 Wichtige Seiten Hilfestellungen Externe Links Alle Inhalte dieses Wikis, soweit nicht anders angegeben, unter Creative Commons CC-BY-SA |
Main /
Kontaktlos-GeldkartenAbout
Ausgangspunkt war diese Meldung von heise.de über ein mögliches Missbrauchsszenario: Sehenswert das im ct-Beitrag eingebundene Video.
Beruhigende Argumente der Banken
Der Missbrauch sei so gut wie ausgeschlossen, weil: a) selbst ein paar Münzen in der Geldbörse angeblich ausreichend abschirmen, b) weitere RFID-bestückte Karten zusammen mit der Bankkarte keine Abbuchungen zulassen würden, c) die softwareseitige Ausschaltung der Kontaktlosfunktion sicher sei, d) die Abbuch-Terminals immer einer Person zuzuordnen seien und insofern ein Missbrauch strafverfolgbar sei, e) man ungewollen Abbuchungen bis zu 13 Monate danach noch widersprechen könne.
Gegenargumente
a) Was ist, wenn in der Geldbörse (eben z.B. wegen der "bequemen" Kontaktlosfunktion) gar kein Bargeld mehr enthalten ist? b) Muss man also teure Spezial-Geldbörse kaufen oder händisch Alufolie in die Kartenbörse einlegen, um bei nur einer RFID-Karte einem möglichen Missbrauch zu begegnen? Und stimmt diese Angabe, dass >= 2 RFID-Karten hintereinander die mobilen Bezahlterminals überfordern? c) Wer kann garantieren, dass eine softwareseitige Deaktivierung tatsächlich sicher ist? d) Ist es tatsächlich so, dass die Geldströme mittels mobiler Abbuchterminals letztendlich personenbeziehbar sind? e) Was ist, wenn die "Diebe" derart kleine Geldbeträge abschöpfen, die es den Nutzern z.B. aus Bequemlichkeitsgründen leicht machen, diese Ungereimtheiten nicht aufzuklären zu wollen?
Links/Bilder
20.7.2018 - Presseanfrage an die GLS-Bank
aktuellen Medienberichten zufolge ist die Verwendung von Kontaktlos-Bankkarten potentiell nicht besonders missbrauchssicher: GLS-eigenen Angaben zufolge werden bereits seit Oktober 2016 sämtliche "GLS BankCards" mit Kontaktlosfunktion ausgestattet, auch die Kreditkarten sollen folgen oder sind bereits ebenfalls derart funktionabel. Bei der BankCard kann die Kontaktlos-Funktion softwareseitig via Opt-Out deaktiviert werden: https://www.gls.de/privatkunden/konto-karten/gls-bankcard/ Dazu haben wir im Rahmen der Vorbereitung einer Berichterstattung folgende Fragen und würden uns über eine kurzfristige Beantwortung sehr freuen: 1.) Wie bewerten Sie die tatsächliche Gefährdung des unbemerkten und unerwünschten Abgriffs von Kontaktlos-Kleinguthaben mit Bezug auf die aktuelle Berichterstattung? 2.) Welche Empfehlungen geben Sie den GLS-Kunden im Zusammenhang mit Kontaktlos-Bankkarten mit auf den Weg, um die Sicherheit im Umgang mit der Kontaktlos-Funktionalität zu erhöhen? (Und wo sind diese nachlesbar?) 3.) Ist das praktizierte Opt-Out zur Deaktivierung der Kontaktlosfunktion aus Ihrer Sicht mit der EU-DSGV vereinbar? 4.) Besteht für GLS-Kunden die Möglichkeit, eine "GLS BankCard" auf Wunsch auch ohne Kontaktlos-Funktionalität (gemeint: hardwareseitig z.B. ohne Antenne am Kartenchip o.ä.) zu erhalten? Vielen Dank für Ihre Arbeit und viele gute Grüße,
31.7.2018 - Nachhaken bei der GLS-Bank
können Sie uns mitteilen, wann wir (in etwa) mit der Beantwortung unserer Presseanfrage vom 20.7.2018 rechnen können? Vielen Dank und viele gute Grüße,
1.8.2018 - Zwischen-Rückmeldung von der GLS
vielen Dank für ihre Anfrage - ich möchte Sie wissen lassen, dass ich ihren Fall bearbeite und sie im Laufe der Woche mit einer Antwort rechnen können. Herzliche Grüße aus Bochum
1.8.2018 - Ein paar Antworten von der GLS
Sehr geehrter Herr xxx, wir begrüßen ihr Interesse an der GLS Bank und an der Funktionsweise von kontaktlosem Bezahlen. Die GLS Bank legt schon immer größten Wert auf die (Daten)-Sicherheit ihrer Kunden. Für welches Medium schreiben Sie? Umfassende Informationen zum Kontaktlos-Bezahlen finden Sie auf unserer Homepage. Dort finden Sie auch Informationen, wie man sich vor ungewollten Abbuchungen schützen kann. Zu ihren Fragen: 1) Zum Schutz vor einer illegalen Abbuchung reichen wenige Münzen im Portemonnaie aus. Angeboten wird auch eine spezielle Schutzfolie aus Cryptalloy. Ab 25€ aufwärts ist für eine Transaktion die Eingabe des PIN nötig. Bei einer ungewollten Buchung kann der Belastung bis zu 13 Monate widersprochen werden. 2) Infos hier: 3) Aus Sicht der GLS Bank ist das praktizierte Opt-Out konform mit der EU-DSGVO. 4) Unsere Kund*innen können die Kontaktlos-Funktion bei Bedarf sofort telefonisch oder am Geldautomat deaktivieren. Verbaut in der BankCard ist eine sog. Passiv-Antenne. Eine passive Antenne funkt nicht aktiv, sondern die enthaltene Spule muss ähnlich wie beim kabellosen Laden von elektrischen Geräten angeregt werden. Falls Sie noch Fragen haben, zögern Sie nicht, mich zu kontaktieren. Wenn sie es wünschen, dürfen Sie die oben genannten Informationen als Zitate von xxx, Pressesprecher GLS Bank verwenden. Herzliche Grüße aus Bochum
1.8.2018 - Nachfragen an die GLS
vielen Dank für die Antworten! Ich recherchiere für den Blog freiheitsfoo.de und bin dort Mitglied der Redaktion. Gerne möchte ich auf Ihr Angebot für Nachfragen zurückkommen: Am 01.08.2018 um 14:29 schrieb xxx@gls.de: 1) Zum Schutz vor einer illegalen Abbuchung reichen wenige Münzen im Portemonnaie aus. Angeboten wird auch eine spezielle Schutzfolie aus Cryptalloy. Ab 25€ aufwärts ist für eine Transaktion die Eingabe des PIN nötig. Bei einer ungewollten Buchung kann der Belastung bis zu 13 Monate widersprochen werden.
Aber - zugespitzt - anders ausgedrückt: Ohne Kleingeld im Portemonaie und ohne Metallfolien darin gibt es diesen technischen Schutz (unabhängig von der weiteren Praktikabilität eines solchen Angriffs) nicht, oder? 4) Unsere Kund*innen können die Kontaktlos-Funktion bei Bedarf sofort telefonisch oder am Geldautomat deaktivieren. Verbaut in der BankCard ist eine sog. Passiv-Antenne. Eine passive Antenne funkt nicht aktiv, sondern die enthaltene Spule muss ähnlich wie beim kabellosen Laden von elektrischen Geräten angeregt werden.
An der Validität einer softwareseitigen Deaktivierung der Kontaktlos-Funktion bestehen seitens IT-Techniker Bedenken. Gibt es eine andere Möglichkeit für die Kunden der GLS, die Kontaktlos-Funktion zu deaktivieren? Es kursieren im Netz Anleitungen, die bspw. per Bohrung eines kleinen Lochs an geeignerter Stelle die Antennenleitung physikalisch unterbrechen. Sind derart bearbeitete Karten praktisch weiter gültig und nutzbar? Oder können GLS-Kunden auf Wunsch auch eine Bankkarte ohne Antenne erhalten? Viele gute Grüße,
13.8.2018 - Nachhaken bei der GLS-Bank
dürfen wir auf unsere Nachfrage om 1.8.2018 noch mit einer Antwort rechnen? Danke und viele gute Grüße,
13.8.2018 - Vertröstende, aber auch irritierende Rückmeldung von der GLS
Herr xxx ist bis nächste Woche im Büro. Reicht es Ihnen wenn ich Ihn heute in einer Woche auf die fehlende Antwort hinweise? Herzliche Grüße aus Bochum
14.8.2018 - Rückmeldung an die GLS
Danke für die Rückmeldung. Vermutlich meinten Sie, dass Herr xxx bis nächste Wochen *nicht* im Büro ist. Falls dem so ist, warten wir gerne noch bis zu einer Rückmeldung in der nächsten Woche. Danke für Ihre Arbeit und viele gute Grüße,
22.8.2018 - "Antwort" von der GLS
die "analogen" Methoden, die Antenne in der Karte zu deaktivieren funktionieren theoretisch, so unsere Experten aus dem Zahlungsverkehr. Allerdings raten wir unbedingt davon ab, die eigene Bankkarte manuell zu beschädigen. Es ist leicht, eine Bankkarte irreparabel zu zerstören. Auch wenn unsere Bankkarten aus nachhaltigen Biokunststoffen bestehen, können wir diese potentielle Gesamtzerstörung nicht empfehlen. Neue Bankkarten kosten Zeit, Rohstoffe und Energie. Herzliche Grüße aus Bochum
22.8.2018 - Nachfrage bei der GLS wegen unbeantwortet gebliebener Frage
vielen Dank für die Rückmeldung. Aber können Sie möglichst noch auf die unbeantwortet gebliebenen Teile unserer Fragen vom 1.8.2018 eingehen? Ohne Kleingeld im Portemonaie und ohne Metallfolien darin gibt es diesen technischen Schutz (unabhängig von der weiteren Praktikabilität eines solchen Angriffs) nicht, oder?
(...)
Gibt es eine andere Möglichkeit für die Kunden der GLS, die Kontaktlos-Funktion zu deaktivieren? Es kursieren im Netz Anleitungen, die bspw. per Bohrung eines kleinen Lochs an geeignerter Stelle die Antennenleitung physikalisch unterbrechen. Sind derart bearbeitete Karten praktisch weiter gültig und nutzbar? Oder können GLS-Kunden auf Wunsch auch eine Bankkarte ohne Antenne erhalten?
Es geht uns also (u.a.!) um die Frage, ob die z.B. mittels einer kleinen Bohrung RFID-deaktivierten GLS-Bankkarten aus formellen Gründen von bestimmten Stellen nicht mehr akzeptiert oder akzeptiert werden müssen und falls ja, worin das Recht auf so eine Ablehnung im Detail begründet liegt. Danke für Ihre Arbeit und viele gute Grüße,
28.8.2018 - Nachhaken bei der GLS-Bank
können Sie uns zu unserer Frage vom 22.8. bzw. eigentlich vom 1.8.2018 noch etwas mitteilen? Wir möchten gerne zur Sache berichten und wären für eine - gerne auch kurze - Information dankbar. Vielen Dank und viele gute Grüße,
29.8.2018 - Nun prompte Antwort von der GLS
Sehr geehrter Herr xxx, die GLS Bank bietet ihren Kunden zahlreiche Informationen über mögliche Schutzmaßnahmen, die ich Ihnen ebenfalls auf ihre Anfrage umfassend zur Verfügung gestellt habe. Zur zweiten Frage: die GLS Bank kann keine Aussage darüber treffen, wie andere Unternehmen, Dienstleister u.ä. mit aufgebohrten Karten umgehen. Auf Grund der möglichen Beschädigung der Karte rate ich erneut von einer analogen Veränderung der BankCard ab. Die einzige Stelle, wo die GLS Bank mit der Karte interagiert, ist der Geldautomat in der Filiale. 'Dieser unterscheidet nicht zwischen aufgebohrter und vollständiger Karte. Gründe zur Ablehnung sind uns nicht bekannt. Dass der Geldautomat aufgebohrte Karten akzeptiert, garantieren wir nicht. Es könnte sein, dass Händler die Karte nicht mehr akzeptieren, wenn auffällt, dass Sie aufgebohrt ist, da man annehmen könnte, dass die Karte von einer Bank als ungültig eingestuft und und gelocht wurde. Standardmässig deaktivierte Karten bietet die GLS Bank nicht an. Herzliche Grüße aus Bochum
2.9.2018 - Blogbeitrag zum Thema: Bankkarten mit Kontaktlos-Bezahlfunktion: Kurzinfo und How-To zur hardwaremäßigen Deaktivierung
4.9.2018 - Presseanfrage an die GLS-Bank
weil uns nach unserer Veröffentlichung ein paar Hinweise erreichten, haben wir noch zwei Fragen an Sie zum Thema Kontaktlos-Bankkarten: 1.) Hat die GLS oder haben die VR-Banken eine Technikfolgenabschätzung zur Einführung und Nutzung von Kontaktlos-Bankkarten vorgenommen und falls ja, wie ist deren Ergebnis im Detail gewesen? 2.) Können Sie etwas dazu sagen, ob selbst bei softwareseitig ausgeschalteter Kontaktlos-Bezahl-Funktion nicht doch bankenkarten-spezfische Daten (wie z.B. die Karten-ID) und insofern personenbeziehbare Informationen kontaktlos ausgelesen werden können? Über eine baldige Antwort würden wir uns sehr freuen. Vielen Dank für die Arbeit damit und viele gute Grüße,
5.9.2018 - Flotte Antwort von der GLS
Sehr geehrter Herr xxx, für ihren Blog hier die Antworten auf ihre Fragen. Da ich die Veröffentlichung dieser E-Mail erwarte, herzliche Grüße an ihre Leser*Innen. Geld ist für die Menschen da – nach diesem Leitsatz arbeitet die GLS Bank seit 1974. Die sozial-ökologische Bank ist der Wegbereiter für nachhaltige Unternehmen und Projekte. Sie bietet Geldanlagen, Finanzierungen, Beteiligungskapital, Stiftungen und Schenkungen aus einer Hand an. Nach klaren Kriterien finanziert sie zukunftsweisende Entwicklungen von erneuerbaren Energien über ökologische Landwirtschaft bis zu freien Schulen und Kindergärten, Behinderteneinrichtungen, Wohnprojekten, nachhaltige Wirtschaft oder Kulturinitiativen. Die umfassende Transparenz der GLS Bank ermöglicht es ihren Kundinnen und Kunden, nachzuvollziehen, wo ihr angelegtes Geld positiv wirkt: Alle vergebenen Kredite sowie die Eigenanlagen der Bank werden laufend veröffentlicht. Das konsequente Konzept der GLS Bank hat Erfolg: 2017 vergab die GLS Bank Kredite im Wert von 3 Milliarden Euro in ihren Kernbranchen. In einer bundesweiten Kundenumfrage von n-tv und dem Deutschen Institut für Servicequalität wählten die Kunden die GLS Bank 2017 im achten Jahr in Folge zur „Bank des Jahres“. Hauptsitz der Genossenschaftsbank ist Bochum, zudem ist sie in Berlin, Frankfurt/Main, Freiburg, Hamburg, München und Stuttgart mit Filialen vor Ort. Ihre Bankgeschäfte können die über 220.000 Kundinnen und Kunden selbstverständlich auch online tätigen. Mit ihren zielgerichtet sozial-ökologischen Investitionen und umfassenden Transparenz bietet sie ihren Kunden Bankdienstleistungen mit einem dreifachen Gewinn: menschlich, zukunftsweisend, ökonomisch. Informieren Sie sich gern unter www.gls.de. Nun zu ihren Fragen: 1.) Hat die GLS oder haben die VR-Banken eine Technikfolgenabschätzung zur Einführung und Nutzung von Kontaktlos-Bankkarten vorgenommen und falls ja, wie ist deren Ergebnis im Detail gewesen? da es ein Verfahren der deutschen Kreditwirtschaft ist, hat unser Rechenzentrum oder der Genossenschaftsverbund keine eigene Technikfolgenabschätzung durchgeführt. Diese werden zentral von der Deutschen Kreditwirtschaft erstellt. 2.) Können Sie etwas dazu sagen, ob selbst bei softwareseitig ausgeschalteter Kontaktlos-Bezahl-Funktion nicht doch bankenkarten-spezfische Daten (wie z.B. die Karten-ID) und insofern personenbeziehbare Informationen kontaktlos ausgelesen werden können? Wenn die Karte softwareseitig ausgeschaltet ist, werden keine personenbeziehbaren Daten übertragen. Herzliche Grüße aus Bochum
5.9.2018 - Nachfrage an die GLS
vielen Dank für die nun so flotte Rückmeldung inklusive Werbeblock, den wir - wie von Ihnen erwartet und entsprechend prädestiniert - wie auch alles andere aus redaktioneller Arbeit in unserem Arbeitswiki abgelegt haben. :) Es bleibt für uns nur noch eine Nachfrage: Am 05.09.2018 um xxx schrieb xxx@gls.de: 1.) Hat die GLS oder haben die VR-Banken eine Technikfolgenabschätzung zur Einführung und Nutzung von Kontaktlos-Bankkarten vorgenommen und falls ja, wie ist deren Ergebnis im Detail gewesen?
da es ein Verfahren der deutschen Kreditwirtschaft ist, hat unser Rechenzentrum oder der Genossenschaftsverbund keine eigene Technikfolgenabschätzung durchgeführt. Diese werden zentral von der Deutschen Kreditwirtschaft erstellt.
Hat die "deutsche Kreditwirtschaft" denn dann eine Technikfolgenabschätzung durchgeführt? Und falls ja, mit welchem Ergebnis? Möglicherweise vorausschauend für den Fall, dass Ihnen dazu nichts bekannt ist: Wäre es nicht vor Einführung einer Technologie bei der GLS bzw. bei der zwangsweisen Portierung einer Technologie zu sämtlichen GLS-Kunden hin im Sinne der Bankengemeinschaft, nach einer solchen Technikfolgenabschätzung zu fragen, wenn nicht gar kritisch zu hinterfragen? Welche andere Bank, wenn nicht die GLS, wäre die Richtige, die so einen Vorgang entsprechend abwägt und abzuschätzen versucht? Viele gute Grüße,
|
