pay wohl ebenso angreifbar wie die VISA-Karte, der Vorredner sprach aber von Apple Pay. Und Appe Pay macht ohne Authentifizierung gar nichts, da reicht das Aktivieren des Displays nicht.

[re:1] am ++1 --2

@RegularReader: Nicht jedoch, wenn du es auf einer Apple Watch verwendest. Apple schreibt dazu, das dann nur "Je nach Geschäft und Zahlungsbetrag" eine Authentifizierung nötig wird.

[re:1] am ++2 --2

@mh0001: Mit der Apple Watch kann ich nach dem zweimaligen Drücken der Seitentaste jeden Betrag bezahlen. Die Apple Watch ist authentifiziert, da ich sie angelegt und mit dem entsprechenden PIN oder dem iPhone entsperrt habe. Sobald ich sie ablege, sperrt sie sich sofort von selbst und lässt keine Zahlungen mehr zu.

[re:2] am ++1 --

@mh0001: Bei mir liegt die Grenze IMO bei 25 Euro. Um den Einschalter zu drücken ist aber in jedem Fall ein physischer Zugriff nötig. Würde mir aber auch wünschen, das ausschalten zu können.

[re:3] am ++1 --2

@mh0001: Das war wieder sooo klar. Nicht lesen, hauptsache erstmal (-) klicken. Was Euer Shice Google Pay macht interessiert mich nicht, dieser Firma vertraue ich keine Kreditkartendaten an. Wenn du das machst, dann ist es deine Sache. Ich jedenfalls sprach von Apple Pay, und das macht ohne Face-ID Authentifizierung GAR NICHTS (iphnoe XR in dem Falle). Was ist falsch, an dem was ich geschrieben habe???

[re:2] am ++3 --2

@Gast87878: was machst du wenn der Akku schlapp macht?

[re:1] am ++5 --4

@TobiasH: Den Akku aufladen? ;)

[re:1] am ++3 --2

@Stefan1200: Fragst dann beim Discounter an der Kasse nach "Haben sie mal ne Steckdose?"? ^^

[re:2] am ++1 --2

@Stefan1200: Ahja, und wo lädst du den unterwegs auf? Hast du etwa immer dein Ladegerät dabei? Also da ist eine Kreditkarte aber handlicher und leichter.

[re:1] am ++2 --3

@TobiasH: Ich habe mein iPhone immer dabei ... und leer ist es den Tag über noch nie geworden. Also für meinen persönlichen Fall ein nicht zutreffendes konstruiertes Problem.
Zahle sowieso mit der Watch, die muss ich nirgendswo raussuchen und immer einsatzbereit und damit handlicher als jede dumme Plastikkarte. :P

[re:2] am ++--1

@TobiasH: Das Problem haben nur Leute, die ihre Handyakkus bis unter 10% runtersaugen, bevor sie sich ums laden kümmern. Mein Akku kommt fast nie unter 80%. Ich kümmere mich um meine Geräte. Ich habe Ladegeräte zu hause, auf der Arbeit und auch im Auto. Wie soll da der Akku schlapp machen?
Und für längere Reisen ohne Stromanschluß, dann nimmst halt 'ne Powerbank mit. Fertig!

[re:1] am ++1 --

@Gast87878: Warum soll ich ne fette powerbank mitschleppen? Dann doch lieber eine leichte Kreditkarte. Meine Geldbörse hab ich eh immer dabei zwecks Perso, Fahrkarten, PaybackKarte..

[re:1] am ++--

@TobiasH: Weil du dein Handy für viel mehr benutzt als nur zum zahlen. Du bist sowieso drauf angewiesen, den Akku zu laden. Ansonsten brauchst du gar kein Handy und die Diskussion ist dann eh erledigt.

[re:2] am ++--

@Gast87878: ich nutze mein Handy zur Unterhaltung unterwegs, bspw Musik hören, News lesen usw. nur weil ich nicht auf das Handy angewiesen bin, muss ich ja nicht gleich drauf verzichten.. Du hast ja bestimmt auch einen Fernseher, den du zur Unterhaltung nutzt und nicht weil du darauf angewiesen bist..

[o3] am ++5 --2

Mittlerweile hat fast jeder mehrere Karten mit NFC-Funktion im Portmonnaie. Diese stören sich beim Auslesen und somit sollte der Angriff nicht häufig möglich sein.

[re:1] am ++3 --

@floerido: Das Problem hatte ich auch vor kurzem beim regulären bezahlen. Geldbeutel zu nah am Gerät, Zahlung fehlgeschlagen. Geldbeutel weg gehalten, Zahlung funktioniert.

[o4] am ++4 --1

Meine richtige Masterkarte hat noch kein NFC, aber die ist deshalb nicht sicherer.

Ich meine ich habe im Hotel schon eine 1800 € Rechnung beglichen per Unterschrift.

Der Witz dabei ist das die Rückseite der Karte seit 2 Jahren nicht unterschrieben ist und man deshalb gar nichts überprüfen kann, aber das juckt keinen.

In den 2 Jahren war ich bestimmt 1x pro Monat für 200-300 € in Luxemburg tanken und Zigaretten kaufen, und diverse mal schoppen.

Aber es hat bisher niemand die fehlenden Unterschrift auf der Karte interessiert. Nach einer PIN bin ich bei meiner Karte seit 2013, außer einmal an einem Geldautomaten, noch nie gefragt worden.

Deshalb bin ich eigentlich froh das diese Zahlungsdiensterichtlinie (PSD2) im September kommt, es kann nur aufwärts gehen.

Bearbeitet am 01.08.19 um 02:42 Uhr.

[re:1] am ++1 --

@ibecf: Doch das ist sicherer, denn die Unterschrift ist ohne Probleme anfechtbar bzw die entsprechende Buchung rückgängig zu machen. Auch wird die karte dabei erst mal gar nicht belastet.

Wenn die Karte gar nicht unterschrieben ist, ist die Unterschrift für eine Zahlung im Zweifelsfall sowieso ungültig.

Nehmen wir mal das Szenario Kreditkarte/Geldbeutel wird geklaut
- Eine Abbuchung über Unterschrift belastet die Karte erst Tage später
- Eine Abbuchung über PIN oder kontaktloses bezahlen (unterhalb des Limits oder mit der Lücke hier "grenzenlos") belastet die Karte sofort

Du merkst den Diebstahl nicht sofort sondern erst am Abend o.ä.. Du sperrst deine Karte am Abend. In ersterem Fall wird deine Karte nicht weiter belastet, im zweiten Fall ist deine Karte bereits belastet

Bearbeitet am 01.08.19 um 08:32 Uhr.

[re:2] am ++--

@ibecf: Tja, du bist dennoch auf der sicheren Seite. Wird etwas von der Karte abgebucht, was du nicht gekauft hast, dann kannst du das einfach zurückfordern ohne Diskussion. Trotzdem könnte man das System endlich mal sicherer machen, denn diese Kosten die durch Betrug enstehen, zahlen alle.

[re:3] am ++1 --2

@ibecf: Ich habe (ist schon ein paar Jahre her) über booking ein Hotel gebaucht. Als ich da ankam wussten die von nix. Da meinte die Dame an der Rezeption: "Ach, moment bitte" Ging nach hinten und kam mit einem Fax von Booking wieder. Auf dem Fax stand alles von mir. Alle meine Daten inklusive aller Daten meiner Kreditkarte. Also wirklich alle, mit Ablaufdatum und der 3stelligen Pin der Rückseite. Jeder der an dem Fax vorbeigekommen ist hätte locker shoppen gehen können mit "meiner Karte"...
So lange Unternehmen so mit den Daten umgehen braucht es keine Forscher die irgendwas aushebeln ;)

[re:4] am ++1 --

@ibecf: Wie alt ist deine Karte? Ich zahle seit JAHREN nur noch mit PIN bei der VISA, unterschrift kann ich mich nichtmal erinnern wann das letzte mal.

[re:1] am ++--

@Cosmic7110: Unterschrift hatte ich letztens wieder mal als ich in den USA war. Manche Termainals haben noch einen Zufallsago drin, der entscheidet, ob Pin oder Unterschrift nötig ist. (weil ich danach gefragt habe, ob ich eigentlich entscheiden kann, ob ich die Unterschrift nutzen könnte) Die meisten nutzen wohl aber aktuell schon nur mehr Pin.

Bearbeitet am 01.08.19 um 11:44 Uhr.

[re:2] am ++1 --

@Cosmic7110: Hängt wohl ganz von der ausgebenden Bank ab. Meine ING-Visa funktioniert grundsätzlich mit PIN, bei der von Barclays kenne ich die nicht einmal.

[re:3] am ++--

@Cosmic7110: ist die Santander SunnyCard,eine Mastercard und habe die seit 2013.

Hab nur 2017 wegen der Gültigkeit mal eine neue Karte bekommen.

Aber außer einmal an einem Geldautomat, lief bisher alles über Unterschrift.

Nur einmal hat sich die Berugsabteilung von Santander bei mir gemeldet, das war bei der besagten 1800 € Abbuchung. Das hatte ich vergessen zu erwähnen.

Es ist mir zwar noch nichts bzgl. Falschbuchungen passiert hab trotzdem Anfang Juni eine Revolut Prepaid Mastercard als Zweitkarte zugelegt, vor allem wegen Apple Pay.

Zuerst nur virtuell und seit 2 Wochen als Physische Karte, besonders das man da kinderleicht per App einstellen kann ob die Karte für kontaktlose Zahlen benutzt werden kann, ob man damit Geld abheben kann usw.

Und die fragt wen man den Chip benutzt immer den Pin.

Nach den positiven Erfahren werde ich mein Santander Karte nur noch zum aufladen der Revoult Karte benutzen(beide Karten kosten mich bis jetzt nichts) oder in Fällen wo man ein richtige Kreditkarte braucht und Prepaid-Karten nicht akzeptiert werden.

[o5] am ++--1

Solche Sommerlochfüller bin ich ja eher von Heise gewohnt, aber egal. Wie unwahrscheinlich ist es denn, dass diese "Sicherheitslücke" in der Praxis Anwendung findet. Wenn ich ein Dieb wäre, dann würde ich den Leuten lieber gleich ihr Bargeld stehlen. Das wäre doch viel einfacher.

Die Chancen, dass ich von einem Auto überfahren werde, dass ich hinfalle und mir ein Bein breche, oder dass ich ausgeraubt werde, wenn ich vor die Türe gehe, sind deutlich höher, als dass ich durch solch eine "Sicherheitslücke" gehackt werde. Und trotzdem bleibt kein Mensch die ganze Zeit nur zu Hause auf seiner Couch hocken, weil das Leben ja so gefährlich wäre. Einfach nur Panikmache, sonst nix.

[re:1] am ++1 --

@Julio Prosecco: In der Regel befindet sich auf einer Karte mehr kohle als im Geldbeutel. Das macht es lukrativ.

Auch werden dadurch die Möglichkeit an Geld zu kommen durch Taschendiebstähle und co deutlich ausgeweitet

[o6] am ++2 --2

Ich verstehe nicht, warum sich die Geldkarte nicht durchsetzen konnte, NFC jetzt aber so ein Hype ist?
Ob ich die Karte irgendwo drauf lege oder rein stecke, das ist als Handgriff nicht aufwändiger. Nur, man konnte die Geldkarte nicht auslesen, ohne die Kontakte des Chips zu berühren - somit war bei gleicher Handhabung das alte System viel sicherer.

[re:1] am ++3 --

@Roehre: Die Geldkarte war immer mit einem Gang zu einem Automaten verbunden und dann noch im Sparkassen/Reifeisenverbund... die Dinger sind sehr Homöopathisch verteilt.

EDIT: Das mit den Sparkassen/Reifeisen war Mist, jedoch war es nicht sonderlich verbreitet und bezahlen konnte man auch nur an wenigen stellen. IN meiner Erinnerung hat es selten brauchbar funktioniert und durch den Gang zum Geldautomaten auch keinen wirklichen Vorteil gegenüber Bargeld.

WArum hat heute jeder ein Handy und keine Telefonkarte und nutzt öffentliche? Weil es einfach komfortabler ist.

Bearbeitet am 01.08.19 um 08:31 Uhr.

[re:2] am ++3 --

@Roehre: Weil die Geldkarte umständlich in der Handhabung war, man musste "aufladen" und das war nervig, da kann ich gleich Bargeld ausm Automaten ziehen

[re:3] am ++2 --

@Roehre: Systeme die ich erst aufladen muss sind einfach keine praktikable Zahlungsmethode. Und ja, es macht einen deutlichen Unterschied, ob die die Karte irgendwo reinstecke oder nur ranhalte, einfach mal ausprobieren oder bei anderen beobachten.

[re:4] am ++--

@Roehre: Es macht schon einen Unterschied, weil NFC einfach schneller geht als das uralte Geldkarten-System. Außerdem war das Aufladen sehr umständlich und beim Verlust der Karte war der aufgeladene Betrag verloren, obwohl das technisch nicht so hätte sein müssen.

[re:1] am ++--

@nicknicknick: Vorallem war das Problem, dass dein Geld dann nur auf der Geldkarte verfügbar war und von deinem Konto weg. Da es sehr wenige Akzeptanzstellen gibt, ist das Geld auf der Geldkarte ziemlich nutzlos.

[re:2] am ++--

@nicknicknick: Geldkarte geht auch via NFC. War an der Uni immer praktisch, der Ausweis war geldkartenfähig und man konnte mit dem Handy durch dranhalten prüfen ob das Guthaben für die Mensa reichte.

[re:1] am ++--

@floerido: Ich bezweifle, dass es sich um dasselbe System handelt. An meiner Uni gab es auch schon vor über 10 Jahren ein kontaktloses Bezahlverfahren, aber mit der Geldkarte hatte das nichts zu tun.

[re:1] am ++--

@nicknicknick: Es war der Geldkarten-Standard mit dem entsprechenden Logo. Auch die normale Geldkarte ist mittlerweile NFC fähig und wird unter dem Namen "girogo" beworben.

[re:2] am ++--

@floerido: Ich glaube, da verwechselst du etwas. Girogo ist eine NFC-Erweiterung der Girocard (früher: EC-Karte). Geldkarte war ein System (IMO mittlerweile von keiner Bank mehr unterstützt und auch aus den Zigaretten- und Briefmarkenautomaten entfernt) welches Kleingeld ersetzen sollte. Ist aber auch verwirrend, da das in der EC-Karte integriert war.

[re:2] am ++--

@floerido: Geldkarte ist ein System aus den 1990er Jahren, da gab es IMO noch nicht so viele kontaktlose Karten. Wobei ich mich an einen Feldversuch in meiner Stadt ungefähr 1995 mit Chipkarten erinnere, mit denen man im ÖPNV anonym und haltestellengenau zahlen konnte. Echt ein Jammer, dass es bis heute nichts vergleichbares flächendeckend in Deutschland gibt.

[re:1] am ++--

@nicknicknick: Es ist eine Erweiterung der Geldkarte. Von der girogo-Webseite: "Finden Sie neben dem girogo-Logo auch ein GeldKarte-Logo auf Ihrer Karte, können Sie aus dem gleichen geladenen Guthaben bezahlen."

Besonders nervig ist das, wenn die Bankkarte mehrere Standards unterstützt und das Terminal auch. Hier muss man dann entsprechend immer wählen.

Bearbeitet am 01.08.19 um 14:52 Uhr.

[re:2] am ++--

@floerido: Maximal verwirrend. Gibt es denn noch Banken, die Geldkarten ausgeben? Ich kenne jedenfalls keine, genausowenig wie Akzeptanzstellen. Ist ja auch irgendwie redundant, da die Girocard mit Girogo die gleiche Funktion anbietet, allerdings auch unter dem Akzeptanzstellenproblem leidet und dazu noch auf Deutschland beschränkt ist.

[o7] am ++2 --1

Ist mir unbegreiflich, wieso es dieses Limit von 50€ gibt. Wieso muss man nicht einfach bei jeder Bezahlung - egal wie hoch - die PIN eingeben, bzw am Smartphone den Fingerabdruck benutzen? Ist doch kein Aufwand...

[re:1] am ++1 --

@PranKe01: Das ist bei manchen Karten so weit ich weiß einstellbar. Ich sehe aber kein großes Risiko bei NFC. Ich weiß, bei den meisten deutschen, die von Angst geprägt sind, stößt das auf Unverständnis und Kopfschütteln. Aber die Leute, die auch auf eine Pin bestehen würden, weil es auch so unsicher ist, würden auch nicht mit NFC bezahlen wollen. Die Zahlungsdienstleister haben auch ein Interesse, dass deren System genutzt wird und dann muss es so einfach wie möglich sein, da ist die Pin schon zu viel Aufwand für die meisten. Und sollte dennoch was passieren haftet der Kartenherausgeber. Das vergessen immer viele.

[re:1] am ++--

@FatEric: zumal man heute jeden Buchungsvorgang automatisiert benachrichtigt bekommt oder eben per App/Online nachsehen kann und keine Auszüge mehr holen muss. Wer das Gesamtsystem "Onlinebanking" also nutzt bekommt relativ schnell mit wenn was nicht geradeausläuft...

[re:2] am ++2 --

@PranKe01: ganz einfach, weil dann das Bezahlen wie in der U-Bahn in London gar nicht funktionieren würden. Wenn da jeder noch seine PIN eingeben müsste ehe das Drehkreuz aufgeht würde das viel zu lange dauern.
In Deutschland wäre ein verbreitetes Beispiel Sanifair. Wer würde da bitte NFC nutzen wenn er noch die PIN eingeben müsste?

[re:1] am ++1 --

@jakaZ: Wobei das bei Sanifair in den letzten Monaten zumindest bei mir nicht mehr funktioniert hat (getestet mit unterschiedlichen Karten). Zum Glück muss ich sagen, da ich deshalb immer umsonst rein durfte.

[re:1] am ++1 --

@nicknicknick: interessant, ich wollte das letztens auch testen und kam an zwei unterschiedlichen Raststätten nicht rein mit jeweils zwei verschiedenen Karten getestet. Ich würde dann auch kostenlos reingelassen.

[re:2] am ++--

@nicknicknick: ja, hatte da auch schon Probleme. Aber ging ja ums Prinzip ;-)

[re:2] am ++--

@jakaZ: Klar würde es gehen. Einfach voraussetzen, dass das Handy entsperrt ist!

[re:1] am ++--

@PranKe01: Und mit Karte?

[o8] am ++2 --

Ich bekomme für jede VISA Buchung eine SMS, zudem hab ich meine Konten im Blick. Wenn da also was falsch läuft ist die Karte ziemlich fix gesperrt. Ich sehe da irgendwie kein Problem, wenn ich die Zahlung nicht autorisiert hab muss VISA erstmal gucken wie die Zahlung ausgeführt wurde.

[re:1] am ++--3

@Cosmic7110: Du bekommst es mit, die Karte ist aber schon belastet bevor du sperren kannst - wie willst du visa den missbrauch über die sicherheitslücke oberhalb der "Freigrenze" denn nachweisen? Visa wird sagen, da muss jemand die pin eingegeben haben -> deine mitschuld bzw eine Fahrlässigkeit wird dir unterstellt.

[re:1] am ++2 --

@0711: Wo ist das Problem. Du sagst der Bank, ich habe das nicht bezahlt und dann muss die Bank nachweisen, dass du es dennoch bezahlt hast, kann sie das nicht, bekommst du dein Geld zurück. Man ist bei sowas ziemlich gut abgesichert.

[re:1] am ++--

@FatEric: Ich meine die PIN Eingabe gilt bisher als recht eindeutige absicherung und wenn die dritten bekannt ist, bist du der depp weil dir fahrlässiger umgang mit der pin nachgesagt wird.
Das ist das Problem dabei.

[re:1] am ++1 --

@0711: Die Pin wird doch garnicht benötigt.

[re:2] am ++1 --

@0711: Das ist nur ein Baustein von mehreren. Bei NFC Zahlungen ist ganz klar, wer der Empfänger ist und dieser Empfänger muss bekannt sein. Der muss mir dann schon er klären, für was er das Geld bekommen hat. Man ist da abgesichert. Aber der deutsche ist für Angst ja ziemlich empfänglich.

[re:3] am ++--

@FatEric: Der Empfänger ist bei Kreditkartenbetrügern häufig ein reguläres Geschäft das teure Technik verkauft. Der kann dir das schon sagen wofür das Geld geflossen ist.

[re:4] am ++--

@Cosmic7110: Das Weise mal der Bank nach wenn da Geld oberhalb der "Freigrenze" geflossen ist.

[re:5] am ++2 --

@0711: Wie dann weise mal nach? Das siehst du im Buchungsverlauf... Betrag, Zeitpunkt, Terminal, Autorisierung etc...

Und dann muss dir Bank mir erstmal nachweisen, dass ich zu den Zeitpunkt an besagtem Terminal war, und das kein Fehler bei ihnen vorliegt oder Lücken ausgenutzt wurden.

[re:6] am ++--1

@Cosmic7110: Wenn jemand anderes deine PIN hat, dann hast du fahrlässig gehandelt. Die Bnak muss dir nicht zwingend nachweisen dass du die Zahlung getätigt hast, sie muss dir nur Fahrlässigkeit nachweisen um aus der Haftung zu sein.
Auch Zahlungen ohne PIN haben eine entsprechende Autorisierung, die lässt sich meines Wissens auch nicht von einer mit PIN unterscheiden

[re:7] am ++2 --

@0711: Es geht doch garnicht um meine PIN und die wird hier im angesprochenen Fall auch garnicht benötigt, warum weißt du mich also nun zum zweiten mal darauf hin.

Hast du den Beitrag überhaupt gelesen? Und wenn die Freigabe bei Zahlungen unter der Grenze die gleiche ist wie die PIN freigabe dann hätte ich gerne mal eine Quelle zu deiner Aussage. Das ergibt keinen Sinn.

Bearbeitet am 01.08.19 um 09:40 Uhr.

[re:8] am ++--

@Cosmic7110: Weil genau dass, das Problem ist weise ich dich zum dritten mal darauf hin. Betrag über Freibetrag -> Bank nimmt an dass da eine PIN Abfrage ist weil ihr System ja als sicher gilt (übrigens nimmt auch das Bezahlterminal an dass die zusätzliche Verifizierung stattgefunden hat)

Bearbeitet am 01.08.19 um 10:06 Uhr.

[re:9] am ++1 --

@0711: JAAA und dann muss ich trotzdem vor Ort gewesen sein...

[re:10] am ++--

@Cosmic7110: Wie schon geschrieben, nein denn man geht davon aus dass dem Bösewicht (oder dem Bekannten) die PIN von dir ausgehändigt wurde...wie sollte er sonst an die PIN kommen?

[re:11] am ++1 --

@0711: Ich gebs auf, ich weiß nicht was für Gedankenschrauben du da drehst aber ich blick da nicht durch.

Ich geb meinen Pin nicht raus, wenn den jemand hat braucht er keine Lücken im System nutzen sondern gibt ihn einfach ein. Wenn Visa nicht in der Lage ist zwischen PIN und NFC Autorisierung zu unterscheiden ist das erstmal ihr Problem und nicht meins.

Bearbeitet am 01.08.19 um 11:02 Uhr.

[re:12] am ++2 --

@Cosmic7110: Ja es ist wirklich schwer zu begreifen das nicht zu begreifen.
- Bank geht davon aus dass die PIN Eingabe sicher ist
- Also schlussfolgert die Bank bei Vorgängen die, die PIN benötigen wird auch die richtige PIN eingegeben
- Die PIN Eingabe ist dank Lücke aber nicht nötig (alle beteiligten Komponenten gehen auch von einer korrekten Funktion aus, die Karte, das Bezahlterminal, das Backend)
- Meldest du einen Missbrauch, die Bank sieht den Betrag und die Autorisierung...denkt sich also du hast die PIN rausgegeben dass sie irgendwer eingeben hat können. Die Frage für die Bank ist nun wie die PIN in die Betrügerhand gekommen sein kann, da man von einem sicheren System ausgeht kannst eigentlich nur du die Ursache sein (fahrlässig oder freiwillig). Ob du das gemacht hast oder nicht ist völlig uninteressant.

Das gute an der Lücke, die Bank könnte NFC/PIN und NFC/Pinlose Zahlung gar nicht unterscheiden weil das ein Offlinevorgang ist aber da das System als sicher gilt, was willst du hier von VISA für einen Nachweis verlangen? Übrigens ist diese "Offlineeigenschaft" bei NFC Zahlungen auch bei anderen Karten wie der Girocard, Google Pay oder Mastercard stand der dinge.

Bearbeitet am 01.08.19 um 11:22 Uhr.

[re:13] am ++1 --

@0711: Warum nicht gleich so...

Wäre theoretisch möglich, gibt es vergleichbare Fälle wo es so gehandhabt wurde oder muss dir Bank dir erstmal nachweisen, dass du mit dem PIN nicht sorgsam umgegangen bist?

Zumal am Ende immernoch die Karte benötigt wird.

[re:14] am ++--

@Cosmic7110: Zumindest bei der Girocard ist das schon so abgelaufen https://www.kostenloses-konto.net/zeitnahe-barabhebung-mit-gestohlener-ec-karte.html
Da die dahinterstehenden Banken ja grundsätzlich mal dieselben sind denke ich dass auch deren verhalten bei einer Kreditkarte in so einem fall nicht davon abweicht.

Laut den Forschern gibt's es ja auch die Variante, "man ist in der nähe"

Und grundsätzlich lassen sich karten auch kopieren, inwieweit das auch für die nfc Funktion gilt weiß ich nicht
https://www.golem.de/news/security-auch-kreditkarten-mit-chip-und-pin-koennen-kopiert-werden-1601-118685.html
Skimming an Supermarktkassen oder Baumärkten wird durchaus auch hierzulande betrieben (z.B. https://www.haz.de/Hannover/Aus-der-Stadt/Uebersicht/Betrueger-pluendern-Konten-von-140-Baumarktkunden-in-Hannover ), das muss also der kunde oder Händler gar nicht direkt mitbekommen

[re:15] am ++--

@0711: Nun gibt es mit dem hier beschriebenen Verfahren (der Artikel da oben) Aber Grund zur Annahme, dass der Fehler nicht beim Kunden lag und somit dürfte man absolute Klarheit wohl erst nach dem ersten Präzedenzfall erhalten.

[re:16] am ++--

@Cosmic7110: Ja zum Glück gibt es diesen Artikel bzw den Fund der Forscher der einem eine gewisse handhabe gibt. Etwas sorge bereitet mir aber die Haltung von Visa die ja mehr oder minder sagt "wird den normalen kunden nicht treffen", wenn sich dieser Einschätzung auch die Banken anschließen ists halt n mühsamer und eventuell teurer weg über die Gerichte um zu seinem recht zu kommen.

Bearbeitet am 01.08.19 um 13:33 Uhr.

[re:2] am ++1 --

@0711: Das Visakonto ist belastet, wie ich VISA das nachweisen will? Derjenige der die Lücke nutzt bräuchte meine Karte, wenn ich es also nicht bemerkt , dass sie fehlt, merke ich es spät. bei der ersten SMS und dann wollen wir mal schauen wo die zahlung getätigt wurde und wo ich war ;)

[o9] am ++--7

Ich weiß warum ich keine Kreditkarte habe und auch keine will.

[re:1] am ++3 --

@happy_dogshit: Vermutlich basiert dein Wissen auf unzähligen Falschinformationen.

[10] am ++2 --

Ich verstehe das Problem nicht, bzw. warum hier Angst geschürt wird. Selbst wenn man hier Opfer eines Angriffs werden sollte, man ist in solchen Fällen auf der sicheren Seite. Die Bank haftet, wenn man eine Abbuchung als Betrug meldet. Zudem muss bei NFC Zahlung ein Empfangsterminal registriert sein und das geht nicht anony, es ist also ganz klar, wohin das Geld überwiesen wurde und es steht immer mindestens eine Person dahinter. Wird dann auch noch im großen Stil über das selbe Terminal Geld abgegrast, ist das ziemlich schnell gesperrt.

[11] am ++1 --2

Ich schalte NFC bei meinem Handy immer nur an der Kasse an, wenn ich zahle....einmal entsperren, ein button drücken und dann halt ich das ding ran...ich fühle mich damit eigentlich recht sicher

[re:1] am ++--2

@slashi: richtig, danach NFC wieder aus und Ruhe.

[re:1] am ++1 --

@fazeless: Bei so vielen Handgriffen mit Handy entsperren und NFC einschalten - da kann ich auch ne EC-Karte in die Handyhülle stecken...

[re:1] am ++1 --

@Roehre: ich habe so viele Karten das ich mir die Pins nicht alle merke.. und das Handy ist eh dabei..

[re:1] am ++1 --1

@fazeless: Handy ist immer griffbereit und die Kartensuche lästig und langwierig. Mein einziges Problem ist, dass die NFC-Schnittstelle immer nur standardmäßig von einem Dienst belegt ist. Wenn ich mit einer anderen Karte zahlen möchte, muß ich dies immer erst umständlich in den Einstelllungen (Android) ändern, hier wäre eine Auswahl besser.

[re:2] am ++--1

@Roehre: nun ja, ich mach das während ich anstehe,handy raus, entsperren und ein Button ist für mich weniger Aufwand als karte aus Geldbeutel, ranhalten und bei über 25 eur noch pin eintippen...

[re:2] am ++3 --

@slashi: Android: Solange das Display nicht an ist, funktioniert auch NFC nicht, Zahlungen sind also nur mit aktiviertem Display möglich (bei unter 25 Euro ohne Authentifizierung).
Apple: NFC-zahlung funktioniert generell nur mit aktiviertem Display und Authentifizierung, bei jedem Betrag.
Ein manuelles aktivieren und deaktivieren ist da eher überflüssig, führt zu Mehraufwand, aber nicht zu mehr Sicherheit.

[re:3] am ++1 --

@slashi: und warum? Gibt es Fälle wo man über das NFC die Kartenapp aktiviert hat oder eine Zahlung ausgeführt wurde?

die NFC Funktion deiner EC/VISA kannst du nicht deaktivieren, was machst du da?