Wie sicher ist die Kontaktlos-Funktion NFC?

Die Kontaktlos-Funktion NFC ist sicher. Das sagen zumindest die Banken. Doch Kreditkarten mit dem Kontaktlos-Chip können zum Teil ausgelesen werden. So können Sie sich dagegen schützen.

Onlinekonto - Konto ohne Schufa
Onlinekonto - Konto ohne Schufa

Wie sicher ist die Kontaktlos-Funktion NFC?

nfc-symbol

NFC haben Sie sicher schon einmal gehört – vor allem im Zusammenhang mit den Themen Mobile Payment und kontaktloses Bezahlen. Sie könnten es aber bestimmt nicht genau erklären, oder? Kein Problem, der folgende Text hilft Ihnen auf die Sprünge und zeigt, ob und wie sicher die NFC-Technologie wirklich ist.

Was ist NFC?

NFC steht für Near Field Communication. Das ist Englisch und bedeutet übersetzt Nahfeld-Kommunikation. NFC basiert wiederum auf der RFID-Technologie. RFID steht für radio-frequency identification, was die Identifizierung mithilfe elektromagnetischer Wellen meint.

Mit NFC können Sie geringe Datenmengen über kurze Distanzen ohne Kontakt übertragen – um genau zu sein über wenige Zentimeter. Die Angaben dazu schwanken je nach Anbieter zwischen 3 und 10 Zentimetern.

NFC-fähige Karten beinhalten eine Antenne, die Funkwellen auffangen kann. Sie leitet diese Wellen in die Karte, sodass die Daten aus dem NFC-Chip ausgelesen werden können. Die maximale Datenübertragungsrate liegt bei 424 kBit/s. Zum Vergleich: das ist etwas schneller als der Mobilfunkstandard UMTS. Daher kommt die NFC-Technologie zum Beispiel auch beim kontaktlosen Bezahlen zum Einsatz. Denn dabei müssen nicht allzu viele Informationen transferiert werden. Dafür reicht ein kleiner Datensatz.

NFC wird aber nicht nur beim mobilen Bezahlen genutzt. Sie können damit auch andere Daten übertragen, zum Beispiel reine Textdateien oder Links zu Internetseiten. Ihrer Kreativität sind dabei kaum Grenzen gesetzt. Wie Sie über NFC auch sensible Daten wie Kreditkarten-Nummern übertragen und ob sie dies tun sollten, wird im folgenden Text erklärt.

Welche Geräte sind NFC-fähig? (Beispiele)

deutschland-kreditkarte-nfc

Viele Bezahlkarten besitzen heutzutage eine NFC-Funktion, zum Beispiel die meisten Giro- und Kreditkarten. Ende 2016 sollen mehr als vier Millionen Kreditkarten in Deutschland mit NFC ausgestattet gewesen sein. Allerdings waren ungefähr zur selben Zeit rund 31 Millionen Kreditkarten im Umlauf. Damit waren gerade einmal 13 Prozent der ausgegebenen Kreditkarten mit NFC ausgestattet gewesen. Bis 2021 wollten allein die Volks- und Raiffeisenbanken ihre 4,3 Millionen Master- und Visa-Kreditkarten mit einem NFC-Chip ausgestattet haben. Damit dürfte die Gesamtanzahl für ganz Deutschland noch weit größer sein (Stand: 09/2021).

Anfang 2017 besaßen 14 Millionen deutsche Kunden von Genossenschaftsbanken und Sparkassen eine NFC-fähige girocard. Bis Ende 2017 sollten rund 20 Millionen weitere Kunden der Banken und Sparkassen diese Kartenfunktion nutzen können. Allein die Sparkasse wollte bis 2020 alle rund 45 Millionen eigenen Girokarten mit der NFC-Funktion ausstatten. Dabei ist zu beachten, dass die meisten Transaktionen im Jahr 2017 im deutschen Einzelhandel mit der Girocard getätigt worden sind. Das ist auch kein Wunder. Denn diese Karten werden von vielen Händlern akzeptiert und die Deutschen besitzen etwas über 100 Millionen Stück davon. Das sind mehr als das Land Bewohner zählt (Stand: 09/2021).

Viele Universitäten in Deutschland und in anderen Ländern händigen ihren Studierenden eine NFC-fähige Karte aus. Mit dieser können die Besitzer zum Beispiel Essen in den Mensen bezahlen, Kopierer benutzen, Bibliotheks-Bücher ausleihen und sich Zugang zu Räumlichkeiten verschaffen. Solche Karten basieren aber meist auf dem Prepaid-System. Die Studierenden müssen also erst Geld auf die Karte laden, zum Beispiel online oder an einem dafür vorgesehenen Automaten. Erst dann können Sie auch Geld damit ausgeben.

Aber auch in anderen Bereichen wird die NFC-Technologie verwendet. So kennen Sie diese eventuell von Ihrem Job. Viele Arbeitgeber rüsten Ihr Personal nicht mehr mit Schlüsseln aus, sondern mit Karten oder Anhängern. Diese können Türen mithilfe von integrierten NFC-Chips öffnen. Ähnlich funktionieren die Türöffner in Hotels heutzutage oft. Teilweise können Sie als Carsharing-Nutzer das Auto Ihrer Wahl ebenso per NFC-fähiger Karte öffnen.

mobile-payment-geschaeft

Neben den Bezahlkarten wird die Near Field Communication heutzutage häufig in Smartphones verwendet. Auch in diesen Geräten soll die Übertragungstechnologie vor allem das kontaktlose Bezahlen ermöglichen. In Deutschland sind unter anderem die folgenden Anbieter verfügbar (Auswahl; Stand: 09/2021):

Ist meine Bezahlkarte NFC-fähig?

nfc-logo-kontaktlos

Banken geben inzwischen fast nur noch NFC-fähige Bezahlkarten aus. Ob Sie bereits eine solche besitzen, erkennen an dem NFC-Symbol auf der Karte. Dieses Logo (siehe Bild) befindet sich meist auf der Vorderseite, teilweise aber auch auf der Rückseite der Karte (wie in der Vergangenheit bei American Express). Es ähnelt dabei dem Wlan-Symbol: vier Halbkreise sind nebeneinander angeordnet und sollen Funkwellen symbolisieren. Visa nannte die Funktion in der Vergangenheit payWave, Mastercard dagegen PayPass.

Unabhängig vom Namen können Sie NFC-fähige Karten in der Regel weiterhin wie gehabt zum "normalen" Bezahlen verwenden, indem Sie diese in das Terminal stecken. Sind Sie sich unsicher, ob Ihre Bezahlkarte NFC-fähig ist, fragen Sie am besten beim ausstellenden Institut nach. Haben Sie noch eine alte Karte, wollen Sie diese Funktion aber unbedingt testen, können Sie auch nach einem neuen Modell fragen. 

Teilweise händigen die Institute Ihnen kostenlos eine NFC-fähige Bezahlkarte aus Kulanz aus. Denn für die Bank handelt es sich finanziell um Peanuts. Viel wichtiger ist dabei die Zufriedenheit des Kunden sicherzustellen. Im Normalfall werden die alten Karten aber erst ausgetauscht, wenn das Ablaufdatum der Karte erreicht ist. Dieses Datum finden Sie in der Regel auf der Vorderseite Ihrer Bezahlkarte.

Wo kann ich per NFC bezahlen? (Auswahl)

visa-kontaktlos-nfc-bezahlen

Seit einigen Jahren akzeptieren die meisten großen Handelsketten in Deutschland Zahlungen per NFC (Stand: 09/2021). Anfang 2017 hat der Handelsverband geschätzt, dass es in Deutschland rund 50.000 NFC-fähige Kassenterminals gibt. Laut Bitkom sollen es bereits 2015 schon 60.000 Stück gewesen sein.

Seitdem wurde das Henne-Ei-Problem gelöst: Aufgrund der großflächigen Ausgabe von NFC-fähigen Bezahlkarten ist davon auszugehen, dass mehr Kunden nach NFC-Einsatzmöglichkeiten suchen (werden). Entsprechend akzeptieren immer mehr Händler diese Bezahlvariante. Da deutsche Kunden aber immer noch sehr viel bar bezahlen und meist lang an einem Bezahlsystem festhalten, kann dieser Weg noch. Aktuell akzeptieren die folgenden Unternehmen in Deutschland NFC-Zahlungen (Stand: 09/2021; Auswahl):

  • dm
  • Media Markt
  • Saturn
  • Lidl
  • Rewe
  • Aldi Nord
  • Aldi Süd
  • Galeria Karstadt Kaufhof
  • Aral
  • Kaufland
  • Rossmann

Auch die meisten Filialen der folgenden Unternehmen akzeptieren NFC-Zahlungen (Auswahl; Stand: 09/2021):

  • Edeka
  • Obi
  • Deichmann
  • Hornbach
  • Kaiser’s
  • Real
  • Penny
  • Toom
  • Esso
  • Le Buffet
  • star
  • Douglas
  • Dussmann

Bitte achten Sie darauf, dass diese Liste nicht zu jedem Zeitpunkt aktuell sein kann. Denn immer mehr Händler entscheiden sich für die Implementierung von NFC-Schnittstellen. Es kann aber auch sein, dass einzelne Händler als Ausnahme die Technologie wieder entfernen. Besitzen Sie eine American Express-Kreditkarte, können Sie bei den folgenden Unternehmen in Deutschland kontaktlos bezahlen (Stand: 09/2021):

  • Aldi Süd
  • Aral
  • Burger King
  • Christ
  • Douglas
  • Expert
  • GO
  • Hussel
  • KaDeWe
  • Galeria Karstadt Kaufhof
  • OIL!
  • Playmobil
  • Rewe
  • Sprint
  • star
  • Thalia

Mastercard wiederum bietet online einen Kontaktlos-Locator, um Händler mit NFC-Unterstützung zu finden. Visa hatte das Ziel, dass bis 2020 alle Kassenterminals in Europa kontaktloses Bezahlen per Karte bzw. per Smartphone akzeptieren sollten. Ende 2016 hat Ulrich Binnebößel vom Handelsverband Deutschland (HDE) gesagt:

"Der Handel stellt massiv seine Zahlungsterminals auf kontaktlose Technologie um. 60 Prozent der großen und 20 Prozent der kleinen Unternehmen werden bis Jahresende [2016; Anm. d. R.] kontaktloses Bezahlen akzeptieren."

Wie bezahle ich per NFC-fähiger Karte?

nfc-zahlung

Beim Händler vor Ort weisen meist Aufkleber am Eingang oder an der Kasse auf die akzeptierten Bezahlsysteme hin. Sehen Sie das NFC-Symbol, können Sie in der Regel auch mit Ihrer NFC-fähigen Karte bezahlen. Im Zweifel können Sie auch beim Personal direkt nachfragen.

Kündigen Sie nach dem Scannen an der Kasse besser schon einmal an, dass Sie kontaktlos mit Ihrer Bankkarte bezahlen wollen. Denn teilweise führte diese Aussage in der Vergangenheit noch zu Verwirrung. Die meisten kennen diese Methode aber inzwischen und können damit umgehen. In der Regel zeigt Ihnen das Bezahlterminal dann auf dem kleinen Bildschirm an, wenn Sie Ihre Karte nah an das Lesegerät halten sollen. Der Vorgang ist meist abgeschlossen, wenn dies angezeigt wird oder Sie einen entsprechenden Ton vernehmen. Dies sollte nur kurze Zeit, meist nur wenige Sekunden, dauern.

Bis zu einem Einkaufswert von meist 50 Euro müssen Sie sich in der Regel nicht weiter identifizieren. Kaufen Sie mehr ein, müssen Sie aber immer Ihre PIN an dem Terminal eingeben (oder teilweise eine Unterschrift tätigen). Zur Sicherheit verlangt das System in unregelmäßigen Abständen dies auch, wenn Sie weniger als 50 Euro bezahlen. Dies soll Diebe davon abhalten, Ihre Karte in kurzen Abständen hintereinander einzusetzen, ohne sich zu identifizieren. Kennt der Dieb Ihre PIN (vorher ausgespäht), stoppt ihn aber auch diese Maßnahme nicht. Die Unterschrift lässt sich wiederum leicht fälschen (mehr dazu siehe unten). Die meisten Kreditkarten fordern aber in der Regel die Eingabe der PIN. 

Wie sicher ist NFC?

ingdiba-visa-kontaktlos-bezahlen

Grundsätzlich werden die Daten bei der NFC-Übertragung verschlüsselt. Laut den Anbietern Visa, Mastercard und American Express ist diese Methode sicher, weil Dritte keinen Zugriff auf die versendeten Informationen bekommen. Das liegt auch daran, weil während des Bezahlprozesses ein dynamischer Code erzeugt wird, der nicht kopiert werden kann. Sicherheitsrelevante Informationen werden demnach bei dem Vorgang nicht übertragen. Ungewollte Zahlungen und Mehrfach-Abrechnungen seien unmöglich, heißt es zumindest.

Diebe müssten in der Theorie zum Beispiel ein funktionierendes Kassenterminal direkt an Ihre Karte halten. Diese Karte dürfte wie oben beschrieben im Normalfall maximal 3 bis 10 Zentimeter von dem Lesegerät entfernt sein. 

Haben Sie eine zweite NFC-fähige Karte in der Geldbörse, sollte es im Normalfall zu einer Fehlermeldung kommen, da keine eindeutige Zuordnung möglich ist. Laut dem Deutschen Bankverband ist es aber bis Anfang 2017 noch zu keinem Missbrauch dieses Systems gekommen (Stand: 05/2017).

Haben Sie zum Beispiel nur eine NFC-fähige Kreditkarte in Gesäßtasche, kann ein Betrüger Ihre Karten-Informationen mit einem Gerät auslesen. Es reicht zum Beispiel ein normales Smartphone mit einer kostenlosen App zum Auslesen. Damit kann er unter anderem an die folgenden Daten der Karte gelangen:

  • Ausstellende Bank
  • US-Kreditkartenunternehmen
  • Ablaufdatum
  • Kreditkarten-Nummer

Mit diesen Informationen könnte der Betrüger zum Beispiel bei einigen Internet-Shops einkaufen. Das gilt zumindest überall, wo man nicht den dreistelligen Card Validation Code (CVC) von der Rückseite der Karte benötigt. In der Vergangenheit war dies beispielsweise bei Amazon.de der Fall - inzwischen aber nicht mehr (Stand: 09/2021). Im schlimmsten Fall bemerken Sie dies erst viel zu spät. Denn einige Banken rechnen die Umsätze erst nach rund 30 Tagen ab. Selbst wenn dies nicht der Fall ist, kontrollieren Sie Ihre Ausgaben immer regelmäßig? Wahrscheinlich nicht. So kann es dazu kommen, dass Sie den Betrug erst Monate, Jahre oder bei kleinen Beträgen gar nicht mitbekommen.

Besonders bei Visa-Kreditkarten von der Bank ING Deutschland ließen sich in der Vergangenheit nicht nur die oben genannten Daten abgreifen. Mindestens bis Anfang 2016 konnte auch auf den Namen des Inhabers zugegriffen werden. Das ist zwar nur ein veraltetes Beispiel, aber damit konnte ein Gauner noch leichter und schneller im Internet einkaufen. Ob alle Anbieter diese neue, sicherere Chip-Generation nutzen, ist unklar. Damit kann zumindest der Name nicht mehr ausgelesen werden.

Übrigens können auch Daten von anderen NFC-fähigen Karten ausgelesen werden, zum Beispiel von Ihrer Girocard. Diese Informationen sind aber nicht so heikel und sensibel wie bei der Kreditkarte. Denn bei Letzterer können Betrüger wie bereits beschrieben online einkaufen – und zwar über Ihr Bankkonto.

Das folgende Video zeigt, wie einfach Ihre NFC-fähige Kreditkarte ausgelesen werden kann (von 2017):


Wie können Sie sich vor NFC-Betrug schützen?

geldboerse

Verhindern können Sie jegliches Ausspähen, indem Sie Ihre NFC-fähigen Karten in Alufolie einpacken. Aber so richtig alltagstauglich ist diese Lösung dann doch nicht. Stattdessen können Sie Ihre Karten in Alu-Schutzhüllen transportieren, welche Funkwellen blockieren. Damit können Sie sicher sein, dass es zu keiner Abbuchung durch Trickdiebe kommt. Diese müssten schon Ihre gesamte Geldbörse stehlen. Selbst dann können Sie pro Zahlvorgang in der Regel maximal 50 Euro abbuchen. Denn nach einer gewissen Zeit wird die PIN-Eingabe verlangt (siehe oben).

Sollte Ihre Geldbörse inklusive NFC-fähiger Bezahlkarten bzw. Ihr Smartphone gestohlen worden sein, sollten Sie diese so schnell wie möglich sperren lassen. Denn so verhindern Sie den weiteren Missbrauch und müssen unter Umständen auch nicht mehr dafür haften.

Betrüger konnten Ihre Karte in der Vergangenheit teilweise aber auch schon auslesen, wenn Sie diese noch nicht erhalten haben. Denn auch neue Bezahlkarten mit NFC-Funktion werden von einigen in normalen Briefumschlägen versandt. Diese Sendungen wurden teilweise nicht extra gesichert, sodass Diebe sogar schon vor dem ersten Einsatz an Ihre Bezahl-Informationen gelangen können. Während Sie auf Ihre Karte warten, wurde eventuell bereits das erste Geld von Ihrem Konto abgebucht. Der Dieb ist möglicherweise über alle Berge, zum Beispiel im Ausland. Die Polizei hatte es damit natürlich schwer, an den Dieb heranzukommen. Langwierige Verfahren ohne Auswirkungen können die Folge sein. Inzwischen versenden aber wohl alle Banken die Karten mit inaktivem NFC-Chip. Bei der Fidor Bank, der DKB und N26 wird der Chip zum Beispiel erst nach einer kontaktbehafteten Zahlung automatisch aktiviert.

deutschland-kreditkarten_1

Die Online-Händler, welche die dreistellige Sicherheitsziffer von der Karten-Rückseite verlangen, gehen zwar einen Schritt weiter. Aber diese Ziffer können Sie teilweise ohne Obergrenze ausprobieren. Findige Betrüger schreiben sich selbst ein Software-Programm, das diese rund 1.000 Zahlen-Kombinationen probiert. Damit kommen sie vergleichsweise schnell an diese drei Ziffern und haben damit noch mehr Möglichkeiten beim illegalen Online-Shopping.

Den NFC-Chip in Kreditkarten können Banken teils nicht deaktivieren oder anderweitig abschalten. Anders sieht es dagegen bei Girokarten aus. Einige Institute bieten ihren Kunden die Deaktivierung der NFC-Funktion für Girokarten an. Fragen Sie am besten bei Ihrem Institut nach. Wie oben beschrieben werden immer mehr NFC-fähige Karten ausgegeben. Diese Entwicklung scheint sich auch nicht umzukehren, sodass Sie entweder mit dem Risiko leben oder aber eine der oben beschriebenen Gegenmaßnahmen ergreifen können. Am einfachsten ist es wahrscheinlich, sich eine Schutzhülle zuzulegen. Diese gibt es schon für wenige Euro im Online-Handel. Um das Risiko beim Mobile Payment per Smartphone zu reduzieren, können Sie die NFC-Funktion in Ihrem Gerät vollkommen ausschalten.

Bildquellen:

Visa-Zahlung: Visa
Kreditkarten: Bezahlen.de
Mobile Payment per Smartphone: gi-de.com
Kontaktlos bezahöen per Visa: visa.de
Kontaktlos bezahlen mit weißer Karte: Mihail Degteariov | Dreamstime.com
ING DiBa: ing-diba.de
Geldbörse: Sjankauskas | Dreamstime.com

Sehr beliebt

  • Onlinekonto auf Bezahlen.de

    Onlinekonto Mastercard

    Debit Mastercard mit Onlinekonto ohne Schufa - sofort eröffnet und weltweit nutzbar (bezahlen und Geld abheben).

    Mehr Infos

 
  • WhatsApp