Anzeige

Verlust

Beim Verlust einer Bankkarte mit kontaktloser Bezahlfunktion hat der Europäische Gerichtshof die Verbraucher in der EU gestärkt. Nach einem Urteil vom Mittwoch trägt der Kunde nicht das Risiko für Zahlungen, die vorgenommen werden, nachdem er das Abhandenkommen einer Karte bei der Bank gemeldet hat.

Diese könne nicht einfach behaupten, dass es technisch unmöglich sei, die sogenannte Nahfeldkommunikationsfunktion (NFC) für das kontaktlose Zahlen zu sperren, urteilten die Luxemburger Richter (Rechtssache C 287/19). Banken verlangen in der Regel beim kontaktlosen Bezahlen mit NFC-Karten oder einem Smartphone bei Beträgen bis zu 25 Euro keine Eingabe eines PIN-Codes.

Hintergrund ist eine Klage des österreichischen Vereins für Konsumenteninformation (VKI) gegen die Allgemeinen Geschäftsbedingungen für NFC-Karten der DenizBank. Darin schließt die Bank unter anderem ihre Haftung für nicht autorisierte Zahlungen aus. Zudem weist sie darauf hin, dass der Kontoinhaber beim Verlust der Karte das Risiko eines NFC-Missbrauchs trägt sowie die Sperrung dieser Funktion beim Verlust der Karte nicht möglich sei. Im Prozess vor dem Obersten Gerichtshof Österreichs bestritt die DenizBank «das Vorbringen des VKI, dass eine solche Sperrung technisch möglich sei», dem EuGH zufolge hingegen nicht.

Die Luxemburger Richter stellten nun klar, dass es sich beim kontaktlosen Zahlen zwar um ein anonymisiertes Zahlungsinstrument im Sinne der entsprechenden EU-Richtlinie handele und dies der Bank Haftungserleichterungen ermögliche. Aber die Bank könne nicht einfach behaupten, dass das Sperren der Karte technisch unmöglich sei, obwohl dies nachweislich falsch sei. Der Kunde müsse den Verlust oder die missbräuchliche Verwendung der Karte unverzüglich und kostenlos melden können. Nach dieser Meldung dürften keine finanziellen Folgen für den Kunden entstehen - es sei denn, er habe in betrügerischer Absicht gehandelt.

Die Übertragung von Bezahldaten via Near Field Communication (NFC) gilt generell als sicher und ausgereift. Da der Abstand der Bankkarte oder eines Smartphones zum Bezahlterminal nur wenige Zentimeter betragen darf, kann der übertragene Datensatz («Token») nicht aus der Ferne abgefangen werden. Das unterscheidet NFC von der Funktechnik Bluetooth. Außerdem ist der verschlüsselt übertragene Token nur für diesen einen Bezahlvorgang gültig und kann nicht mehrfach verwendet werden.

Da die Banken für kleinere Summen bis 25 Euro keine Eingabe einer PIN am Kassenterminal verlangen, ist es zumindest theoretisch möglich, dass Angreifer selbst eine nicht autorisierte Zahlung auslösen. Dazu müssten sie sich der NFC-Karte des Opfers mit einem kleinen Mobilterminal unbemerkt bis auf wenige Zentimeter nähern, etwa im Gedränge einer U-Bahn. Diese Angriffsmethode kann allerdings wirksam ausgehebelt werden, in dem man eine NFC-fähige Kredit- oder Girokarte zusammen mit anderen zusammen im Portemonnaie aufbewahrt, da sich mehrere NFC-fähige Karten gegenseitig blockieren. Das funktioniert auch mit dem neuen Personalausweis mit NFC-Funktion.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält es deshalb für «unwahrscheinlich», dass Karten «im Vorbeigehen» abgegriffen werden. Wer einen unbefugten Zahlungsvorgang durch NFC befürchtet, kann seine Kredit- oder Girokarte auch in eine Abschirmhülle stecken, die Kommunikation durch NFC unterbindet. Zum Bezahlen via NFC müsste die Karte dann stets aus der Hülle entnommen werden.

dpa


Artikel zu diesem Thema

Online-Banking
Nov 02, 2020

Bankgeschäfte finden zunehmend online statt

Um den Kontostand zu prüfen oder eine Überweisung zu tätigen, geht nur noch eine…

Weitere Artikel

Smartphone GenZ

Gen Z: Krise nach vier Stunden ohne Internet

Drei Tage ohne Essen sind erträglich, vier Stunden ohne Internet dagegen nicht auszuhalten: So sieht das die Hälfte der australischen Gen Z, berichtet die "Daily Mail Australia" unter Berufung auf eine vom WordPress-Hoster WP Engine beauftragte Studie.
Hacker Russland

Kurz vor der Bundestagswahl - Gezielte Cyberattacke von Russland auf EU-Mitglieder

IT-Sicherheitsexperten haben es bereits befürchtet: Es war nur eine Frage der Zeit bis die ersten Cyberattacken von staatlichen Akteuren den Weg in die Schlagzeilen finden würden. Die aktuelle Beweislage lenkt einen begründeten Verdacht dabei auf Russland.
COVID-Impfzertifikat

COVID-Impfzertifikate: Vier Sicherheitstipps fürs Reisen

Seit dem 1. Juli gilt der digitale Impfnachweis, der einen Monat zuvor eingerichtet wurde und bundesweit erhältlich ist, als EU-weites Impfzertifikat. Dies soll den Nachweis einer Impfung oder einer Genesung und folglich das Reisen innerhalb der europäischen…
Digitalisierung

IT-Mittelstand stellt Zeichen auf Wachstum

Im IT-Mittelstand sind die Auftragsbücher gut gefüllt und die Stimmung ist so positiv wie lange nicht. Das Geschäftsklima hat ein neues Zwei-Jahres-Hoch erreicht. Die Geschäftslage ist gut, auch die Erwartungen entwickeln sich weiter nach oben.
Spionage

FamousSparrow: Cyberspionage im Hotel-Zimmer

Eine bislang eher unauffällige Cyberspionage-Gruppe hat eindrucksvoll bewiesen, wie schnell eine bekanntgewordene Schwachstelle ausgenutzt wird. „FamousSparrow“ begann genau einen Tag nach der Veröffentlichung der Microsoft Exchange Sicherheitslücken (März…
Smartphone Sicherheitslücke

Huawei und Xiaomi betroffen: Sicherheitslücken in 5G-Handys

Update Fr, 24.09.2021, 12:57 Nachdem die Cyberabwehr in Litauen vor chinesischen 5G-Smartphones gewarnt hat, nehmen private Sicherheitsexperten die verdächtigen Geräte unter die Lupe. Auch das Bundesamt für Sicherheit in der Informationstechnik geht dem…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.