Geldautomaten: Banken bereiten Abschied von EC-Karten vor
Nachts um halb vier in Soho, Manhattan. Jemand möchte Geld abheben – aber leider ist der Smartphone-Akku leer, die Clubtour ist für heute vorbei. Was klingt, wie eine Filmszene, könnte Wirklichkeit werden, denn immer mehr US-Banken wollen die notorisch für Skimming anfälligen EC-Karten ihrer Kunden durch Smartphone-Apps und NFC-fähige Geldautomaten ersetzen, wie die New York Times berichtet(öffnet im neuen Fenster) . Auch deutsche Banken unterstützen das System bereits.
Die neue Technologie sei kundenfreundlich, sagen Banken. "Wenn Sie ihre Karte verloren haben oder das Haus ohne Portmonee verlassen haben, ist die Chance groß, dass sie trotzdem ihr Smartphone dabeihaben" , sagte Jonathan Velline von der US-Bank Wells Fargo. Entsprechende Demosysteme gibt es seit mehreren Jahren.
Das Geldhaus will bis Ende des Jahres alle seine Geldautomaten so ausrüsten, dass sie Geldabhebungen vom Smartphone unterstützen. Auch die Bank of America hat ähnliche Pläne, JP Morgan Chase testet das System bereits bei "einigen hundert Geldautomaten in vier Test-Städten" , darunter Miami und San Francisco.
Erste Sicherheitsprobleme
Die ersten Sicherheitsprobleme sind, wenig erstaunlich, bereits aufgetreten. Einer Kundin von JP Morgan Chase wurden über die Funktion 2.900 US-Dollar von ihrem Konto abgebucht, obwohl diese das System niemals genutzt hatte. Ein Krimineller hatte offenbar die Zugangsdaten zu ihrem Onlinebanking-Account ausspioniert und damit die App auf seinem Telefon installiert. Derzeit verlangt JP Morgan Chase nach Angaben der New York Times keine PIN-Eingabe, um Geld abzuheben.
Die Bank verzichtet damit offensichtlich auf die bei Kartenzahlungen bewährte Zwei-Faktor-Authentifizierung, also der Nachweis sowohl von Besitz (EC-Karte, Smartphone) und Wissen (PIN-Code). Immerhin: Die Bank erstattete das Geld und führte nicht näher benannte Sicherungsmechanismen ein, eine PIN gehört nach wie vor nicht dazu.
Betrugsrate soll deutlich niedriger sein als bei Karten
Nach Angaben der Banken sollen die Betrugsraten bei Smartphone-Abhebungen deutlich niedriger sein, als bei Karten. Das verwundert nicht, denn noch befindet sich das System ja im Testmodus und wird nicht flächendeckend genutzt. Der Anreiz für Kriminelle ist also deutlich größer, auf die "etablierten" Betrugsmaschen wie Skimming am Geldautomaten zu setzen.
Die Smartphones nehmen in der Regel per NFC Kontakt mit dem Geldautomaten auf. Nutzer müssen die Transaktion dann auf ihrem Smartphone bestätigen, bei den meisten Banken geben sie zudem eine PIN am Automaten ein.
Geld mit 30-Minuten-Code
Wells Fargo nutzt derzeit ein anderes System. Kunden können in ihrer App einen für dreißig Minuten gültigen Zugangscode beantragen, den sie dann am Geldautomaten eingeben. Zusätzlich geben Sie dann die PIN ein und bekommen ihr Geld.
Es fällt nicht schwer, sich Betrugsszenarien für die schöne neue Geldautomatenwelt auszudenken. Kunden könnten per Social-Engineering dazu gebracht werden, gefälschte Bank-Apps zu installieren. Wenn Sie weiterhin alternativ auch per EC-Karte Geld abheben können, können nach wie vor Informationen wie die PIN per Skimming abgegriffen werden. Auch manipulierte NFC-Lesegeräte an Geldautomaten selbst sind denkbar.
Zu den Sicherheitsrisiken trägt bei, dass bestehende Sicherheitsstandards global sehr unterschiedlich eingeführt werden. In den USA zum Beispiel wurde das Chip-and-PIN-Verfahren (auch: EMV-Verfahren) in den vergangenen Jahren nur zögerlich implementiert. Das ermöglichte Kriminellen, per Skimming oder Datenhandel erworbene Magnetstreifen-Informationen auf eine Karte mit Chip zu klonen und gültige Chip-Transaktionen durchzuführen, weil die Sicherheitsmerkmale nur unzureichend geprüft wurden.
Der Geldautomatenhersteller Wincor Nixdorf hat auch für Deutschland ein kompatibles Modell vorgestellt(öffnet im neuen Fenster) . Dieses setzt auf einen durch die Smartphone-App erzeugten QR-Code, der vom Geldautomaten abgescannt wird.
In Deutschland wird Geldabheben ohne Karte unter anderem von der Volksbank Mittelhessen unterstützt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.