Seit kurzem werden alle oder fast alle Bankkarten (manchmal umgangssprachlich als „EC-Karten“ bezeichnet) mit integrierter RFID-Antenne und Nahfunk-Funktionalität im 13,56 MHz-Frequenzbereich ausgestattet. Hintergrund ist die Einführung der so genannten „Kontaktlos-Bezahlfunktion“, mittels derer man Beträge an bestimmten Terminals in Höhe von bis zu 25 Euro von seinem Konto abbuchen lassen kann, ohne die Bankkarte irgendwo (richtigrum!) einstecken zu müssen und auch ist die Eingabe einer PIN in diesem Fall grundsätzlich hinfällig.
Keine Frage: Das kann im Sinne eines möglichst schnellen und bargeldlosen Bezahlens sinnvoll sein. Wenn einem denn daran etwas liegt.
Allerdings mangelt es an Aufklärung der Kunden. Diese Kontaktlos-Bezahlfunktion wurde ohne besonders viel Öffentlichkeit, also ziemlich geräuschlos eingeführt – möglicherweise aus der Erfahrung heraus, dass besonders umfangreiche vorherige Ankündigungen derartiger neuer Bezahlverfahren stets auf Kritik und Skepsis stoßen, also tendentiell Ablehnung oder Misstrauen erzeugen – siehe das gescheiterte Beispiel „Girogo“ des Sparkassenverbundes aus 2012.
Selbst die ansonsten sehr lobenswerte GLS-Bank, die auf Betreiben eines Bankenmitglieds noch in 2012 mündlich zusagte, vor Einführung der RFID-Bankkarten eine bankengemeinschaftliche Diskussion dazu anzustoßen, hat als Teil des Volks- und Raiffeisenbankenverbundes die alternativlose Funk-Bankkarte eingeführt. Ebenso heimlich und intransparent wie alle anderen Banken auch.
Nun ist sie also da: Jede und jeder, die/der ein Girokonto besitzt und nicht auf Online-Überweisungen, Geldabhebungen am Automaten oder Bezahlvorgänge mit der Bankkarten verzichten kann oder will, besitzt schon jetzt so eine Kontaktlos-Bankkarte oder wird sie demnächst ausgehändigt bekommen.
Dass die Kontaktlos-Bezahlfunktion hohe Risiken mit sich bringt, zeigt beispielsweise ein aktueller Bericht der heise-Zeitschrift c’t, in dem einige heise-Redakteure mittels nur geringem technischen und finanziellen Aufwand vorführen, wie leicht das unbemerkte Abbuchen von Geld via Kontaktlos-Funktion via kleiner tragbarer Terminals praktiziert werden kann. Die ebenfalls nur etwa scheckkarten-großen Terminals werden dabei z.B. an die Hosentaschen oder Handtaschen gehalten, in denen man solche Bankkarten vermutet. Ohne weiteres Hinzutun können so – unter bestimmten Bedingungen – Beträge von bis zu 25 Euro je Transaktion abgezogen werden. Ohne, dass es dem/der um dieses Geld „Erleichterten“ bemerkt.
Selbstverständlich versuchen die Banken, diesem Horrorszenario mit mehr oder minder brauchbaren Gegenargumenten Paroli zu bieten. Wir haben beispielhaft die GLS-Bank dazu angeschrieben. Den sehr zähen Kontakt mit der GLS-Pressestelle haben wir dokumentiert und die Pro- und Contra-Argumente zu diesem heise-„Hack“ aufgelistet.
Doch auch ohne diese Variante der Abzocke birgen Kontaktlos-Geldkarten wie jeder andere mit sich herumgetragene RFID-Funkchip einige persönlichkeitsrechliche Gefahren.
Was also tun?
Mittels Opt-Out (und angeblich EU-DSGVO-konform) kann man die Kontaktlosfunktion deaktivieren. Telefonisch oder an Geldautomaten.
Doch vielleicht nicht nur technikaffineren Menschen schwant, dass eine softwaremässige Deaktivierung nicht wirklich sicher und zuverlässig ist oder sein muss. Denn bei der Software-Abschaltung bleibt die Hardware, also die Funkantenne unversehrt und ob und wie leicht oder schwer die Software-Deaktivierung umgangen werden kann, ist derzeit nicht wirklich klar, auch wenn die Bankenstellen auf derlei Skepsis mit allerlei beruhigenden Worten einzuwirken versuchen. (Dass darauf nicht unbedingt viel zu geben ist, hat die Vergangenheit mannigfach bewiesen.)
Also bleibt denjenigen, die aus welchen Gründen auch immer einfach gar keine Funk-Bankkarte mit sich herumtragen möchten, gar keine andere Wahl, als die Hardware zu manipulieren, denn traurigerweise bieten die Banken (auch die GLS-Bank nicht) keine Option zur Aushändigung einer Bankkarte ohne Kontaktlos-Funktion an!
Für die hardwareseitige Abschaltung der Antenne gibt es brachiale Lösungen, die nicht unbedingt ansehnliche Ergebnisse liefern.
Doch es geht auch etwas „feiner“, wenn nur an der richtigen Stelle der Karte ein kleines Loch gebohrt wird, das mindestens eine der in der Karte integrierten Antennen-Windungen unterbricht. Wir haben das am Beispiel einer aktuellen GLS-Bankkarte ausprobiert und bislang keine Probleme z.B. beim Geldabheben am Automaten erfahren.
In den Bildern dieses Blogbeitrags ist zu sehen, wo sich die Antennenwindungen in der GLS-Karte (vermutlich auch in anderen Bankkarten z.B. der Volks- und Raiffeisenbanken) befinden und wo sich (unter Berücksichtigung der Nicht-Verletzung des Magnetstreifens) idealerweise ein solches Loch setzen lässt. (Übrigens und bei Interesse: Hier das Röntgenbild einer Sparkassen-Girogo-Bankkarte aus dem Jahr 2012.)
Selbstverständlich rät die GLS-Pressestelle von solchen Selbstschutz-Maßnahmen strikt ab und begründet das neben merkwürdig lebensfremd daherkommenden Umweltschutzgründen mit der angeblichen Gefahr der „Gesamtzerstörung“ der Karte. Hmmm …
Auf die ausdrückliche Nachfrage, ob eine so „aufgebohrte“ Karte möglicherweise nicht von Geldautomaten akzeptiert werde oder ob formale Gründe existieren, die eine solche Karte per se ungültig werden lassen würden antwortet die GLS-Pressestelle (erst nach mehrfachen Nachhaken):
„[Der Geldautomat] unterscheidet nicht zwischen aufgebohrter und vollständiger Karte. Gründe zur Ablehnung sind uns nicht bekannt. Dass der Geldautomat aufgebohrte Karten akzeptiert, garantieren wir nicht. Es könnte sein, dass Händler die Karte nicht mehr akzeptieren, wenn auffällt, dass Sie aufgebohrt ist, da man annehmen könnte, dass die Karte von einer Bank als ungültig eingestuft und und gelocht wurde.“
So weit zu Risiken und Nebenwirkungen.
Eigentlich schade, dass die Banken es nicht schaffen, den persönlichkeitsrecht-interessierten Kunden eine antennenlose-Kartenoption anbieten zu können und dass die Deaktivierung der Kontaktlos-Funktion auch in Zeiten der EU-DSGVO immer noch per Opt-Out aktiv ausgeschaltet werden muss.