Karten


Karten mit RFID/NFC Chip-Technologie und EMV Chip verdrängen zunehmend die Karten mit Magnetbandstreifen.
Neben Zutrittskontrollkarten, E-Tickets (z.B. SwissPass SBB CFF FFS), Car- und Bike Sharing Cards erobern vor allem NFC Kredit- und Debitkarten für das kontaktlose Bezahlen den Markt.

Sie ermöglichen eine schnellere und einfachere Zahlungsabwicklung.

  1. Kunden bezahlen mit der Kredit- oder Debitkarte mit NFC Funkchip ohne umständliche Unterschrift und Eingabe von PIN-Code.
    Eine kurze, kontaktlose Wischbewegung an der Seite des Zahlungsterminals (Kartenleser) genügt; ohne die Karte mit Magnetstreifen in das Terminal einschieben zu müssen).
  2. Für Transaktionen bis zu einem spezifisch definierten Betrag ist keine Identifizierung notwendig. Eingabe von Unterschrift und/oder PIN-Code fallen weg.
  3. Die Verkaufsgeschäfte profitieren auch davon, denn der Zahlungsvorgang wird schneller abgewickelt.
  4. Ausserdem erhöht die Bezahlung mit Karte mit RFID-Chip in der Regel den Transaktionsbetragsdurchschnitt gegenüber Bargeld (Umsatzsteigerung pro Kunde).
  5. Auch die Kosten und Risiken für die Händler sind tiefer. Dank RFID-Technologie ist weniger Bargeld im Umlauf. Kosten, Fehlbeträge und Risiken können somit minimiert werden. Die Sicherheit seitens der Händler steigt.


Dieses Symbol steht für NFC Karten für kontaktlose Bezahlung:

Logo kontaktloses Bezahlen ZahlungsterminalLogo Zahlungsterminal (kontaktloses Bezahlen)


Aufbau von Karten mit NFC-Tag:


Auf Karten, die mit einem NFC-Chip ausgestattet sind, ist meistens folgendes Symbol aufgedruckt:

Logo NFC Karten kontaktloses ZahlenLogo NFC Karten für kontaktloses Bezahlen

 

Die kontaktlose Chipkarte entspricht in der Grösse der kontaktbehafteten Chipkarte im ID1-Format von 85,6 x 53,58 x 0,76 mm
Der NFC-Tag (RFID-Chip, RFID-Transponder) ist als Zwischenschicht in der Karte eingelegt, wie folgende Abbildung zeigt:

Ebene Layer NFC tag Karte

Ebene Tag: RFID/NFC Funkchip für kontaktloses Bezahlen

 

Der in der Karte integrierte Chip ermöglicht die verschlüsselte Datenübermittlung an RFID-Lesegeräte in seiner Umgebung. Diese Übertragung erfolgt über eine Luftschnittstelle mittels elektromagnetischer Funkwellen.


Kontaktlose Chipkarten: ISO-Standards, Reichweite und Frequenzen


Zu den kontaktlosen Chipkarten zählen die Close Coupling Integrated Chip Card (CICC), die Proximity Integrated Circuit Card (PICC), und die Vicinity Integrated Circuit Card (VICC). 

Bei PICC ist das Gegenstück das PCD RFID Lesegerät (Proximity Coupling Device).

Diese Karten sind für unterschiedliche (abgestufte) Reichweiten ausgelegt und folgen ISO-Standards: ISO 10536 (CICC), ISO 14443 (PICC) und ISO 15693 (VICC).

Kontaktlose Chipkarten, die als Smart Cards dem ISO-Standard 14443 folgen, haben einen RFID Transponder. Dieser ist mit einer Antenne (Spule), einem analogen Schaltkreis (Transceiver) und einem digitalen integrierten Schaltkreis (RFID Chip) mit einer Speicherregion ausgestattet. Bei diesem Kartentyp arbeitet die Antenne beispielsweise auf der RFID-Frequenz 125 KHz oder 13,56 MHz. Die meisten ISO-14443-Karten nutzen den Karten-Formfaktor (ISO 7810).

Beispiel eines Zahlungsterminals:

NFC Zahlungsterminal Beispiel Zahlungsterminal NFC (Quelle: www.six-payment-services.com)


Daten


Auf einem  RFID/NFC-Chip von Kredit- und Debitkarten sind Personendaten und Finanzinformationen abgespeichert, wie z.B.:

  • Verfallsdatum;
  • Kontonummer;
  • Seriennummer;
  • Kartenunternehmen/Kartenherausgeber/in.


Sicherheit und Datenschutz:


Karten mit RFID/NFC-Technologie ermöglichen zwar eine schnelle, einfache Zahlungsabwicklung.

Doch befinden sich RFID-Lesegeräte in ihrer Nähe, senden NFC-Karten ihre Daten ungefragt und unkontrolliert an diese aus. Das heisst Daten solcher Karten können aus Entfernung von unautorisierten RFID-Lesegeräten ausgelesen werden, denn:

  1. diese Karten verfügen häufig entweder über keine oder eine nicht tiefgreifende oder unzulängliche Verschlüsselungstechnologie.
  2. Die Reichweite einer NFC-Karte ist nicht auf eine spezifische Entfernung beschränkt; die Distanz hängt z.B. auch von dem Umweltbedingungen und dem Typ des RFID-Readers ab.
  3. Ein handelsübliches RFID-Lesegerät oder ein Smartphone mit entsprechender App genügt unter Umständen schon, um an Daten zu gelangen und auf Daten der Kredit- oder Debitkarte zuzugreifen - und sie ohne Ihr Einverständnis und ohne Ihr Wissen missbräuchlich zu verwenden (Zahlungsbetrug).

Ein elektronischer Datendiebstahl geschieht beim Vorbeigehen in Sekundenschnelle, z.B. im Einkaufscenter, an Flughäfen, an Tankstellen, an der Kasse von Supermärkten und Verkaufsgeschäften, in Bahnhöfen, im Wartesaal, im Zug, im Aufzug (Lift), im Bus, in der Strassenbahn (Tram), im Hotel, im Restaurant, in der Bar oder anderen (geschäftigen) Orten, vorzugsweise aber nicht ausschliesslich bei Personenansammlungen.

Daten können ohne Schwierigkeiten durch Kleider, Gepäck, Handtaschen, Sporttaschen, Rucksäcke, Koffer, Geldbörsen, Portemonnaies, Geldbörsen, Brieftaschen, Plastik- und Stofftaschen und Etuis hindurch ausgelesen werden.

Die ausgespähten und ausgelesenen (gescannten, geskimmten) Daten werden entweder direkt missbräuchlich (Kasse) oder für Einkäufe in Online Shops verwendet oder sie werden indirekt genutzt, um illegale digitale Kopien und Klone herzustellen (wiederum in Sekundenbruchteilen).

Trotz Sicherheitsmechanismen bleibt also ein Restrisiko für elektronischen Datendiebstahl und Zahlungsbetrug (jeder zusätzliche Verschlüsselungsmechanismus verteuert übrigens die Herstellungskosten und damit die Ausgabekosten einer Karte).
Kontaktlose Funkchhips geknackt.pdf

Hinzu kommt beispielsweise die Gefahr von unbeabsichtigten Zahlungsabbuchungen,  Interferenzen zwischen den Karten und Kartenkollisionen.


Prüfnummer (Rückseite der Kreditkarte)


Auch die Prüfziffer (CVV/CVC/CSC-Sicherheitscode) auf der Rückseite von Kreditkarten ist nicht sicher. Wie einfach dieser Sicherheitscode geknackt werden kann, ohne im Besitz der Kreditkarte zu sein, hat beispielsweise das Softwareunternehmen SySS GmBH, Deuschland gezeigt (2012).


RFID Schutz


So praktisch, einfach und schnell das kontaktlose und bargeldlose Bezahlen ist, so gefährdet sind Ihre auf dem RFID-Chip gespeicherten Kartendaten vor unbemerkten Auslesen und Ausspähen durch unbefugte Dritte.

Mit RFID-Abschirmungsprodukten sind Ihre auf dem RFID-Chip gespeicherten Daten sicher vor unbefugten Zugriffen.

Ohne RFID-Schutzprodukte müssen Sie den Angaben der Kartenanbieter und der zum Zeitpunkt der Kartenausstellung aktuellen Verschlüsselungstechnologie vertrauen (Ihre Karte hat eine beschränkte Gültigkeitsdauer). Es ist nur eine Frage der Zeit, bis eine als scheinbar sichere Verschlüsselungstechnologie veraltet ist und geknackt wird. Beugen Sie vor.