Girogo-Karte der Sparkassen Kritik am Datenschutz der NFC-Funktion

Datenschützer kritisieren den unzureichenden Datenschutz bei den Girogo-Karten der deutschen Sparkassen. Der Sparkassen- und Giroverband sieht darin keine Probleme. Mit den Girogo-Karten können Kunden per NFC drahtlos bezahlen.

Anzeige

Die Girogo-Karten der deutschen Sparkassen erlauben das kontaktlose Bezahlen per NFC (Near Fiel Communication). Dabei werden unverschlüsselt Daten übermittelt, die Datenschützer für problematisch halten und der Deutsche Sparkassen- und Giroverband (DSGV) für unbedenklich hält. Bei Bezahlvorgängen werden das Datum, die Uhrzeit und der Kaufbetrag zusammen mit einer anonymisierten Händlerkartennnummer auf der Girogo-Karte gespeichert, bestätigt der DSGV und reagiert damit auf einen Bericht von Spiegel Online.

Spiegel Online zitiert den Programmierer Andreas Schiermeier mit den Worten, dass bei jeder Transaktion "ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt" würden. Schiermeier gehört zum Frankfurter Chaos Computer Club und hat es nach eigenen Angaben mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft, diese Daten auszulesen. Für Schiermeier ist das ein Datenschutzrisiko und er fordert, solche Daten nicht unverschlüsselt zu übertragen. Der DGSV räumt ein, dass Händler diese Daten für Transaktionen auslesen dürfen.

Girogo-Karte merkt sich die 15 letzten Bezahlvorgänge

Die letzten 15 Bezahlvorgänge sowie die letzten drei Ladevorgänge sollen auf der Karte gespeichert sein und durch das drahtlose Auslesen dieser Informationen könnten Unbefugte Zugriff auf diese Daten erhalten und diese zur Überwachung missbrauchen, weil jede Karte eine eindeutige Kennung habe. Dazu würde es genügen, ein entsprechendes Lesegerät in geringem Abstand zum Kunden zu postieren. "Aufgrund des geringen Abstandes ist es nicht vorstellbar, dass Informationen von der Karte über größere Abstände und vom Kunden unbemerkt ausgelesen werden", argumentiert dagegen der DGSV.

Unbefugte könnten auch die Händlerkartennummer auslesen und so erfahren, wo der Girogo-Kartenbesitzer eingekauft hat. Dazu müssten Profis nur bei den Girogo-Händlern einkaufen, um zu erfahren, welcher Händler sich hinter einer bestimmten Kennung verbirgt und eine entsprechende Datenbank anzulegen.

Datenschutzbeauftragter kritisiert Girogo-Karten

Das Vorgehen bei der Girogo-Karte sei unprofessionell und unverantwortlich, erklärte Thilo Weichert, der Datenschutzbeauftragte von Schleswig-Holstein, Spiegel Online. Es sei ohne großen Aufwand möglich, "diese Daten ganz bestimmten Kunden und ganz bestimmten Läden zuzuordnen", kritisiert Weichert.

Dabei betont der DGSV, dass die Girogo-Karte die gleichen "Sicherheitsstandards bei der Verschlüsselung und bei der Datensicherheit" einhalte, die auch für Geldkarten gelten. Letztere können allerdings nicht drahtlos ausgelesen werden. Das geht nur, wenn die Geldkarte in ein passendes Lesegerät gesteckt wird. Der Girogo-Kartenbesitzer kann Datum, Uhrzeit und Kaufbetrag etwa mit einem NFC-fähigen Mobiltelefon auslesen. Der Verband bewirbt diese Möglichkeit damit, dass damit für den Kunden "eine bessere Transparenz als Bargeld" erzielt werde.

Der Verband begründet das unverschlüsselte Ablegen dieser Daten damit, dass der Auslese- und Bezahlvorgang dadurch beschleunigt werde. Die vom Kunden auslesbaren Informationen seien für Unbefugte "ohne Wert", ist sich der Verband sicher. Wenn der Girogo-Kunde aber zudem eine NFC-Kundenkarte mit dem auslesbaren Namen bei sich trage, können diese Daten genau einer Person zugeordnet werden, heißt es im Bericht von Spiegel Online.

In Hannover läuft derzeit ein Pilotprojekt für die Verwendung von Girogo-Karten. Langfristig sollen alle Sparkassen-Kunden eine Girogo-Karte erhalten.


Hartmann 10. Jul 2012

Ich lebe im Bereich des Feldversuchs und meine Bank hat mir mitgeteilt, dass ich die...

EQuatschBob 18. Jun 2012

Ich zahle fast immer mit Bargeld und dabei werde ich bleiben.

Lawelyan 18. Jun 2012

Diese Karten werden in den Kantinen dieses Landes schon lange genutzt und funktionieren...

Bankai 18. Jun 2012

Du meinst wohl eher, das könnte man... Den offensichtlich kann man es eben nicht oder...

yelram 18. Jun 2012

Hier in den USA gibt's für Kreditkarten einfach eine Zusatzkarte - bzw. eher einen...

Kommentieren



Anzeige

  1. Senior System Architect (m/w)
    PAYBACK GmbH, Munich
  2. Senior Softwareentwickler (m/w) Java EE
    Faktor Zehn AG, München und Köln
  3. Business Intelligence / Data Warehouse Engineer (m/w)
    Loyalty Partner GmbH, München
  4. IT-Spezialist (m/w) für Anwendungsentwicklung
    Versicherungskammer Bayern, München

 

Detailsuche


Folgen Sie uns
       


  1. MPAA und RIAA

    Film- und Musikindustrie nutzte Megaupload intensiv

  2. F-Secure

    David Hasselhoff spricht auf der Re:publica in Berlin

  3. "Leicht zu verdauen"

    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

  4. Test The Elder Scrolls Online

    Skyrim meets Standard-MMORPG

  5. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  6. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  7. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  8. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  9. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  10. Spähaffäre

    Snowden erklärt seine Frage an Putin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IMHO - Heartbleed und die Folgen: TLS entrümpeln
IMHO - Heartbleed und die Folgen
TLS entrümpeln

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.

  1. Bleichenbacher-Angriff TLS-Probleme in Java
  2. Revocation Zurückziehen von Zertifikaten bringt wenig
  3. TLS-Bibliotheken Fehler finden mit fehlerhaften Zertifikaten

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

    •  / 
    Zum Artikel