Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sparkassen-Pilotprojekt: Unsichtbares Kleingeld verrät seinen Besitzer

Von

Sparkassen-Kunden sollen künftig drahtlos an der Kasse bezahlen können und bekommen dafür neue Funk-Karten. 1,5 Millionen Nutzer sollen das System in einem Feldversuch ausprobieren. Ein Entwickler warnt jedoch: Die Karten könnten zur Überwachung missbraucht werden.

SPIEGEL ONLINE

Hannover - Im Supermarkt 7,43 Euro für ein paar Artikel bezahlen? Funktioniert künftig ohne Kleingeld, ohne Pin oder Unterschrift. Einfach die Sparkassen-Karte vor ein Lesegerät halten, fertig. Möglich macht das eine Funktechnik namens NFC, Near Field Communication. Ein spezieller Chip auf der Karte lässt sich drahtlos auslesen. Es ist dieselbe Technik, mit der sich jetzt schon Türen öffnen und Kantinenessen bezahlen lassen.

Mehr als 1,5 Millionen Kunden hat die Sparkasse nach eigenen Angaben in Hannover, Braunschweig und Wolfsburg bereits mit einer solchen Karte ausgestattet. Zu erkennen ist das an einem kleinen Logo mit dem Schriftzug "kontaktlos". Zunächst lassen sich maximal 20 Euro auf die Karte laden, neben einigen Edeka-Märkten akzeptieren sie auch ausgewählte Esso-Tankstellen sowie Thalia- und Douglas-Filialen. Das erinnert an die sogenannte Geldkarte, mit der man ebenfalls kleinere Beträge bargeldlos bezahlen kann. Doch dieser Bankkarten-Funktion war nie sonderlich großer Erfolg beschieden. Die berührungslose NFC-Technik soll das nun ändern.

"Diesen Code kann wirklich jeder auslesen"

In drei Jahren sollen alle 45 Millionen Sparkassen-Kunden eine Funkkarte mit der "Girogo"-Funktion in der Tasche haben - und damit eine eindeutige Kennung, die sich einfach auslesen lässt, nicht nur beim Bezahlen.

Wie das geht, führt Peter Leppelt, Chef der Hannoveraner Sicherheitsfirma Praemandatum, vor. Er hat von seiner Sparkasse bereits eine der neuen Karten bekommen. Hält er sie vor ein Lesegerät, zeigt eine Software, was die Karte aussendet. Im Fall der Sparkassen-Karte ist das eine eindeutige Kennung. "Diesen Code kann wirklich jeder auslesen", sagt Leppelt. Er muss nur dicht genug an die Karte herankommen.

Ist die Karte mehr als eine Handbreit vom Lesegerät entfernt, funktioniert das Auslesen allerdings schon nicht mehr. "Man könnte aber eine leistungsstarke Antenne anschließen, dann lassen sich auch zehn Zentimeter und mehr überbrücken", sagt Leppelt. So könnte ein Händler theoretisch an seiner Eingangstür die Karten auslesen, die von ihren Besitzern im Portemonnaie in den Laden getragen werden. Die Karte ist wie eine Art offline-Version eines Internet-Cookies, der seinen Besitzer an jedem beliebigen Ort zumindest theoretisch wiedererkennbar macht.

Für den Handel wäre eine derartige Nutzung der neuen Karten - rein theoretisch - durchaus attraktiv: Kundenströme ließen sich so auf völlig neue Weise überwachen, womöglich mit gezielten Rabatten steuern. Solche Pläne hat noch niemand formuliert, doch wie groß die Begeisterung des Einzelhandels für möglichst umfangreiche Datensammlungen ist, zeigt die Vielzahl von Rabattkartensystemen, die bereits im Einsatz sind. Der Charme der Sparkassen-Karte im Vergleich zu anderen funkenden Karten in den Geldbörsen: der hohe Verbreitungsgrad. Fast jeder zweite ist Kunde bei der Sparkasse.

"Der Datenschutz ist gewährleistet"

An der drahtlosen Bezahlfunktion selbst hat Leppelt nichts auszusetzen. "Wir haben das geprüft und so schnell keine offensichtliche Schwachstelle gefunden", sagt er, fügt aber hinzu: "Die Erfahrung zeigt aber, dass es nur eine Frage der Zeit ist, bis jemand Sicherheitslücken entdeckt." Viel mehr als die kryptische Kennung bekommt Leppelt nicht angezeigt. Die Banken in Deutschland, zusammengeschlossen zur Deutschen Kreditwirtschaft, sehen darin kein Problem: "Der Datenschutz ist gewährleistet, da es keine Möglichkeit gibt, von der EF-ID auf den Karteninhaber zu schließen", teilt der Verband auf Anfrage mit.

Leppelt sieht das anders. Er fürchtet, dass Händler die Kennung mit persönlichen Daten verknüpfen können. "Es reicht schon aus, wenn jemand noch eine personalisierte Kundenkarte mit Funkchip dabei hat oder anders identifiziert werden kann." Ist die Verbindung einmal hergestellt, lässt sich das Kaufverhalten eines Kunden theoretisch protokollieren. Selbst wenn er beim nächsten Einkauf mit Bargeld bezahlt, die Funkkarte aber im Portemonnaie trägt.

Sogar Bewegungsprofile ließen sich mit Hilfe von NFC-Lesegeräten erstellen, sagt Leppelt. Er kritisiert, dass die Sparkassen-Karte eine eindeutige Kennung praktisch an jeden überträgt, der ein solches Lesegerät einschaltet. "Das widerspricht dem Prinzip der Datensparsamkeit und ist einfach unnötig", sagt Leppelt.

Bier und Snacks im Fußballstadion

Dass es auch anders geht, zeigt er mit einem elektronischen Reisepass. Jedes Mal, wenn er das mit Funkchip aufgerüstete Dokument auf das Lesegerät auflegt, meldet die Software eine andere Kennung. "Erst wenn eine autorisierte Verbindung aufgebaut wird, werden eindeutige Daten übertragen", sagt Leppelt. Den Sparkassen-Karten fehlt dieser zusätzliche Sicherheitsmechanismus. Leppelt hat nach eigenen Angaben die Sparkasse Hannover Anfang des Jahres darauf aufmerksam gemacht, auf eine Antwort wartet er immer noch.

Die Datenschützer in Bund und Nordrhein-Westfalen, dem Sitz des Sparkassen- und Giroverbandes, sowie der Testregion Niedersachsen haben sich bisher nicht näher mit Girogo beschäftigt. Die Deutsche Kreditwirtschaft hat aber den Zusammenschluss der Datenschützer, den sogenannten Düsseldorfer Kreis, immerhin über die Einführung der Karte informiert.

So lange die Verknüpfung von ID und persönlichen Daten nur der Bank möglich sei, gebe es wohl kein Problem, heißt es bei den Datenschützern in Niedersachsen. Während die Möglichkeit des Profiling bei Girogo bisher nur theoretischer Natur sei, gebe es bei Treuekarten und herkömmlicher Kreditkarten-Bezahlung tatsächlich Sorgen um den Datenschutz - die Profil-Erstellung findet statt und ist gesetzlich vergleichsweise wenig reglementiert.

Sparkassen wollen Wettbewerbern zuvorkommen

Die Einführung der Drahtlos-Bezahlkarte ist lange vorbereitet: Bereits seit drei Jahren können Funkkarten-Inhaber beispielsweise im Stadion von Bayer Leverkusen drahtlos ins Stadion einchecken und am Kiosk Bier und Snacks kaufen. Als weitere Testbetriebe nennt der Sparkassen- und Giroverband unter anderem das Stadion von Mainz 05 sowie die beiden Dortmunder Hochschulen.

Neben den Sparkassen versuchen sich auch die globalen Finanzanbieter Mastercard und Visa am bargeldlosen Bezahlen per NFC-Chip. Die Ebay-Tochter Paypal setzt auf NFC-Bezahlen per Smartphone. Der große Durchbruch in Deutschland ist bisher jedoch ausgeblieben, weil der Handel einen bestimmten Anteil an die Finanzdienstleister abführen muss. Damit internationale Anbieter den deutschen Banken beim "mobile payment" keine all zu große Konkurrenz machen, sind die Konditionen der Sparkassen ambitioniert, heißt es in der Branche.

Wehren können sich die Sparkassen-Kunden kaum gegen die neuen Funkkarten. Abhilfe schafft eine Hülle aus Aluminium - Lesegeräte können dann nicht auf die Karte zugreifen. Holt man die Karte allerdings aus ihrer Schutzverpackung, um etwa mit der EC-Funktion zu bezahlen, kann auch der Funkchip wieder ausgelesen werden.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 89 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ein CIP sozusagen
spontux 19.05.2012
Cookie Im Portemonnaie
2. Korrektur:
Arckenheidt 19.05.2012
Zitat von sysopSPIEGEL ONLINESparkassen-Kunden sollen künftig drahtlos an der Kasse bezahlen können und bekommen dafür neue Karten. 1,5 Millionen Nutzer sollen das System in einem Feldversuch ausprobieren. Ein Entwickler warnt jedoch: Die Karten könnten zur Überwachung missbraucht werden. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,831711,00.html
Das ist - in dieser Form - Unfug. Sinn und Zweck dieser Karten *ist* die Überwachung. Ein Missbrauch läge für die Initiatoren genau dann vor, wenn sie die dabei gewonnenen Daten nicht für ihre Zwecke verwenden dürften. Eine anonyme Nutzung dieser Karten, bei der keine Daten erhoben werden, ist weder technisch möglich noch von irgend jemandem gewünscht.
3. Ein weiterer Versuch
yettiz 19.05.2012
--Zitat-- Zunächst lassen sich maximal 20 Euro auf die Karte laden --Zitatende-- Damit lässt sich kein Kunde fangen, erst Geld auf die Karte laden um dann damit Bargeldlos zu bezahl? Ist die Karte weg ist auch das Geld weg, alleine dieser Punkt schreckt die Kunden ab. Aber was will man von den Sparkassen anderes erwarten, ich hab meine Erfahrungen mit der Spasskasse gemacht, wahr selbst ca. 25 Jahre bei denen. In der Kindheit und Jugend hatte ich zwar nur ein Sparbuch, aber irgendwann habe ich auf Empfehlung die Bank gewechselt. Zwar hat die Bank deutlich Personal abgebaut, aber ich bin noch immer voll zufrieden.
4.
PublicTender 19.05.2012
Zitat von sysopSPIEGEL ONLINESparkassen-Kunden sollen künftig drahtlos an der Kasse bezahlen können und bekommen dafür neue Karten. 1,5 Millionen Nutzer sollen das System in einem Feldversuch ausprobieren. Ein Entwickler warnt jedoch: Die Karten könnten zur Überwachung missbraucht werden. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,831711,00.html
Ich arbeite im Bereich der industriellen IT und stehe normalerweise Innovationen offen gegenüber. So ein Teil werde ich aber NIE benutzen!
5. entdecke die Möglichkeiten
Krokodilsträne 19.05.2012
Zitat von ArckenheidtDas ist - in dieser Form - Unfug. Sinn und Zweck dieser Karten *ist* die Überwachung. Ein Missbrauch läge für die Initiatoren genau dann vor, wenn sie die dabei gewonnenen Daten nicht für ihre Zwecke verwenden dürften. Eine anonyme Nutzung dieser Karten, bei der keine Daten erhoben werden, ist weder technisch möglich noch von irgend jemandem gewünscht.
[QUOTE=Arckenheidt;10209471]Das ist - in dieser Form - Unfug. Sinn und Zweck dieser Karten *ist* die Überwachung. Ein Missbrauch läge für die Initiatoren genau dann vor, wenn sie die dabei gewonnenen Daten nicht für ihre Zwecke verwenden dürften.QUOTE] ... und mit dem angenehmen Nebeneffekt, dass die Supermärkte endlich diese überteuerten Kassiererinnen einsparen können, bei denen man nie sichergehen kann, ob eine nicht wieder drei Pfandbons unterschlägt.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Drahtlose Kommunikation
RFID
RFID steht für radio-frequency identification und bezeichnet ein drahtloses System zur Datenübertragung. Objekte werden mit einem kleinen Chip versehen, der nicht selbständig Daten aussendet, aber von einem Lesegerät ausgelesen werden kann. Das sogenannte RFID-Tag kann etwa in einer Chipkarte stecken. Es kann aber auch so groß wie ein Sandkorn sein, das Menschen unter der Haut tragen können. Es gibt Tests mit winzigen RFID-Chips in Lebensmitteln, die mit Lesegeräten ausgestatteten Öfen oder Tellern ihre Inhaltsstoffe mitteilen.
NFC
NFC, near field communication, bezeichnet eine Reihe von technischen Standards für Smartphones und Chipkarten zum drahtlosen Datenaustausch über Reichweiten von wenigen Zentimetern. NFC baut auf der RFID-Technik auf. Mit NFC sollen beispielsweise drahtlose Geldtransaktionen abgewickelt werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: