Wie sicher ist das Bezahlen mit Karte?

28.05.2019 | 11:34 Uhr

In kaum einem anderen EU-Land wird an der Kasse so selten zur Karte gegriffen wie in Deutschland. Viele haben dabei offenbar kein so sicheres Gefühl wie beim Bezahlen mit Scheinen und Münzen. Doch der Trend geht auch bei uns langsam weg vom Bargeld – weil immer mehr kontaktlos bezahlen. Dabei stand gerade diese Technik zuletzt immer wieder in der Kritik von Datenschützern und Sicherheitsexperten.

Eine Frau bezahlt im Restaurant kontaktlos mit Karte
Bildrechte: imago images / Westend61

Im stationären Handel in Deutschland wurden im letzten Jahr noch immer drei Viertel der Einkäufe in bar bezahlt. Doch das waren vor allem kleinere Beträge, wie eine Studie des Kölner Handelsforschungsinstituts EHI zeigt. Daher überwiegen beim Warenwert die Zahlungen mit Karte. 209 Milliarden Euro wurden mit Kreditkarte, Girocard oder Bezahlkarte bezahlt. Zum Vergleich: 208 Milliarden Euro wurden bar bezahlt. Damit hat die Liebe der Deutschen zum Bargeld aus Sicht der Forscher den Zenit überschritten.

Karte raus, kurz ranhalten, fertig

Ein Grund für diese Entwicklung ist aus Sicht der Experten die zunehmende Beliebheit des kontaktlosen Zahlens. Dabei wird die Karte oder auch das Smartphone nur ganz kurz ans Bezahlterminal gehalten und das Geld für den Einkauf abgebucht. Das verkürzt den Bezahlvorgang deutlich. Die anfänglichen Sorgen von Verbraucherschützern und Technikexperten um die Sicherheit dieser Technik haben sich bisher nicht bewahrheitet. Trotzdem können Verbraucher beim Bezahlen mit Karte ein paar Tipps beachten, um ganz auf Nummer sicher zu gehen.

Klappt auch mit vielen Smartphones

Für das schnelle kontaktlose Bezahlen wird eine Übertragungsart mit dem Kürzel NFC genutzt. Das steht für "Near Field Communication", auf Deutsch etwa "Daten übertragen über eine kurze Distanz". Mit "kurzer Distanz" ist ein Abstand von wenigen Zentimetern gemeint. In fast jeder neu ausgegebenen Kreditkarte oder Girocard ist der dafür nötige NFC-Chip verbaut, erkennbar am Funk­-Symbol (ähnlich wie das WLAN-Symbol: vier gebogene Streifen nebeneinander) auf der Kartenvorderseite. Auch viele aktuelle Android-Smartphones und iPhones haben den Funkchip an Bord. Meist müssen Nutzer zusätzlich noch eine kostenlose Bezahl-App aufs Smartphone laden, in der die Kontodaten gespeichert sind. Bei Beträgen unter 25 Euro müssen Verbraucher beim kontaktlosen Bezahlen Girocard nicht mal eine PIN eingeben. Für Kreditkarten gilt eine Obergrenze von 50 Euro. Ähnlich ist das Ganze auch für Smartphones geregelt, sagt Josefine Lietzau vom unabhängigen Verbrauchermagazin Finanztip:

Josefine Lietzau
Bildrechte: Finanztip/Josefine Lietzau

Wenn man Beträge unter 25 Euro bezahlt, muss man nicht mal die PIN eingeben. Darüber gibt man ähnlich wie bei der Kreditkarte auch, die PIN ein.

Daten ausspähen im Vorbeigehen?

Bei der Einführung der Technik sorgten sich viele Kunden, Computerexperten und auch Verbraucherschützer, die Karten könnten sozusagen im Vorbeigehen ausgelesen werden. Entsprechende Geräte dafür gibt es online schon für unter 30 Euro. In einem Test des Computermagazins c't (Juli 2018) konnten damit Kartendaten sogar durch Portemonnaies oder Hosentaschen hindurch abgegriffen werden. Damit kann aber kein Geld gestohlen werden, heißt es auf MDR-Anfrage vom Bundesverband der Banken. Sprecherin Sylvie Ernoult betonte, dafür müsse das Lesegerät bei einem Netzbetreiber registriert sein:

Um sich da aber überhaupt registrieren zu können, müssen Sie ein Händler sein. Und erst dann können Sie das ganze Prozedere starten. Also einfach nur ein Terminal kaufen und dann damit in die U-Bahn gehen oder Ähnliches, damit können sie noch absolut keine Zahlung generieren.

Auch aus Sicht der Verbraucherzentrale Thüringen haben sich Ausspäh-Bedenken nicht bestätigt. In einem Test der Verbraucherschützer war auffällig, wie nahe das Smartphone an die Karte für das Auslesen gehalten werden musste. Ist der Abstand größer als drei oder vier Zentimeter, funktioniert das Ganze nicht. Im Ernstfall können sowieso nur die Kontonummer und die letzten Bezahlvorgänge ausgelesen werden. Bei Kreditkarten können zwar Kartennummer und Ablaufdatum ausgelesen werden. Darauf weist Finanztip hin. Mit diesen Informationen können Diebe zwar versuchen, online einzukaufen. Dazu schreibt das Bundeskriminalamt auf MDR-Anfrage:

Diese Daten versetzen die Täter in die Lage, betrügerische Bestellungen bei Online-Händlern vorzunehmen. Dies ist immer dann möglich, wenn der Händler den auf dem Unterschriftstreifen befindlichen dreistelligen Sicherheitscode nicht abfragt.

Sehr viele Händler fragen aber beim Onlinekauf die Kartenprüfziffer (CVC-Ziffer) ab, die nicht per Funk ausgelesen werden kann. Auch eine Kopie der Kreditkarte kann mit den via NFC ausgespähten Daten nicht angefertig werden. Laut c't kann ein mögliches Restrisiko meist schon ausgeschlossen werden, wenn eine zweite NFC-fähige Karte im Portemonnaie steckt. Das kann eine andere Bezahlkarte sein oder auch der neue Personalausweis. Dann gibt es laut dem Test einen "card clash": Das Lesegerät erkenne zwei Karten und verweigere das Abbuchen.

Was passiert, wenn Smartphone oder Karte verloren gehen?

Ein Risiko gibt es bei der Bezahlvariante über Funk: Verliert man das Handy oder auch die Karten, könnten andere kleinere Beträge damit bezahlen. Das klappt beim Smartphone selbst dann, wenn das Display mit einer PIN oder einem Muster gesperrt ist. Dazu sagt Josefine Lietzau:

Ein iPhone
Bildrechte: imago images/ZUMA Press

Nutzer haften nur bis 50 Euro, wenn Smartphone oder Karten von anderen genutzt werden. Man muss aber das Ganze sperren lassen.

Die Banken haben aber zusätzliche Hürden aufgebaut, um Missbrauch mit gestohlenen Karten zu beschränken. So soll verhindert werden, dass Diebe oder unehrliche Finder an einem Tag ganz viele Beträge unter 25 Euro mit dem fremden Smartphone bezahlen. Dann wird irgendwann doch eine PIN abgefragt. Jan-Keno Janssen vom Computermagazin c‘t sagte:

Die Kreditkartenfirmen nutzen zudem so genannte Detection Schemes. Da geht eine künstliche Intelligenz über die Bezahlvorgänge drüber und schaut, ob irgendwelche Verhaltensmuster gerade komisch sind.

Werden innerhalb kurzer Zeit viele kleine Beträge abgebucht, werden Karten oder Smartphone fürs kontaktlose Bezahlen gesperrt.

Weniger Betrug an Geldautomaten

In den letzten Jahren sind die Fälle von "Skimming"-Betrügereien deutlich  zurückgegangen. Dabei versuchen Kriminelle mit einem möglichst unauffälligen Aufsatz auf Geldautomaten Kartendaten und PIN abzufischen. 2017 gab es 499 Fälle mit einem Schaden von etwa über zwei Millionen Euro. 2018 sank die Zahl von "Skimming"-Fällen auf 449, nachdem die Banken ihre Automaten gegen solche Betrugsversuche aufgerüstet haben. Trotzdem sollten Kunden weiterhin wachsam sein, sagen Verbraucherschützer. Wer Geld abhebt, sollte aufmerksam bleiben und bei einem Verdacht die eigene Bank informieren. Verbraucher sollten zudem regelmäßig ihre Kartenabrechnungen auf fremde Abbuchungen prüfen und im Ernstfall beim Kreditinstitut nachfragen.

Dieses Thema im Programm Die MDR JUMP Feierabendshow | 28. Mai 2019 | 14:10 Uhr

Aktuelle Themen von MDR JUMP