Digital Life
22.05.2013

Kontaktlos: "Unbeabsichtigte Zahlungen möglich"

Beim britischen Einzelhändler Marks & Spencer kam es unlängst zu Beschwerden beim kontaktlosen Bezahlen. Es sollen Karten belastet worden sein, die Kunden gar nicht zum Bezahlen ausgewählt hatten, vereinzelt soll es auch zu Doppelbezahlungen gekommen sein. Ein Sicherheitsexperte der Fachhochschule (FH) Hagenberg erklärt, wie das möglich ist und warum dieses Problem auch österreichische Kunden betreffen wird.

Bei Marks & Spencer werden pro Woche rund 250.000 kontaktlose Zahlungen durchgeführt. Seit vergangenem Jahr kann man in Großbritannien in allen 644 Filialen des Einzelhändlers bezahlen, in dem man seine Karte dank Near Field Communication (NFC) nur noch kurz für wenige Sekunden in die unmittelbare Nähe des Terminals hält. Passiert ist bisher wenig - doch der Vorgang scheint dennoch nicht immer so reibungslos zu funktionieren, wie von Kontaktlos-Verfechtern behauptet wird, berichtete die "BBC" vor wenigen Tagen.

Geschockte Marks & Spencer-Kundin
Eine Kundin aus Sussex beschwerte sich beispielsweise bei Marks & Spencer, weil ihre NFC-fähige Smile-Kundenkarte belastet wurde, obwohl sie eigentlich mit ihrer regulären Lloyds-Bankomatkarte bezahlen wollte. "Ich habe meine Karte zum Lesegerät hingehalten und die Kassiererin hat mich etwas gefragt. Bevor ich antworten konnte, poppte ein Fenster auf, dass die Zahlung komplett sei - und das, obwohl ich meinen PIN-Code noch gar nicht eingegeben hatte. Die Kassiererin war genauso verwundert wie ich und als wir den Kassenzettel studierten, haben wir festgestellt, dass die letzten vier Ziffern nicht mit meiner Bankomatkarte ident waren. Diese gehörten stattdessen zu meiner Smile-Kundenkarte, die sich in meiner Geldbörse befand, die ich in der anderen Hand gehalten habe - mehr als vier Zentimeter vom Lesegerät entfernt", beschreibt die Kundin das Ereignis. Sie war doppelt geschockt, denn sie wusste nicht einmal, dass ihre Smile-Card über eine Kontaktlos-Funktion verfügt.

Doch ist es technisch überhaupt möglich, dass eine Zahlung ausgelöst wird, wenn sich eine kontaktlose Bezahlkarte erstens in einer Geldbörse und zweitens mehr als wenige Zentimeter vom Terminal entfernt befindet? "Die in dem BBC-Bericht beschriebenen 30-40 Zentimeter klingen für mich sehr unrealistisch, obwohl ich es nicht 100-prozentig ausschließen möchte", erklärt Michael Roland, Forscher am NFC Research Lab Hagenberg, gegenüber der futurezone. Roland hatte bereits in Vergangenheit eine

aufgedeckt.

Ab wann wird eine Zahlung ausgelöst?
Der Forscher hat zugleich drei Terminals, von denen eines auch im österreichischen Einzelhandel zum kontaktlosen Zahlen eingesetzt wird, einem Test unterzogen und dabei festgestellt: "Egal in welcher Ausrichtung ich die Karte zum Lesegerät halte, habe ich kaum mehr als fünf Zentimeter Abstand geschafft", so Roland, der dies anhand von Fotoaufnahmen auch gleich dokumentiert. "Ich vermute daher eher, dass die beteiligten Personen sich einfach nicht bewusst waren, dass sie ihre Geldtaschen vor das Lesegerät gehalten haben. Ein Problem dabei ist ja auch dass die Karten auch seitlich vom Lesegerät und nicht nur gerade davor erkannt werden", sagt der Forscher.

nfc

nfc

nfc

nfc

nfc

nfc

nfc

nfc

nfc

nfc

"Müssen unsere Kunden besser erziehen"
Laut Angaben des Einzelhändlers Marks & Spencer habe es insgesamt fünf Beschwerden gegeben. In manchen Fällen wurden auch Beträge irrtümlicherweise doppelt abgebucht. In diesen Fällen sei die Summe rückerstattet worden, so Marks & Spencer. Die Organisation in Großbritannien, die Kreditkartenunternehmen vertritt, sagt dazu lediglich: "Ich glaube wir müssen unsere Kunden besser erziehen, dass sie ihre Brieftaschen nicht in unmittelbarer Nähe des Terminals ablegen."

Für Roland vom Research Lab

ist eine derartige doppelte Bezahlung an der Kassa "nicht nachvollziehbar". "Wenn an der Kassa ein Bezahlvorgang gestartet wurde und dann mit NFC bezahlt wurde wird der Bezahlvorgang abgeschlossen und der Kassa der Erfolg (bzw. ein eventueller Fehler) gemeldet. Der Kassier sieht also, dass bezahlt wurde und kann bei typischen Registrierkassen auch nicht noch eine weitere Bezahlung einfordern." Sobald jemand eine Bankomatkarte in das Lesegerät schiebt, kann zudem laut dem Standard für kontaktlose Kreditkarten keine NFC-Zahlung mehr durchgeführt werden. Beim Test von Roland schien dies auch zu stimmen: "Bei den von mir getesteten Kreditkarten-Terminals sind die NFC-Leseeinheit und die kontaktbehaftte Leseeinheit soweit auseinander, dass es kaum möglich ist versehentlich eine NFC-Transaktion zu starten bevor die Karte im Lesegerät steckt."

Probleme, wenn es zwei NFC-fähige Karten gibt
Doch ganz so sicher scheint dies nicht in allen Fällen zu sein: "Anders sieht es da bei der Magnetstreifen-Leseeinheit aus. Da hab ich es bei mehreren Versuchen geschafft, eine NFC-Transaktion auszulösen, bevor ich die Karte durch den Schlitz des Lesegeräts ziehen konnte." Probleme gibt es beispielsweise auch dann, wenn zwei kontaktlose Karten in Reichweite des Lesegeräts kommen. Zwar schreibt der Standard vor, dass das Lesegerät nur dann aktiv werden darf, wenn nur eine Karte in Reichweite ist, doch dies wird von den Geräteherstellern der Terminals nicht immer eingehalten.

"Bei zwei meiner drei Lesegeräte wird mit der logisch ersten Karte bezahlt, wenn mehrere Karten in Reichweite sind. Die `logisch erste` ist jene Karte, die beim Antikollisionsverfahren früher gereiht ist. Beim ISO/IEC 14443 Type A-Kommunikationsprotokoll ist es die Karte mit der niedrigeren Chiperkennung (UID), beim ISO/IEC 14443 Type B-Protokoll ist es die Karte, die im früheren Timeslot antwortet. Sind zwei Karten mit unterschiedlichen Protokollen (also Type A und Type B) in Reichweite, dann konnte ich keine bestimmte Reihung feststellen", erklärt Roland. "Beim dritten Lesegerät wurden jene Fälle, in denen Karten mit demselben Kommunikationsprotokoll in Reichweite waren, erkannt und keine Transaktion durchgeführt."

"Überrascht, dass solche Probleme nicht erkannt werden"
Dies wird vor allem dann zum Problem werden, wenn kontaktlose Karten flächendeckend vorhanden sind - und man neben einer NFC-fähigen Bankomatkarte auch die Kreditkarte oder die Kundenkarte von Einzelhändler X über Kontaktlos-Funktionen verfügen und man in seiner Brieftasche mehr als eine NFC-fähige Karte mit sich herumträgt. "Die Problematik ließe sich recht einfach verhindern, wenn die Lesegeräte-Hersteller die Standards einhalten würden. Mich hat jedoch überrascht, dass solche Probleme nicht bereits bei der Zertifizierung durch die Kreditkartenfirmen erkannt werden", erklärt Roland.

Der Forscher glaubt, dass es auch in Österreich, wo bis 2015 alle Bankomatkarten über eine NFC-Funktion verfügen werden, zu Problemen kommen wird. "Wenn Leute ihre Karte nicht aus der Geldtasche herausnehmen und bewusst (oder auch unbewusst) mehrere Bezahlkarten in der Geldtasche haben, wird es sicher zu Problemen kommen. Auch dass jemand seine Geldtasche unbewusst zu nahe an die Kontaktlose-Leseeinheit hält und damit unbeabsichtigt eine NFC-Transaktion auslöst halte ich durchaus für realistisch."

Forderung: "PIN-Eingabe auch bei Kleinstbeträgen"
Roland vom NFC Research Lab fordert daher, dass auch bei Kleinstbetragszahlungen unter 25 Euro eine PIN-Eingabe durchgeführt werden sollte. "Dadurch sollten solche Probleme weitgehend vermeidbar sein. Den Vorteil von NFC sehe ich nicht darin, dass man PIN-los bezahlen kann, sondern dass man nicht jedes Jahr eine neue Karte braucht weil die alte durch mechanische Beanspruchung, speziell durch schlecht gewartete Bezahlterminals, zerstört wird."

Mehr zum Thema

  • "Bargeld wird es immer geben"
  • Österreicher deckte NFC-Lücke bei Google auf
  • NFC: "Österreich auf der Überholspur"
  • Bezahlen per Handy bei deutschem Supermarkt
  • NFC-Bezahlen: "Risiko für Kunden höher"
  • Spar bringt flächendeckend NFC-Terminals
  • Start für erste NFC-Bankomatkarte
  • A1 bringt SIM-Card mit Kreditkarten-Funktion
  • T-Mobile startet myWallet 2013 in Österreich
  • MasterCard: "Zahlen mit NFC nicht einziger Weg"