Auf dem Stuttgarter Weihnachtsmarkt gibt es an Ständen Portemonnaies, die Schutz vor einer modernen Form des Taschendiebstahls bieten sollen. Den bemerkt man aber erst beim Blick auf das Konto. Denn Betrügerinnen oder Betrüger können aus der Nähe unbemerkt die Daten einer Geldkarte ausspähen und später mit ihnen bezahlen. Möglich macht das die Funktion des kontaktlosen Bezahlens, bei der die EC-Karte also nicht unbedingt in ein Lesegerät gesteckt werden muss. Das funktioniert durch einen eingebauten Chip, der mit der sogenannten RFID-Technik arbeitet, also Funk-Technik.
Die Verbraucherzentrale Baden-Württemberg erklärt, dass der digitale Diebstahl von Kartendaten tatsächlich möglich ist, auch der von Smartwatches mit Bezahlfunktion. Das liegt daran, dass beim kontaktlosen Bezahlen nicht immer eine PIN abgefragt wird. Oliver Buttler ist bei der Verbraucherzentrale Abteilungsleiter Telekommunikation, Internet, Verbraucherrecht. Er bezeichnet solche Sicherheitsfunktionen wie PIN- oder TAN-Nummern als "zweiten Faktor", der für Schutz sorgen soll.
EC-Karte: Oft braucht man keine PIN
"Ich kann bis zu fünf Mal ohne den zweiten Faktor einkaufen gehen", erklärt Buttler. Beim kontaktlosen Bezahlen wird der zweite Faktor außerdem nur abgefragt, wenn es um Summen über 50 Euro geht. "Und insofern habe ich hier sozusagen eine natürliche Grenze, was den Missbrauch betrifft."
Zwar ist es bereits ärgerlich, wenn Kriminelle "nur" 50 Euro erbeuten. Doch angesichts solcher überschaubarer Beträge stellen sich nach Einschätzung von Buttler Kriminelle wiederum die Frage, ob sich diese Betrugsmasche für sie überhaupt "lohnt". "Die Frage ist, ob ein Betrüger hier einen ganz großen Nutzen herausziehen kann, wenn er diese Daten abgreift. Ich habe ja nur die Möglichkeit, beim kontaktlosen Bezahlen Kleinstbetrags-Zahlungen, also bis zu fünf Zahlungsvorgänge, vorzunehmen."
Wie kommen Kriminelle mit geklauten Daten an Geld?
Mit einem Duplikat der Daten kann sowohl eine Fake-Karte erstellt oder aber eine mobile Bezahlmethode via Smartphone oder etwa Smartwatch genutzt werden, heißt es bei der Verbraucherzentrale. Allerdings stellt sich auch hier die Frage, wie viel Aufwand Kriminelle bereit sind zu betreiben. Da die Herstellung von Fake-Karten aufwändig ist und der zu erbeutende Betrag in einem vergleichsweise schlechten Verhältnis steht, geht die Verbraucherzentrale davon aus, dass sich für Kriminelle eher die Variante über mobile Gerät lohne.
RFID-Betrug offenbar eher selten
Kriminelle können vor einem Beutezug nicht abschätzen: Hat das Opfer möglicherweise schon vier Mal ohne PIN-Eingabe bezahlt? Dann wäre das nur noch einmal möglich. Den in diesem Fall erbeuteten 50 Euro steht das Risiko gegenüber, entdeckt zu werden.
Denn Kriminelle gehen nach Ansicht Buttlers das Risiko ein, beim Bezahlen mit den erbeuteten Daten in Geschäften gefilmt und somit entdeckt zu werden. "Und insofern weiß ich nicht, ob die Kosten-Nutzen-Abwägung für Betrüger hier im Endeffekt zu einem besonders großen Missbrauchspotenzial führt", sagt der Verbraucherschützer.
Bislang keine Anzeigen in Stuttgart
Die Stuttgarter Polizei teilt dem SWR auf Anfrage mit, bisher habe es bei ihr keine Anzeige wegen solcher Fälle gegeben. Außerdem habe das Bundeskriminalamt (BKA) durch Tests herausgefunden, dass das Lesegerät für das Ausspionieren extrem stark sein müsse, sodass ein solcher Betrug eher unwahrscheinlich sei.
Karten können Betrugsversuche abblocken
Wer dennoch sicher gehen will, kann sich nach Angaben von Verbraucherschützer Buttler einen sogenannten RFID-Blocker in Form einer Chipkarte besorgen. "Die kann man dann wie eine andere Chipkarte mit in den Geldbeutel hineinstecken. Damit werden im Endeffekt diese Datenflüsse von EC-Karten, die das können, geblockt." Die können also dasselbe wie extra dafür gemachte Portemonnaies.
