In mittlerweile drei Artikeln sorgen sich SPIEGEL ONLINE und der gedruckte SPIEGEL um den Datenschutz bei der kontaktlosen Geldkarte girogo. „Unsichtbares Bargeld verrät seinen Besitzer“, hieß es bereits Ende Mai und am 13. Juni legte SPON mit „Datenschützer fürchten Missbrauch bei neuer Funkkarte“ in bewährter Sturmgeschütz-Manier nach.

In der Print-Ausgabe erschien in dieser Woche unter dem Titel „Funkgeld im Portemonnaie“ ein Beitrag zur Near Field Communication-Technologie (NFC) bei Kartenzahlungen, der augenscheinlich auf den Recherchen des SPON-Redakteurs beruht. Nach allem, was man über das Verhältnis zwischen Online- und Offline-Redaktion des SPIEGEL so hört, wohl eine Art Ritterschlag.

It´s not a leak, it´s a feature: girogo-Karte lassen sich mit einem Smartphone auslesen – für manche überraschend. (Foto: DSGV)

Ich halte die Vorwürfe und Schreckenszenarien der Berichte für überzogen und weit hergeholt und habe bereits auf derhandel.de versucht, die wesentlichen Punkte der Kritiker und die Erwiderung der Deutschen Kreditwirtschaft (DK) nachzuzeichnen. Hier nun noch mal eine etwas ausführlichere Auseinandersetzung.

Der Kernvorwurf der SPIEGEL-Autoren lautete zunächst: Die girogo-Karte sendet eine eindeutige Identifikationsnummer (EF-ID), die mit einfachen Mitteln von jedermann per Funk abgerufen werden kann – ein unwidersprochenes Faktum.

Die Banken entgegnen, dies sei notwendig um die Zahlung sicher abzuwickeln (zu welchem Schattenkonto gehört die Karte?) und harmlos, da Unbefugte mit der EF-ID keinen Personen- oder Kontenbezug herstellen könnten. Im Übrigen müsse ein entsprechendes NFC-Lesegerät sehr nah (mind. 4 cm) an die Karte herangebracht werden, um sie auslesen zu können.

Verstoß gegen das „Prinzip der Datensparsamkeit“

Der SPIEGEL bemängelt jedoch, dass sich ein Personenbezug sehr wohl herstellen lasse, sobald der Kunde neben der girogo-Karte zugleich eine personalisierte NFC-Kundenkarte mit sich führe. Darüber hinaus verstoße das girogo-Verfahren gegen das „Prinzip der Datensparsamkeit“.

Zur Untermauerung dieser These wird ein Datenschutzdienstleister aus Hannover angeführt. Es sei möglich und erforderlich, zunächst die Berechtigung des Lesegeräts zu prüfen, bevor die EF-ID übermittelt wird, so der Experte. Ein solch abgestuftes Legitimationsverfahren werde auch beim elektronischen Reisepass verwendet.

Dazu heißt es aus der Kreditwirtschaft, dass mit der EF-ID der girogo-Karte eben kein sensibles Datum übertragen werde, der Reisepass enthielte dagegen sensible, persönliche Informationen. Die unverschlüsselt auslesbare EF-ID diene lediglich als eine Art „Kfz-Kennzeichen der Karte“, mit ihr seien keine Rückschlüsse auf die Person des Karteninhabers möglich. Der weitere Datenaustausch zwischen dem Chip auf der girogo-Karte und dem Lesegerät des Händlers im Rahmen der Zahlungsabwicklung erfolge darüber hinaus innerhalb eines kryptographischen Verfahrens nach den herkömmlichen Standards der Deutschen Kreditwirtschaft (DK).

Diese Verschlüsselungsverfahren werden bei der Girocard (früher EC-Karte genannt) seit 1989 und bei der kontaktbehafteten Geldkarte – auf deren Technologie girogo beruht – seit 1996 eingesetzt, ohne dass bislang relevante Sicherheitsprobleme bekannt geworden sind.

Big Brother braucht viel Phantasie und kriminelle Energie

Vor diesem Hintergrund muss man nun schon viel Phantasie aufbieten und Handelsunternehmen eine gewisse kriminelle Energie zuschreiben, um im Zusammenhang mit girogo und der inkriminierten EF-ID ein datenschutzrechtliches Horrorszenario herbeizuschreiben.

Mit girogo könnten Bewegungsprofile des Karteninhabers erstellt werden, heißt es da bei SPON. Dazu müsste der Händler zunächst mal einen Rechtsbruch begehen, da ihm die Nutzung der EC- und girogo-Kartendaten per (Akzeptanz-)Vertrag nur zum Zweck der Zahlungsabwicklung gestattet ist. Welches Handelsunternehmen wäre bereit, hiergegen zu verstoßen und sich in die Gefahr verheerender Schlagzeilen und Imageschäden („Datendiebe“) zu begeben?

If that weren´t enough: Im zweiten Schritt müsste dieser böse Bube noch NFC-Antennen mit entsprechender Anbindung an seine IT-Systeme aufstellen. Die „handelsüblichen“ Warensicherungsschleusen in den Ausgängen der Geschäfte wären hierzu nicht leistungsfähig genug. Die Antennen müssten größer ausfallen und die Räume für den Kundendurchgang enger, um die Karten einigermaßen verlässlich auslesen zu können.

Mit dem Freeware Programm Chipcard Master lässt sich der Geldkartenchip auslesen. 15+3 Transaktionen und die zugehörige Terminalkennung sind bei der SparkassenCard hinterlegt.

Und was fängt ein Unternehmen, das bereit wäre ein solches Wagnis einzugehen und erhebliche Investitionen zu stemmen, dann mit den abertausend Daten an? Da ist sie schon wieder, diese girogo-Karte Nr. 471108/15, sie gehört vermutlich zu unserer NFC-Kundenkarte, die auf einen Max Mustermann registriert ist, von dem wir bereits sehr genau wissen was, wann und wie oft er bei uns kauft. Gestern also hat Mäxchen um 16:23 Uhr für 1,50 Euro bei einem Terminal eingekauft, das vermutlich zum Edeka-Markt in der Innenstadt gehört. Genau wissen wir das leider nicht, denn wir haben nur die Terminal-ID abgegriffen und die gehörte mal – wie wir nach langen Vorort-Recherchen ausspionieren konnten – zum Edeka um die Ecke (Kasse 9). Herzlichen Glückwunsch!

Konstruiert, lebensfremd und dann weit hergeholt

Damit wären wir aber auch schon beim nächsten Schreckensszenario, das SPON zu bieten hat. Denn im zweiten Online-Artikel legt der SPIEGEL noch einmal mit vermeintlich neuen Fakten nach:

„Die Funkkarten haben eine eindeutige Kennung, lassen sich unbemerkt auslesen und damit zur Überwachung missbrauchen. Nicht nur das: Die Karten speichern die letzten 15 Bezahlvorgänge und die letzten drei Ladevorgänge – unverschlüsselt und drahtlos auslesbar, wie der Programmierer Andreas Schiermeier herausgefunden hat.“

Das allein wäre freilich noch nicht bemerkens- oder berichtenswert, da es mit „S-Kontaktlos“ eine offizielle Android-App von der Sparkassen-Finanzgruppe gibt, mit der jede beliebige girogo-Karte der Sparkassen die genannten 15+3 Transaktionen auf einem NFC-fähigen Smartphone anzeigt. Die Informationen sollen dem Karteninhaber zur Übersicht dienen. Die Volks- und Raiffeisenbanken haben bei ihren girogo-Karten auf dieses Feature verzichtet.

SPIEGEL ONLINE und das CCC-Mitglied Schiemeier konnten neben den Transaktionen mit einer zusätzlichen Software allerdings auch die zugehörige Kennung des Lese- oder Ladegerätes auslesen. Das konnte man bei der alten Geldkarte schon immer mit Freeware-Programmen wie dem Chipcard Master erledigen, nun funktioniert es mit girogo aber auch per Funk. Nach SPON-Darstellung lässt sich auf diese Weise mit etwas Rechercheaufwand der konkrete Händler rekonstruieren bei dem bezahlt wurde; man muss halt fleißig einkaufen und mitschreiben.

Doch wer will das wissen und wozu? Wir halten noch mal fest: Man braucht als Händler den Willen, gegen einen Vertrag mit der DK zu verstoßen und die Risikobereitschaft, einen saftigen Datenschutzskandal in Kauf zu nehmen. Dann benötigt man ein Arsenal von NFC-Antennen der Extraklasse inklusive Datenanbindung zur eigenen IT sowie Kunden, die eine personalisierte NFC-Kundenkarte und eine girogo-Karte bei sich tragen. (BTW: Ich kenne nur die „Payback Maestro“-Karte als NFC-fähige Kundenkarte, davon sind rund 500.000 Stück im Umlauf. Die Kauf- und Zahlungsgewohnheiten dieser Zielgruppe dürfte bestens bekannt sein). Dann braucht man noch ein Rechercheteam, um die numerische Kennung sämtlicher girogo-Terminals im Lande zu erfassen und regelmäßig zu aktualisieren (es gibt rund 600.000 EC-Terminals in Deutschland, die girogo-Lesegeräte im Pilotprojekt Hannover sind derzeit zugegebenermaßen noch recht überschaubar).

Wer will wissen, wann und wo das letzte Kaugummi gekauft wurde?

Vorausgesetzt es findet sich ein Unternehmen, das die Kosten und das Risiko nicht scheut. Was für Daten erhält es im Gegenzug? Wozu sollen die gut sein? Es gibt im Handel ohnehin schon reichlich Diskussionen um den Sinn und Nutzen von Daten aus Kundenkartenprogrammen und die „Big Data“-Problematik mit der viele Unternehmen konfrontiert sind. Wozu unerlaubt und aufwändig Unmengen von Daten mit unsicherer Herkunft und zweifelhafter Aussagekraft sammeln? Neben den hohen Hürden überhaupt an die Daten zu gelangen, gäbe es zahlreiche Fehlerquellem, die eine sinnvolle Analyse erschweren, wenn nicht gar unmöglich machen (Kundenkarte nicht mehr aktuell, falscher Besitzer girogo/Kundenkarte, Terminal-ID unbekannt, falsch zugeordnet, etc. p.p.).

Das ganze Bedrohungsszenario erscheint ziemlich konstruiert, lebensfremd und weit hergeholt. Dennoch findet sich selbstverständlich ein empörter Datenschützer, um die Relevanz des Skandals zu unterstreichen: „Unprofessionell und unverantwortlich“, zitiert der SPON-Artikel von dieser Woche Dr. Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein. Ein Standard-Empörungszitat mit dem das Rechercheergebnis die höchste Weihe eines amtlichen Datenschützers erhält.

Es wäre angemessen gewesen, zu erwähnen, dass Weichert Kartenzahlungen generell skeptisch gegenübersteht und sein ULD im Düsseldorfer Kreis, dem gemeinsamen Gremium der bundesdeutschen Datenschutzbeauftragten, oftmals eine Außenseiterrolle einnimmt. „Wer keine Datenspuren hinterlassen will, zahlt lieber mit Bargeld“, riet der streitbare Datenschützer (siehe auch Weichert ./. Facebook, Weichert ./. Google Street View) bereits in der Auseinandersetzung um das elektronische Lastschriftverfahren (ELV).

Ein wesentlich spannenderes Thema, das sich im Zusammenhang mit girogo ergibt, ist IMHO die Frage, ob die Deutsche Kreditwirtschaft (DK) als Dachorganisation der deutschen Banken dazu in der Lage ist, ihr Debitprodukt Girocard gemeinsam in eine wie immer auch geartete Zukunft des Bezahlens im stationären Handel zu überführen. Bei girogo ziehen die drei Säulen – Sparkassen, Volks- und Raiffeisenbanken und Privatbanken – bislang nicht wirklich an einem Strang.

Und schon beim Thema „E-Commerce“ bzw. „E-Payment“ haben die Banken unter Beweis gestellt, dass sie nicht in der Lage zur Reaktion oder Innovation waren. Den Zahlungsverkehr im Internet wickeln bekanntlich „externe“ Player wie PayPal oder sofortüberweisung.de über die Infrastruktur der Kreditinstitute ab. Ob nun der lange Weg für die EC-Karte – (1) Geldkarte goes NFC, (2) girocard goes NFC und (3) girocard goes mobile – von Erfolg gekrönt und gemeinsam beschritten wird, dürfte interessant werden. Die Konkurrenz jedenfalls schläft bekanntlich nicht – gleichgültig ob sie Google Wallet, Mastercard, Visa, PayPal, Facebook, Yapital (Otto) oder Passport (Apple) heißt. Aber das ist eine andere Geschichte.

Update 21. Juni: Der NDR hat die Vorwürfe des SPIEGEL noch einmal in bewegte Bilder gepackt. Inhaltlich bietet der Beitrag keine neuen Erkenntnisse. Dafür wird (aus dramaturgischen Gründen) der fälschliche Eindruck erweckt, dass man den Einkaufsort unmittelbar aus der Karte auslesen kann und die Sicherheitsschleusen im Wareneingang zum Abfangen der Daten taugen (NFC ≠ RFID). Das ist – gelinde gesagt  – unseriös („Ich recherchiere mir doch nicht meine Story kaputt!“).

BTW: Der guten Ordnunghalber sei erwähnt: Der Verfasser hat gestern einen Journalistenpreis der Sparkassen-Finanzgruppe erhalten. Käuflich bin ich deshalb aber noch lange nicht. 🙂

Update 26. Juni: Auch bei der Welt-Online hat man inzwischen Wind von der Sache bekommen und titelt am 25. Juni „Datenschützer warnen vor Funk-Bezahlung „Girogo“. Die Aussage findet im Artikel keinen Beleg, dabei hätte sich die Welt-Redaktion doch auch diesbezüglich bei SPON und NDR bedienen können. Inhaltlich Neues hat auch die Welt nicht zu bieten, die Quellen (CCC und Praemantum) sind die alten Bekannten aus SPON. Kollegiales zitieren der Ursprungsmeldung scheint weder beim NDR noch bei der Welt zum journalistischen Standard zu gehören.