Category Archives: Geld

NFC – Taschendiebstahl digital

TL;DR

  • ARD, BRD, CSU, NFC – oje, oje: Drei Buchstaben für mehr Bequemlichkeit
  • So nah, so schlecht: Und was habe ich davon?
  • No use, no danger? – Was kann denn schon passieren?
  • Das bisschen Digitalgeld: Wo Nahfeld sonst noch drin ist
  • Wir haben die Macht: NFC-Karten dumm machen

Drei Buchstaben für mehr Bequemlichkeit – NFC

Und wieder eine neue Drei-Buchstaben-Kombination, die unser Leben erleichtern soll.
Und wieder ein Moment, an dem sich mir die Nackenhaare sträuben.
Das geschieht (fast) immer dann, wenn mehr Bequemlichlichkeit angepriesen wird.
Mehr Bequemlichkeit geht stets mit einer Einbuße an anderer Stelle einher.
Im Falle von NFC ist das eine Einbuße im Bereich Datensicherheit und Privatsphäre.
Aber sehen wir uns zunächst an, wofür NFC steht.
Near Field Communication, also Nahfeldkommunikation.
Nahfeld bedeutet wirklich nah – also Entfernungen von wenigen Zentimetern, etwa im Bereich von 5 – 10 cm, maximal 20 cm.
Eingesetzt wird diese Form kontaktloser Datenübertragung im Bereich von Schließsystemen, Zugangskontrollen, Paßkontrollen und mittlerweile auch bei der Bezahlung.
Und weil es so furchtbar bequem ist – wir müssen jetzt keine Karte, keinen Stift oder irgendeine andere Form von Datenträger mehr in ein Lesegerät stecken – wird diese Technologie aktuell von der Finanzbranche als der neueste heiße Scheiß gehyped.
Seufz.

Grundsätzlich halte ich es für ein gutes Vorgehen, wenn man Ideen, die mit brachialer Marketing-Macht unters Volk gekippt werden, zunächst sehr kritisch gegenüber steht.
So wie dem plötzlichen Auftauchen von glutenfreien Lebensmitteln, veganem Analogkäse und Self-Checkout- bzw. Self-Checkin-Terminals.

Funktionierende Konzepte brauchen schlicht Zeit, um sich durchzusetzen und ihre Tauglichkeit unter Beweis zu stellen.
Die Lungenatmung bei Landlebewesen hat sich auch nicht über Nacht durchgesetzt und die Erde hat auch knapp 2,3 Milliarden Jahre Abkühlzeit gebraucht, um halbwegs bewohnbar zu werden.
(Dafür braucht die Menschheit keine halbe Generation, um den Planeten zurück in den Zustand “reif für die Verschrottung” zurückzusetzen.)

Und was habe ich davon?

Schauen wir uns doch zunächst an, welche Vorteile diese uns ach-so-nahe Technologie bescheren kann.
Schweigen im Walde

Oh, Verzeihung, ich habe nach sinnvollen Vorteilen Ausschau gehalten.
Setze ich doch kurz meine rosarote Brille der Bequemlichkeit auf und schnüffle schnell mal am Klebstoff der Marketingversprechen.
Dann sehe ich natürlich Unmengen an gesparter Zeit, die ich nicht mehr in langen Schlangen an Supermarktkassen verbringen muss, weil mir ja jetzt einfach im Vorbeilaufen in meine digitale Geldbörse gegriffen wird.
(Ich fühle schon die Kälte der Grauen Herren um mich herum aufziehen.)

Da spüre ich den Wind der Innovation, der mir um die mit Innovationskoks gepuderte Nase weht, während ich meine eigene NFC-gesteuerte Grenzkontrolle durchlaufe.
(Stand von euch schon mal jemand in dieser elenden Self-Checkin-Border-Control-Schlange in Heathrow? – Da gehts auch nicht schneller voran, als wenn ein echter Mensch mein gesamtes Gepäck händisch auf Drogen, Bomben oder Sex-Pistols-CDs durchsucht.)

Da öffnet sich wie von elektronischer Zauberhand gesteuert meine Bürotür, wenn ich nur glücklich mit meinem Mitarbeiterausweis wie mit einem Zauberstab vor dem Lesegerät wedle.
(Alohomora.)

Schnell wieder die rosarote Brille abgesetzt.
Gut, ich bin Technologie-Pessimist.
Eine Kassandra der Privatsphäre.
Ein einsamer Warner im Wald der wahnwitzigen Entwicklungen.

Genau darum lautet mein Fazit:
Da ist kein sinnvoller Anwendungsfall sichtbar.
Weder nah noch fern.

Wo ist bitteschön der Vorteil, wenn ich meine Geldkarte nur in die Nähe des Bezahlterminals halte, anstatt es einfach in das Terminal zu stecken?
Zumal es zumeist dasselbe Terminal ist.
Nun ja, für zittrige Hände womöglich.
Wer weiß, was dieses Terminal aus meinen dreiundzwanzig weiteren NFC-fähigen Karten ausliest, die auch noch in meinem Geldbeutel stecken, den ich so bereitweilig dem Bezahlterminal als Opfergabe zu Füßen lege?
Von welcher meiner dreiundzwanzig NFC-fähigen Karten bucht das Terminal denn gerade meine Packung Kaugummis und die Schachtel Zigaretten ab?
Oder vielleicht doch gleich von allen?

Wo bitte ist mein Vorteil, wenn ich meine NFC-fähige Geldkarte aus meiner Gedlbörse ziehe und dem freundlichen Kassenpersonal übergebe?
Da ist es mir doch vollkommen schnuppe, ob diese die Karte einfach über das Terminal wedeln (Alohomora!) oder in den sowieso vorhandenen Schacht schieben.

Wo ist mein Vorteil, wenn ich mich an der Grenzkontrolle vor eine Kamera stelle, ausgeleuchtet werde wie ein Model beim Fotoshooting und gleichzeitig meinen Reisepass auf einen Scanner lege ?
Verglichen mit der Möglichkeit, einem echten Menschen meinen Reisepass zu geben, diesem schüchtern (oder mit festem Blick – je nachdem wie stabil unser Gewissen ist) in die Augen zu schauen und darauf warte, einreisen zu dürfen.
Oder eventuell niedergeknüppelt, festgenommen und mit dem nächsten Flug zurückgeschickt werde.

Ist es nicht ein viel handfesteres Gefühl von Tätigkeit, einen Schlüssel ins Schloß zu stecken und beim aufschließen wirklich zu merken, wie hier mechanisch Zutritt gewährt wird?

Ehrlich, hier ist kein Blumentopf für diese Technologie zu gewinnen.
Weder zeitlich noch sicherheitsseitig, und auch nicht vom zu treibenden Aufwand her.

Was kann denn schon passieren?

Die haben gesagt, es sei sicher.
Die haben beschworen, da kann gar nichts passieren.
Dieses marketing-technische Beschwichtigungs-Blabla kennen wir zur genüge von jeder Technologie oder sonstigen politisch gepushten Idee.

“Die Renten sind sicher.”
“Der will nur spielen.”
“Spinat enthält viel Eisen.”

In diese Bresche schlagen auch die Anbieter von NFC-Bezahldiensten – wie etwa die Sparkassen.
Dort heißt es:

“NFC gilt – unter anderem wegen der kurzen Reichweite des Signals – als sehr sicher.”

Nun ja, sehr sicher ist sehr relativ.
Es reicht bei NFC eben aus, wenn mir ein Dieb nahe kommt, um meine digitale Geldbörse auszurauben.
Mir muss dabei physisch nichts geraubt werden – meine Geldbörse etwa – um mir finanziellen Schaden zuzufügen.
Es genügt bereits, wenn der Dieb in meine Nähe kommt – so ungefähr in 10 – 20 cm Entfernung.
Und diese Abstände reichen Taschendieben allemal aus – die kommen mir sogar deutlich näher.

Außerdem geht es beim digitalen Taschendiebstahl nicht nur um mein elektronisches Kleingeld – wir sprechen hier wie bei der Geldkarte über Beträge bis 25€ – sondern wir gefährden damit auch unsere digitale Identität.
Denn ein digitaler Nahfelddieb erfährt aus unserer elektronischen Geldbörse im Zweifel auch einiges über unser Konsum- und Bewegungsprofil.
Es werden hier schließlich auch weitere Daten über unser bisheriges Kaufverhalten gespeichert.
Und wird uns die NFC-fähige Karte physisch gestohlen – so kann der Dieb bis zur Sperrung der Karte über den digitalen Geldbestand verfügen.

Wo Nahfeld sonst noch drin ist

NFC ist eine dieser nahezu ubiquitären Technologien wie wir sie heuer in unterschiedlichen Bereichen erleben.
Der Einsatz von kontaktlosem Bezahlen tritt unter anderem mittlerweile auch in weiteren Bezahl(k)arten auf.
So nutzen inzwischen auch Kreditkarten diese kontaktscheue Form des Geldtransfers.
Mit den gleichen, schwachen Sicherheitsmerkmalen wie die anderen NFC-befähigten Geldkarten:
Wer in die Sendereichweite einer NFC-Karte kommt, kann deren Bezahlwilligkeit ausnutzen.

Ohne PIN.
Ohne Unterschrift.
Hit and run quasi.
Nur eben ohne das hit, weil ist ja kontaktlos.

Reisepässe.
Damit wir ganz kontaktlos und dennoch vollständig überwacht einreisen können.
Nun, da frage ich mich, wer meine Daten sonst noch auslesen kann.
Es ist bei Technologien ja nicht etwa so, als wären diese nur den berechtigten staatlichen Stellen zugänglich.
Man soll ja schon davon gehört haben, dass unberechtigte, möglicherweise mit krimineller Energie gesegnete Zeitgenossen sich dieser Technologie bemächtigen / bedienen.

Nein! Doch!! Ohh!!!

Also – mir fehlt an dieser Stelle die kriminelle Fantasie, um mir auszumalen, was jemand mit den Daten meines Reisepasses anfangen will – aber ich bin mir sicher, dass ich nicht will, dass jemand über meine Daten verfügt.
Über meinen Fingerabdruck zum Beispiel.

NFC-Karten dumm machen

Doch – zum Glück – können wir uns selbst verteidigen!
Wir können uns informieren, aufbegehren – und im NFC-Fall sogar auf einfache Weise etwas gegen diese Nahfeldbevormundung unternehmen!

Abschalten!

Da alle neu ausgegebenen Geldkarten mit NFC-Funktionalität ausgestattet sind und dieses auch standardmäßig aktiviert ist, sollten wir hier direkt handeln.
Das Vorgehen der Banken zeigt ebenfalls, dass diese die Bequemlichkeit der Kunden der Privatsphäre der Kunden vorziehen.
Es sind ja nicht die Bankdaten, die riskiert werden, sondern nur die Privatsphäre der Kunden.
Ganz schlechter Schritt, liebe Banken.
Vorbildhaft wäre hier der Privacy by Design Ansatz, der davon ausgeht, dass neue Funktionalitäten, die die Gefahr der Einschränkung der Privatsphäre mit sich bringen, standardmäßig deaktiviert sind und nur im Fall einer informierten und gewünschten Nutzung des Dienstes aktiviert werden.
Wir sehen hier wieder, dass die negative Vorgehensweise des Opt-Out einem positiven Opt-In vorgezogen wird.
Aber zurück zu unseren Möglichkeiten:
Wir können die NFC-Funktionalität deaktivieren.
Die Banken haben diese Möglichkeit alle umgesetzt – leider unterschiedlich kundenfreundlich.

Volksbanken gehen an dieser Stelle wesentlich kundenfreundlicher und zeitgemäßer vor.
Hier kann der Bankkunde die NFC-Funktionalität selbsständig an einem Bankautomaten deaktivieren und bei Wunsch auch wieder aktivieren.

Die Sparkassen gehen hier einen deutlich beratungsintensiveren Weg.
Der privatsphären-affine Kunde muss hier die NFC-Funktionalität seiner Bankkarte durch einen Mitarbeiter der Bank deaktivieren lassen.
Naja.
Aber immerhin: es geht!

Und ich rate dringend dazu, diesen Schritt zu gehen und NFC auf allen Bankkarten zu deaktivieren.

Aluhut für die Karten

Eine weitere, noch einfachere und in meine Augen daher noch viel charmantere Lösung ist der Einsatz einer Schutzhülle aus einem Material, welche den NFC-Chip abschirmt.
Quasi ein Aluhut für die Geldkarte.
Inzwischen gibt es neben speziellen Kartenetuis auch Geldbörsen, in die abschirmendes Material eingewebt ist.

Reisepass, gut durch

Ein Reisepass ist ein gültiger Reisepass – auch ohne intakten NFC-Chip.
Der Chaos Computer Club (CCC) hat einem kurzen Video anschaulich gezeigt, wie der privatsphären-affine Reisende seine informationelle Selbstbestimmung selbstverteidigen kann.
Wenn der Reisepass ausversehen (hust) auf das Induktionsfeld in der Küche fällt, reicht der Puls des Kochfeldes aus, um den NFC-Chip zu deaktivieren.
Anschließend haben wir weiterhin einen gültigen Reisepass und unsere Daten wieder besser im Griff.
Das Einzige, was uns jetzt entgeht, ist der Spaß des Self-Checkins bei der nächsten Auslandsreise.
Oder ein anregendes Gespräch mit Grenzbeamten, sollten wir dies dennoch versuchen.

Wie uns Geld überwacht

Heather Jones - NSA: Listening in

TL;DR

  • Digitale Finanzströme: Online sind wir nackt
  • In the name of money: Wir zahlen mit unserem guten Namen – Kreditkarten
  • Bringing it all together: Hybride Überwachung – online meets offline
  • The Future: Daten sind Ge|old

“Money makes the world go round”
“Pecunia non olet”
“Nur Bares ist Wahres”

Diese Weisheiten stimmen uns auf meine Artikelserie zum Thema Geld und Privatsphäre ein.
Geld als abstraktes Tauschmittel und äußere, vergleichbare Form von materiellem Reichtum ist ein Thema, das unsere Gesellschaft bewegt – manch einen sogar treibt.
Bemaß sich der Wert eines Unternehmens früher noch an greifbaren Werten wie Gold, Immobilien oder Rohstoffen wie Öl – so kommt heute ein neuer Rohstoff ins Geldspiel:
Daten

In den kommenden fünf Artikeln will ich daher auf den Zusammenhang zwischen Geld (in welcher Form auch immer) und unserer Privatsphäre eingehen.
Beginnen werde ich heute mit der Tatsache, dass Geld uns überwachen kann.
Im folgenden Artikel betrachte ich neue Gefahrenpotenziale durch Funktechnologien in diversen Geldkarten.
Anschließend werfe ich einen Blick auf Online-Banking in seinen unterschiedlichen Ausprägungen.
Einen Schwenk zu den schwer überwachbaren Alternativen zu elektronischen Finanztransaktionen mache ich im darauf folgenden Artikel.
Den Abschluss der Reihe bildet ein Ausblick auf neue Geldformen und ihren Einsatz.

Aber beginnen wir zunächst mit den Überwachungsmöglichkeiten, die Geld bietet.

Online sind wir nackt

Bringe ich es doch einfach gleich auf den Punkt:
Unsere elektronisch ausgeführten Finanztransaktionen werden von der NSA gelesen.
Weltweit.
Fast alle.
Für diese Geldschnüffelei betreibt die NSA laut Edward Snowden sogar eine eigene Abteilung: Follow the Money.
Die Erkenntnisse aus dieser globalen Überwachungsaktion fließen in die NSA-eigene Finanzdatenbank Tracfin.
Bereits 2011 umfasste diese Datenbank ungefähr 180 Millionen Datensätze (und davon waren etwa 84% Kreditkartendaten).
Aber es ist ja alles “for the greater good”.

Ich bin immer wieder fassungslos, mit welch bescheuerten Argumenten der größte Überwachungsirrsinn immer wieder gerechtfertigt wird.
Mir gibt es ein schlechtes Gefühl, wenn ich weiß, dass alle meine Finanztransaktionen gesammelt und bewertet werden.
Ich halte es für entsetzlich, dass wir alle unter Generalverdacht stehen, wenn wir online etwas einkaufen. Oder noch schlimmer: bar bezahlen :)
Es geht verdammt noch mal niemanden etwas an, was ich mir für mein hart verdientes Geld beschaffe.
Und kommt mir bloß nicht mit der Argumentation, dass die Daten ja nur bei der NSA liegen.
Wie Edward Snowden 2013 gezeigt hat, ist es durchaus möglich, auch aus diesem Geheimclub Arme voll Daten rauszutragen.
Warum sollte das nicht auch einem Datenhändler, Cyber-Kriminellen oder sonstigem Schmutzbuckel gelingen?
Dann nämlich stehen wir noch ein wenig nackter im digitalen Wind der Online-Erpressbarkeit.

Wir zahlen mit unserem guten Namen – Kreditkarten

Kommt jetzt bitte nicht auf die Idee, eure Kreditkarten-gestützten Käufe offline zu tätigen, um euren guten Namen zu retten.
Das wird uns leider nicht retten.
Bloß weil wir unsere Daten offline zur Verfügung stellen, heißt das nicht, dass diese Daten nicht trotzdem in der Tracfin-Datenbank landen.
Mittlerweile werden spätestens am Kreditkartenterminal unsere Daten elektronisch weiterverarbeitet und landen dann mit hoher Wahrscheinlichkeit bei Follow the Money.
Damit sichergestellt werden kann, dass wir wirklich nur Gummibärchen online ordern und kein Hexamethylentriperoxiddiamin für unseren nächsten Sprengkörper kaufen wollen.
Puh, wirklich, als ob ich sowas kaufen würde.
Online.
Das hole ich mir schließlich bei meinem vertrauenswürdigen Schwarzhändler um die Ecke.

Dass Kreditkarten eine vertrauenswürdige und sichere Form der Bezahlung seien ist eine Illusion.
Das sollte sich inzwischen überall herumgesprochen haben.
Immer wieder decken Sicherheitsforscher, unter anderem Brian Krebs, Kreditkartendiebstähle in ungeheurem Umfang auf.
Es ist pure Bequemlichkeit, die Kreditkarte zu zücken, anstatt das Bargeld aus der Geldbörse heraus zu zählen.
Zugegeben, es gibt einige Dienstleistungen, da wird eine Kreditkarte zwingend vorausgesetzt.
Mir fallen da Autovermietungen oder Hotelreservierungen mit garantierten Zimmern ein.
Naja, seufz, legen wir uns für diese Zwecke eine Kreditkarte mit geringem Limit zu – dann ist der finanzielle Schaden wenigstens eng begrenzt.
Unsere Daten und unsere finanziellen Bewegsdaten sind wir dann allerdings immer noch los.

Hybride Überwachung – online meets offline

Seit kurzem ist die auch die Argumentation
“Aber mit Kreditkarten werden wir ja nur online, respektive offline, überwacht”
dahin.
Zuerst Google und jetzt auch Facebook haben eine Möglichkeit für ihre werbetreibenden Datenkrakenkunden geschaffen, Einkäufe, die offline durch Kreditkarten bezahlt werden, jetzt auch online weiter zur Komplettierung von Profilen heranzuzuiehen.
Schöne neue hybride Überwachungswelt.
Damit wird die Kreditkarte neben dem Smartphone zur nächsten Überwachungswanze, die wir freiwillig mit uns herumtragen.
Das perfide bei der Überwachung unserer Kreditkartenzahlungen, die wir offline durchführen, ist, dass wir hier gar nicht die Möglichkeit haben, dieser Überwachung zu widersprechen.
Im Online-Bereich sprechen wir von zwei Möglichkeiten der Zustimmung zu Diensten, in die wir einwilligen.
Es gibt die datenschutztechnisch positive Sichtweise des Opt-In.
Dies bedeutet, ich muss mich aktiv für die Nutzung eines Dienstes oder einer Dienstleistung entscheiden.
Erst wenn ich zugestimmt habe, fließen meine Daten in Richtung eines Datensammlers ab.
Die negative, aber in der breiten Masse der Angebote gängigere Variante ist die des Opt-Out.
Hier bin ich als Standard bereits in der Situation, dass meine Daten abgezogen werden.
Erst wenn ich mich aktiv gegen diese Weiterverarbeitung entscheide, kann ich aus diesem System aussteigen.
Da diese Möglichkeit zum einen eine aktive Handlung eines Dienstleistungsnehmers erfordert – und weil die Möglichkeit zum Opt-Out oft nur sehr schwierig zu finden ist – nehmen viele Nutzer diese Möglichkeit gar nicht erst wahr.

Und bei der Kreditkartennutzung im Offline-Bereich ist uns oft schlicht keine Möglichkeit gegeben, uns gegen die Weiterverarbeitung der von uns gesammelten Kreditkartendaten durch Facebook, Google und andere wehren zu können.

Daten sind Ge|old

Letztendlich sind Daten Geld.
Nur leider nicht unseres.
Wir sind nur die Geldquelle, die Datenmine, aus der die Datensammler und -händler fleißig schürfen.
Wir werden weder gerecht entlohnt für die Daten – also das Geld – welche wir den Datenkraken zur weiteren Veredelung und zum Handel geben.
Noch erfahren wir den (Geld-)Wert, den unsere Daten haben.
Durch diese Wissensasymmetrie sind wir als Datenlieferanten gegenüber den Datenhändlern in einer massiv schwächeren Position.
Wenn ich nicht weiß, über welche Werte ich verfüge, kann ich nicht angemessen handeln.
Wir sind wie die Lenape, die Manhattan 1626 an Peter Minuit für 60 Gulden verkauft haben.
Lernen wir den Wert unserer Daten schätzen!
Unsere Daten sind unser Gold.
Daten sind bereits Teil einer neuen Währung – achten wir darauf, dass wir nicht das Manhattan unserer digitalen Identität für eine Handvoll Glasperlen an die digitalen Imperialisten verschleudern.
Lernen wir, unser digitales Manhattan zu schützen und zu verteidigen.
Es ist das Kernland unseres digitalen Ichs.
Es geht um unsere Freiheit.

Fragen? Anmerkungen?

teilen + spenden