Kontaktlos zahlen ist bequem: Man hält seine Debit- oder Kreditkarte ans Zahlterminal im Laden. Dann ertönt ein Piepszeichen – und schon ist die Ware bezahlt. Gemäss der Nationalbank lösten in der Schweiz Konsumenten im März 2021 67 Prozent aller Debit- und Kreditkartenzahlungen kontaktlos aus, also ohne Eingabe einer PIN. Im gleichen Vorjahresmonat waren es erst 51 Prozent gewesen. Zum Anstieg beigetragen haben dürfte die Tatsache, dass die Kartenherausgeber die Obergrenze für kontaktlose Zahlungen vergangenes Jahr von 40 auf 80 Franken anhoben.
Das Problem: Mit der Erhöhung des Bezugs ohne PIN haben auch Diebe leichteren Zugang zum Geld. Inzwischen gibt es günstige Zahlterminals, die es jedermann erlauben, elektronische Zahlungen entgegenzunehmen. Wer technisch bewandert ist, kann mittels Gratis-Software sogar sein Handy zum Zahlterminal umfunktionieren.
Praxistest zeigt: Von der Karte im Portemonnaie lässt sich Geld abbuchen
Wie einfach ist es, ein Zahlterminal in Betrieb zu nehmen und Passanten ohne deren Wissen Geld von der Bankkarte abzubuchen? K-Geld besorgte sich zu diesem Zweck bei Fust für Fr. 39.90 das Kartenterminal Sumup Air. Das handliche Gerät hat einen Akku und ermöglicht es, überall Kartenzahlungen anzunehmen. Für die Inbetriebnahme muss man bei der Firma Sumup mit Sitz in London ein Konto eröffnen. Das Gerät ist eigentlich nur für Gewerbetreibende gedacht. Aber die Eingabe einer Handelsregister- und einer Mehrwertsteuernummer ist fakultativ. Als Bankverbindung dient ein Smartphonekonto. Eine Identifikation mit einem amtlichen Ausweis ist nicht notwendig. Das Gerät ist nach wenigen Minuten betriebsbereit. Jetzt kann man ein Handy via Funk (Bluetooth) mit dem Terminal verbinden. In der Sumup-App auf dem Smartphone gibt man den zu zahlenden Betrag ein – und schon funktioniert das Terminal.
Hält man jetzt eine Debit- oder Kreditkarte an das Sumup-Gerät, wird der eingegebene Betrag abgebucht. Der K-Geld-Versuch ergab: Das funktioniert selbst dann, wenn die Bankkarte in einem Portemonnaie in der Hosentasche eines Passanten steckt. Eine Abbuchung gelingt sogar, wenn sich in einem Portemonnaie mehrere Karten mit kontaktloser Zahlungsfunktion befinden. Belastet wird dann in der Regel die äusserste Karte. Das so abgebuchte Geld überweist Sumup – abzüglich einer Zahlungsgebühr von 1,5 bis 2,5 Prozent – innert einem bis zwei Tagen auf das angegebene Konto.
Diebe können so ahnungslosen Passanten heimlich Geld stehlen. Sie müssen sich dabei nicht direkt mit dem Gerät an der Gesässtasche eines möglichen Opfers zu schaffen machen. Das Signal des Terminals kann nämlich mit einer Antenne verstärkt werden. So ist ein elektronischer Taschendiebstahl aus etwas grösserer Distanz möglich, beispielsweise auf einer Rolltreppe oder im öffentlichen Verkehr.
Nicolas Mayencourt ist Chef der auf Computersicherheitslösungen spezialisierten Firma Dreamlab Technologies in Bern. Er bestätigt, dass es solche Verstärkerantennen gibt. Laut dem Experten können mit einer Antenne Kontaktloszahlungen von einer Bankkarte im Portemonnaie aus fünf oder mehr Zentimetern Entfernung ausgelöst werden.
Technologie beim kontaktlosen Zahlen ist laut Experten unsicher
Ein elektronischer Diebstahl hinterlässt Spuren. Laut Mayencourt können Diebe diese aber leicht verwischen. Im Internet gibt es viele Banken für ausschliesslich elektronische Konten, auf denen das abgebuchte Geld zunächst landet. Ein solches Konto ist rasch eröffnet und ebenso schnell wieder gelöscht. Zwecks Anonymisierung gelangt dann das Geld in die Welt der Kryptowährungen.
Für Nicolas Mayencourt steht fest, dass die sogenannte NFC-Technologie (Nahfeldkommunikation), die bei Kontaktloszahlungen zum Einsatz gelangt, «unsicher» ist. Dessen seien sich auch die Herausgeber von Debit- und Kreditkarten bewusst. «Trotzdem überbürden sie Kunden in den Allgemeinen Geschäftsbedingungen die Haftung für die Nutzung der Karten. Bei Transaktionen, die nicht PIN-geschützt sind, sollte dies hinterfragt werden.»
Nicolas Mayencourt sind Fälle bekannt, wo es verbotenerweise zu heimlichen Kontaktlos-Abbuchungen bei Debit- und Kreditkarten gekommen ist. Insbesondere im Ausland komme es häufig zu ungewünschte Transaktionen.
Für das Unternehmen Sumup erklärt Sprecherin Juliane Saleh-Büttner, Sicherheit habe «höchste Priorität». Sobald die Sumup-Systeme verdächtige Transaktionsprozesse erkennen, werde das entsprechende Benutzerkonto automatisch gesperrt und erst nach einer Überprüfung wieder freigegeben. Bei der Kontoeröffnung werde ein neuer Händler zudem automatisch verifiziert. Der Versuch von K-Geld zeigt allerdings, dass dies nicht immer der Fall ist.
Die SIX Group ist für das Debitkartenangebot der Schweizer Banken zuständig. Laut einem Sprecher kann ein solcher Diebstahl «in Einzelfällen wohl erfolgreich sein». Aber für einen Kriminellen sei es viel zu mühsam, sich wegen maximal 80 Franken immer wieder an ein neues Opfer heranzutasten. Es sei nur eine Frage der Zeit, bis ein solches Vorgehen auffliege – entweder aufgrund der Betrugsüberwachung der Zahlungsdienstleister oder wegen Reklamationen von Karteninhabern.
Doch auf die Betrugsüberwachung der Finanzdienstleister ist nur bedingt Verlass, wie sich vor kurzem bei Swiss Bankers gezeigt hat: Über gehackte Prepaid-Kreditkarten wurden Tausende von missbräuchlichen Transaktionen durchgeführt, die zunächst unbemerkt blieben («Saldo» 8/2021). Selbst wenn einem Kunden beim Studium des Monatsauszugs seiner Debit- oder Kreditkarte eine unrechtmässige Belastung auffällt, heisst das nicht unbedingt, dass er bei der eigenen Bank wegen des geringen Betrags interveniert.
Hinzu kommt: Erhärtet sich ein vom Kunden geäusserter Betrugsverdacht nicht, kann die Bank die Kosten für die Nachforschungen auf den Kunden überwälzen (K-Geld 6/2020).
Bankkarte: Schutzhülle bewahrt vor Diebstahl
In der Schweiz sind laut Nationalbank 19,1 Millionen Debit- und Kreditkarten im Umlauf. Fast 90 Prozent davon sind mit einem NFC-Funkchip ausgestattet, der kontaktloses Zahlen ohne Eingabe einer PIN ermöglicht. Die kontaktlose Zahlungsfunktion birgt Gefahren: Verliert man eine solche Karte, kann ein Dritter so lange Zahlungen von maximal 80 Franken vornehmen, bis der Inhaber die Karte sperren lässt oder der Zahlungsdienstleister zu Kontrollzwecken den PIN-Code verlangt. Auch Kriminelle können auf elektronischem Weg heimlich Geld von einer solchen Karte abbuchen.
Bankkunden können sich dagegen schützen, indem sie den Funkverkehr zu den Chips ihrer Karten blockieren. Das ist etwa mit einer Schutzhülle oder einer Alufolie möglich. Es gibt auch Portemonnaies, die das Lesen der Karten verunmöglichen. Wer ganz auf den NFC-Funkchip verzichten möchte, sollte bei seiner Bank anfragen, ob auch eine Karte ohne Kontaktlosfunktion erhältlich ist. Nicht empfehlenswert ist es, den Chip mechanisch zu zerstören. Oft macht man damit die Karte unbrauchbar.
