Morgens auf dem Weg zur Arbeit herrscht mal wieder Gedrängel im öffentlichen Nahverkehr. Sie stehen eng an eng mit anderen Mitfahrenden und denken an Ihr bevorstehendes Meeting. Abends zuhause beim Online-Banking trauen Sie dann kaum Ihren Augen: Laut Kontoübersicht haben Sie heute eine Abbuchung über einen hohen dreistelligen Betrag veranlasst.
So oder ähnlich könnte ein Diebstahl über die Schnittstelle für kontaktloses Bezahlen Ihrer EC-Karte aussehen. Die meisten dieser Karten verwenden heute – genau wie Kredit- oder Debitkarten – die als Near Field Communication (NFC) bekannte Variante von RFID. RFID ist eine altbewährte Technologie, die häufig zur Kennzeichnung von Verkaufsware oder auch Tieren Verwendung findet. Diese geniale Technik benötigt zum Lesen der Identifikations-Chips keine eigene Energiequelle, sondern erhält den notwendigen Strom per Induktion vom Lesegerät (ähnlich wie Ihr Smartphone beim kontaktlosen Laden).
Bei der RFID-Variante kommt fast ausschließlich die Lesefunktion der Technologie zum Einsatz. Generell funktioniert NFC aber bidirektional und erlaubt teilweise auch schreibenden Zugriff. Zum Schutz der Daten ist darum eine gewisse kryptografische Sicherheit implementiert, die allerdings nur greift, wenn eine Bezahltransaktion ausgeführt wird.
Geräte wie etwa der Cyberdelphin können RFID-Chips unbemerkt auslesen und Kreditkarten samt einer Transaktionsnummer klonen. Mit den gestohlenen Daten kann man normalerweise nicht viel Schaden anrichten, da das kontaktlose Bezahlen ohne PIN-Eingabe nur Beträge bis zu 50 Euro zulässt. Inzwischen ist allerdings ein NFC-Hack bekannt, der dieses Limit umgehen kann und damit Szenarien wie das oben beschriebene ermöglicht.
Auch viele andere Devices verwenden RFID und sind somit anfällig für das Auslesen von Informationen – wie etwa der elektronische Ausweis, die Gesundheitskarte oder Schlüsselkarten für Hotel- und Haustüren. Für letztere verwenden Datendiebe gerne den RFID-Spion, ein daumennagelgroßes und entsprechend unauffälliges Gerät, das am Kartenleser der Tür angebracht wird. Bei Fahrzeugen ist die praktische Keyless- Funktion nur dann sicher, wenn der Hersteller die sogenannte Ultra-Wideband-Technologie (UWB) implementiert hat. Sollte dies nicht der Fall sein, können sie auch von Fremden geöffnet und gestartet werden. Zum Datenklau muss der Hacker lediglich mit der entsprechenden Hardware in der Nähe des Autoschlüssels und des Wagens sein (10 Meter reichen hier in der Regel).
Die gute Nachricht ist, dass die meisten der hier beschriebenen Hacks nur dann Erfolg haben, wenn die Funkwellen des illegalen Lesegerätes ungehindert den RFID-Transponder erreichen. Das lässt sich schon durch simple Abschirmung mit einer Metallfolie verhindern. Für Kreditkarten gibt es eigene Schutzhüllen oder spezielle Geldbörsen, in der man mehrere Karten sicher unterbringen kann. Und Autoschlüssel mit dem Keyless-System sind gut in Handtaschen oder Rucksäcken mit Funkwellen-Abschirmung aufgehoben (funktionieren aber natürlich nur, wenn man sie dort wieder herausnimmt). Wenn Sie entsprechend gerüstet sind, haben also auch die Taschendiebe von heute das Nachsehen.