RFID-Blockierung: Was sie tatsächlich schützt (und was nicht)
Wenn Sie in den letzten drei oder vier Jahren eine RFID-blockierende Geldbörse oder eine der schlanken RFID-blockierenden Karten gekauft haben, die man einfach in den Kartenschlitz steckt, herzlichen Glückwunsch: Sie sind vor einer Betrugsmethode geschützt, die größtenteils mit der Einführung des Chips auf Ihrer Karte außer Kraft gesetzt wurde. Die Werbung behauptet, Diebe könnten durch Textilien auf Ihr Konto zugreifen und Geld stehlen. Die Werbung hatte zwar Recht mit der Funkphysik, aber nicht mit den Karten am anderen Ende. Die Argumentation ist intuitiv: Ihre kontaktlose Karte sendet Daten über die Luft, ein Fremder mit einem versteckten Lesegerät kann diese Daten abfangen, und Ihr Geld ist weg. Dieses Bedrohungsmodell erscheint uns intuitiv plausibel, da es den bekannten Regeln des physischen Diebstahls entspricht. Das Problem ist jedoch, dass sich die moderne Zahlungskarte am anderen Ende dieser Funkverbindung nicht so verhält, wie es die Werbung suggeriert.
Dieser Artikel erklärt, was RFID-Skimming eigentlich ist, was das EMV-Protokoll für kontaktloses Bezahlen verändert hat und welche Betrugsmaschen im NFC-Bereich aktuell zunehmen. Spoiler: Die Betrugsart, die zunimmt, lässt sich mit keiner Geldbörse verhindern.
Wie RFID-Skimming funktionieren sollte
Die berühmten Vorführungen fanden alle zwischen etwa 2009 und 2013 statt. Forscher wie Pablos Holman und Kristin Paget betraten die Bühnen von Defcon und TED, hielten eine schwarze Box in die Nähe der Hosentasche eines Zuhörers und zogen eine funktionierende Kopie einer Kreditkarte hervor. Videoclips der Konferenzen gingen viral. In diesen Minuten begann ein ganzes Jahrzehnt des Marketings für Geldbörsen, Ärmelhüllen und Passhüllen.
Die in diesen Demonstrationen verwendeten Karten, die mit RFID-Technologie (Radio-Intelligence) ausgelesen wurden, ähnelten in der Zahlungsbranche Magnetstreifenkarten. Sie gehörten zur frühen Generation kontaktloser Karten, wie beispielsweise dem ursprünglichen Chase Blink-Programm in den USA zwischen etwa 2005 und 2013. Die Karte übertrug über eine Funkverbindung mit kurzer Reichweite im Wesentlichen dieselben Daten, die auf dem Magnetstreifen kodiert waren: die primäre Kontonummer, das Ablaufdatum, in vielen Fällen den Namen des Karteninhabers und den statischen Kartenprüfwert. Ein Skimmer mit einer etwas zu großen Antenne konnte all diese Daten aus wenigen Zentimetern Entfernung durch Stoff oder dünnes Leder hindurch auslesen. Die erfassten Daten reichten aus, um eine funktionierende Kopie auf einen leeren Magnetstreifen zu kodieren und diese bei jedem Händler einzusetzen, der noch Kartenzahlungen akzeptierte.
Der technische Grund dafür, dass dies funktionierte, lag darin, dass die Karten den ISO-14443-Standard nutzten, den Kurzstreckenzweig der Radiofrequenzidentifikation (RFID), der für eine Entfernung von etwa zehn Zentimetern ausgelegt ist. Demonstratoren erweiterten diese Reichweite durch größere Antennen und saubere Stromversorgungen. Ortungsetiketten nach ISO 15693, wie sie beispielsweise in Bibliotheksbüchern und Lagerbestandsetiketten verwendet werden, können aus bis zu siebzig Zentimetern Entfernung gelesen werden. Zahlungskarten entsprachen nie diesem Standard. Doch der Eindruck, der sich in der Öffentlichkeit festsetzte, war der einer einzigen Zahl: Karten können aus der Ferne gelesen werden. Dieser Eindruck war schon 2010 falsch. Heute ist er noch viel falscher.
Ich denke immer wieder darüber nach, wie hartnäckig diese Angst war. Die Karten aus diesen berühmten Demos existieren praktisch nicht mehr. Die Zahlungsbranche hat sich weiterentwickelt. Die Produktkategorie, die zum Schutz vor diesen Karten entwickelt wurde, existiert jedoch weiterhin.
Warum EMV die Bedrohung beseitigte: RFID-Blockierung wurde verkauft, um sie zu stoppen.
Was die mit Magnetstreifen vergleichbaren Skimming-Angriffe beendete, waren nicht bessere Geldbörsen. Es war der EMV-Chip und genauer gesagt die kontaktlose Version von EMV, die auf jeder Visa-, Mastercard-, American-Express- und Discover-Karte verbaut ist, die in den letzten Jahren ausgegeben wurde.
So funktioniert es, wenn Sie eine moderne kontaktlose Karte an ein Lesegerät halten: Karte und Terminal einigen sich auf einen Transaktionszähler, der für diese einzelne Transaktion eindeutig ist. Der Chip auf der Karte verwendet einen geheimen Schlüssel, der bei der Herstellung integriert und niemals übertragen wird, um einen Verschlüsselungsschritt durchzuführen. Dieser berechnet ein einmaliges Kryptogramm, das sogenannte ARQC (Authorization Request Cryptogram). Das Lesegerät sendet das ARQC zusammen mit einigen weiteren Feldern zur Genehmigung an die Bank des Kartenausstellers. Wenn ein Skimming-Gerät neben Ihnen diese Transaktion aufzeichnet, erhält es das ARQC, die primäre Kontonummer, das Ablaufdatum und kaum weitere Informationen. Keine CVV2-Nummer (der dreistellige Code auf der Kartenrückseite), keine PIN, keine Daten vom Magnetstreifen (Spur 2) und keine wiederverwendbare Kartenprüfnummer.
Was spricht dagegen, einen abgefangenen ARQC-Code erneut zu verwenden? Der Zählerstand ist gestiegen. Für die nächste Transaktion wird ein neues Kryptogramm mit dem aktuellen Zählerstand benötigt. Das Autorisierungssystem des Kartenausstellers wird die Wiederholung ablehnen. Die abgefangenen Daten sind für das Klonen der Karte oder für normale Zahlungen im stationären Handel nutzlos.
Um die Asymmetrie zu verdeutlichen, hier ein Vergleich dessen, was ein passiver RFID-Scanner bei einem einzigen Antippen von einer EMV-kontaktlosen Karte auslesen kann und was ein funktionierender Klon tatsächlich benötigen würde.
| Feld | Erfasst durch RFID-Skimming von EMV | Zum Klonen oder Wiedergeben erforderlich |
|---|---|---|
| Primäre Kontonummer (PAN) | Ja | Ja |
| Verfallsdatum | Ja | Ja |
| Name des Karteninhabers | Manchmal | Manchmal |
| ARQC-Kryptogramm | Ja (Einweg, an den Tresor gebunden) | Nein (es muss ein neues Exemplar für die nächste Transaktion sein). |
| CVV2 (dreistelliger Code auf der Kartenrückseite) | NEIN | Ja, für die meisten Zahlungen, bei denen die Karte nicht vorgezeigt wird. |
| STIFT | NEIN | Ja, für Geldautomatenabhebungen. |
| Vollständige Magnetstreifen-Spur-2-Daten | NEIN | Ja, das Klonen auf eine Karte, die nur per Magnetstreifen bedient werden kann, ist möglich. |
| Geheimer Schlüssel der Karte | Nein (verlässt den Chip nie) | Ja, um einen gültigen ARQC zu generieren. |
Die Zahlen dahinter sind bemerkenswert. EMVCo, die Branchenorganisation, die den EMV-Standard verwaltet, berichtet, dass im vierten Quartal 2024 weltweit 96,20 Prozent aller Kartenzahlungen im stationären Handel mit dem Chip erfolgten. Rund 72 Prozent aller ausgegebenen Karten sind EMV-fähig. In den USA verzeichneten Händler, die ihre Karten auf Chipkarten umgerüstet hatten, laut Visa zwischen Dezember 2015 und Dezember 2017 einen Rückgang der durch Kartenbetrug verursachten Schäden um 76 Prozent. Das ist kein schleichender Trend. Der Chip macht das Klonen von Karten im stationären Handel wirtschaftlich nahezu überflüssig.
Es gibt eine kleine Ausnahme, die Erwähnung verdient. Eine erfasste primäre Kontonummer und das Ablaufdatum können mitunter bei Händlern mit schwachen Sicherheitsvorkehrungen getestet werden, die keine 3DS-Authentifizierung durchführen oder den CVV2-Code nicht prüfen. Das ist ein ernstzunehmendes Problem. Es handelt sich dabei auch nicht um ein RFID-Problem. Dieselben Nummern gelangen ständig durch Sicherheitslücken bei Händlern, Phishing-Seiten und Skimming im Online-Handel an die Öffentlichkeit. Eine blockierende Wallet bietet dagegen keinen Schutz.
Die kontaktlosen Betrugsnummern, die RFID-Blockierungsprodukte Ihnen nie anzeigen
Käufer von RFID-blockierenden Geldbörsen bekommen die tatsächlichen Betrugszahlen fast nie zu sehen, weil die Betrugskategorie, gegen die die Geldbörsen beworben werden, nicht diejenige ist, die das Geld verliert.
| Quelle | Jahr | Figur |
|---|---|---|
| Jährlicher Betrugsbericht des britischen Finanzministeriums 2025 | 2024 | Verluste durch kontaktloses Bezahlen in Großbritannien: 41,1 Millionen Pfund – erster Rückgang im Jahresvergleich seit 2020 |
| UK Finance | 2024 | Der Gesamtschaden durch unautorisierten Kartenbetrug in Großbritannien belief sich auf 572,6 Millionen Pfund. |
| Abgeleitet | 2024 | Kontaktloser Betrug macht etwa 7,2 Prozent aller Kartenbetrugsfälle in Großbritannien aus. |
| UK Finance | 2024 | Betrugsfälle, bei denen die Karte nicht physisch vorliegt, machen etwa 70 Prozent aller Kartenbetrugsfälle aus und belaufen sich auf mehr als 400 Millionen Pfund. |
| FCA-Engagementpapier | 2025 | Die Betrugsrate bei kontaktlosen Zahlungen beträgt 1,3 Pence pro 100 Pfund kontaktloser Ausgaben, verglichen mit 6 Pence pro 100 Pfund bei allen unautorisierten Kartentransaktionen. |
| FCA / Computer Weekly | 2024 | Kontaktlose Transaktionen in Großbritannien: 18,9 Milliarden, ein Anstieg von 3,4 Prozent gegenüber dem Vorjahr, durchschnittlicher Wert 15,86 Pfund |
| FICO US Card Skimming 2025 – Überblick | 2025 | Die amerikanische Betrugsbekämpfungsbehörde stellt ausdrücklich fest, dass sie RFID-Skimming nicht als separate Verlustkategorie ausweisen kann. |
Lesen Sie die letzte Zeile zweimal. Der Grund, warum es keine allgemein anerkannten Zahlen zu den Verlusten durch RFID-Skimming in den USA gibt, liegt darin, dass die Experten für Kartenbetrug keine aussagekräftige Zahl ermitteln können. Sie betrachten Geldautomaten- und Zapfsäulen-Skimming separat, da hierbei physische Geräte zurückbleiben. RFID-Skimming, wie es in den Defcon-Clips an Verbraucher verkauft wird, bleibt hingegen unentdeckt.
Kurz gesagt: Die dokumentierten Verluste durch passives RFID-Skimming bei modernen EMV-kontaktlosen Karten sind statistisch nicht von null zu unterscheiden. Consumer Reports, AARP, mehrere namentlich genannte Sicherheitsexperten, darunter Roger Grimes von KnowBe4, das Identity Theft Resource Center, Chase und Visa haben dies in ihren Veröffentlichungen in ähnlicher Form bestätigt.
Die Federal Reserve Bank of Kansas City untersuchte 2018 in einer Studie zum Zahlungsverkehr in den USA die Einführung von Chipkarten und stellte fest, dass der Kartenbetrug bei Händlern mit Chipkarten-System nach Abschluss der Umstellung deutlich zurückging. Die Fälschungsraten sanken, während die Betrugsraten bei Online-Zahlungen stiegen, da Kriminelle den Weg des geringsten Widerstands ins Internet verlagerten. Diese Verlagerung ist der zentrale Faktor für Kartenbetrug in den 2020er Jahren. Skimming, in all seinen Formen, macht nur noch einen kleinen und stetig schrumpfenden Teil der ohnehin schon geringen Verluste bei Kartenzahlungen aus. Kontaktloses Skimming stellt dabei den geringsten Anteil dar.
Ein weiterer Fakt ist erwähnenswert. Die Obergrenze für kontaktloses Bezahlen in Großbritannien wurde 2021 von 25 auf 100 Pfund angehoben. Die britische Finanzaufsichtsbehörde (FCA) kündigte jedoch für 2025 an, dass diese Obergrenze ab März 2026 aufgehoben wird und die einzelnen Emittenten ihre eigenen Limits festlegen können. Wäre passives Skimming bei kontaktlosen Zahlungen ein bedeutender Verlustfaktor, hätte eine Verfünffachung des Risikos pro Transaktion die Zahlen verändert. Dies war jedoch nicht der Fall. Trotz höherer Limits und höherer Transaktionszahlen sanken die Betrugszahlen bei kontaktlosen Zahlungen im Vergleich zum Vorjahr. Das Protokoll erfüllt seinen Zweck.
Die wahre NFC-Bedrohung, die Ihre Geldbörse nicht blockieren kann
Während die RFID-Blockierungsbranche noch die Frage von 2012 beantwortete, suchten Angreifer bereits nach neuen Wegen. Die aktuell am schnellsten wachsende NFC-Betrugsmasche kommt ganz ohne fremde Hilfe aus.
Im August 2024 veröffentlichte das Sicherheitsunternehmen ESET Forschungsergebnisse zu einer Android-Malware namens NGate. Der Angriffsablauf sieht folgendermaßen aus: Ein Opfer wird per Phishing getäuscht, meist mit einer SMS, die angeblich von seiner Bank stammt. Es installiert eine vermeintliche Sicherheits-App. Die gefälschte App fordert es auf, seine physische Karte zu verifizieren, indem es diese kurz an die Rückseite seines Smartphones hält. Die Malware liest die Karte über den NFC-Chip des Smartphones aus und übermittelt die Daten in Echtzeit an das Smartphone eines Angreifers in einem anderen Land. Dieser Angreifer geht mit seinem Smartphone in der Hand zu einem Geldautomaten und hebt Bargeld ab, als wäre die Karte des Opfers an das Automaten gehalten worden. ESET dokumentierte die Festnahme eines Verdächtigen, der innerhalb kurzer Zeit etwa 6.500 Euro von drei Opfern erbeutet hatte.
Das war der erste Fall, über den öffentlich berichtet wurde. In der ersten Hälfte des Jahres 2025 verzeichnete ESET laut Telemetrie einen Anstieg der NFC-Relay-Angriffe um das 35-Fache im Vergleich zur zweiten Hälfte des Jahres 2024. Die Technik wird mittlerweile aktiv eingesetzt. Sie funktioniert auch bei modernen EMV-Kontaktloskarten, da das Protokoll wie vorgesehen arbeitet: Die Karte wird angehalten, das Kryptogramm ist aktuell, und die Bank des Kartenausstellers sieht eine scheinbar normale Transaktion.
Eine RFID-Schutzhülle bietet vor all dem keinen Schutz. Die Karte wird vom Opfer freiwillig an das eigene Smartphone gehalten, nachdem es die schädliche App installiert hat. Die Funkabschirmung der Geldbörse hat nichts mit der Angriffsfläche zu tun.
Was tatsächlich vor diesem Angriff schützt, lässt sich als physisches Produkt viel schwerer vermarkten. Man muss Phishing-Nachrichten erkennen, keine Apps über Links installieren und jede Aufforderung zur Kartenzahlung als das behandeln, was sie ist: ein Alarm. All das passt nicht in eine 25-Dollar-Geldbörse von Amazon.
Wo die RFID-Blockierungstechnologie noch immer ihren Platz verdient
Die Wahrheit ist nicht, dass RFID-Blockierung nutzlos ist. Vielmehr ist die Schwäche des Produkts die Positionierung der Zahlungskarten. Die wirklich anfälligen RFID-Elemente in vielen Geldbörsen sind alles außer den Bankkarten.
Eine kurze Liste. In vielen Hotels werden noch immer alte Hotelschlüsselkarten mit den 13,56-MHz-Chipsätzen HID iClass und MIFARE Classic verwendet. Beide Chipsätze wurden in öffentlichen Untersuchungen geknackt und können mit einem einfachen Lesegerät kopiert werden. Zutrittskarten für Gebäude, insbesondere ältere Systeme in Unternehmen, verwenden oft dieselben fehlerhaften Chipsätze. Bibliotheksausweise folgen dem ISO-15693-Standard mit der größeren Lesereichweite und geben ihre Kennungen leicht preis. Einige frühe biometrische Reisepässe hatten nur schwache grundlegende Zugriffskontrollen und konnten ausgelesen werden. Kundenkarten, Fitnessstudio-Chips und Fahrkarten mit Guthaben lassen sich in der Regel einfach kopieren oder weiterleiten.
Wenn Sie mehrere dieser Karten zusammen mit Ihren Bankkarten bei sich tragen, erfüllt eine einfache Schutzhülle einen ganz bestimmten Zweck. Für Ihre kontaktlose Visa-Karte ist sie jedoch nicht geeignet.
Die Asymmetrie ist der Aspekt, den das Wallet-Marketing ausblendet. Zwei unterschiedliche Probleme werden in ein und demselben Produktangebot zusammengefasst, und das leichter zu erklärende Problem ist dasjenige, das größtenteils schon vor einem Jahrzehnt verschwunden ist.
Eine praktische Herangehensweise: Machen Sie eine Liste der Gegenstände in Ihrem Portemonnaie. Fragen Sie sich bei jedem Gegenstand, welchen Funkstandard er verwendet und ob dieser zusätzlich durch eine Verschlüsselung geschützt ist. Bankkarten verfügen seit der Einführung des EMV-Chips über eine solche Verschlüsselung. Die meisten Ausweise für Gebäude, Hotelschlüssel und Bibliotheksausweise hingegen nicht. Die Schutzhülle schützt alles, was keine Verschlüsselungsebene besitzt. Sie kann die Sicherheit bereits vorhandener Datenträger nicht verbessern. Das ist die ganze Geschichte des RFID-Schutzes – ganz ohne Marketing-Gerede.
