Digitale Wallets: So wird deine Karte kontaktlos geklaut

Viele nutzen heute Karte oder Smartphone, um schnell zu bezahlen. Der chipbasierte Kontaktlos‑Standard (NFC) überträgt dabei Signale nur über wenige Zentimeter. Das macht das System bequem – und erklärt, warum Angreifer Wege gesucht haben, diese Nähe zu simulieren. Besonders relevant ist, dass man die Karte oder das Wallet nicht physisch verlieren muss, damit Unberechtigte Zahlungen auslösen können.

Dieser Artikel beschreibt die gängigsten Attacken, zeigt Beispiele aus der Praxis, bewertet Risiken und gibt klare, sofort anwendbare Empfehlungen. Ziel ist, dass du verstehst, wie eine „kontaktlose Entwendung“ technisch möglich wird und was du konkret dagegen tun kannst.

Kontaktloses Bezahlen beruht meist auf der Near‑Field Communication (NFC). NFC ist eine Funktechnik, die Daten über sehr kurze Distanz (typisch wenige Zentimeter) überträgt. Eine Bankkarte oder ein Smartphone mit Wallet enthält einen Chip, der auf Anfragen eines Lesegeräts reagiert.

Wichtige Begriffe kurz erklärt: Ein Secure Element (SE) ist ein geschützter Bereich im Gerät oder in der Karte, in dem sensible Schlüssel liegen. Tokenization ersetzt die echte Kartennummer durch ein einmaliges Token, das beim Händler ankommt; das reduziert das Risiko beim Kartenkopieren.

Eine Relay‑Attacke verlängert die Kommunikation zwischen Karte und Terminal, indem ein Angreifer die HF‑Signale über zwei Geräte weiterleitet: Ein Gerät neben der Karte liest die NFC‑Frames und sendet sie über ein Netzwerk zu einem fernen Gerät, das die Frames gegenüber dem Terminal emuliert. Für das Terminal sieht es so aus, als stünde die Karte in unmittelbarer Nähe.

Bei einer Relay‑Attacke wird nicht die Karte «kopiert», sondern die echte Kommunikation über Distanz verlängert.

Nicht jede Wallet oder Karte ist gleich angreifbar: Wallets, die Tokenization und zusätzliche Authentifizierung nutzen oder die Hardware‑Härtung des SE/TEE (Trusted Execution Environment) einsetzen, erschweren Relay‑Szenarien. Dennoch zeigen Forschungen und Fallberichte, dass einige Implementierungen anfällig sind, insbesondere wenn mobile Geräte kompromittiert oder Web‑APKs für Enrollment missbraucht werden.

Wenn Zahlen helfen: Untersuchungen berichten über punktuelle, dokumentierte Fälle von Relay‑Malware seit 2023; aggregierte Branchenzahlen fehlen weitgehend, daher bleibt das genaue Ausmaß unsicher.

Wenn eine Tabelle hier hilft: Eine einfache Vergleichstabelle zeigt, welche Schutzschichten welche Angriffsformen erschweren:

Das Schlagwort „digitale Wallets“ beschreibt Apps oder Dienste, die Zahlungsdaten eines Nutzers verwalten. Wallets bieten Komfort, sie bringen aber auch neue Angriffsflächen: Wenn ein Gerät kompromittiert ist, können Angreifer versuchen, Wallet‑Enrollments zu manipulieren, Token zu missbrauchen oder via Relay Zahlungen auszulösen.

Ein häufiger Weg in Berichten der Sicherheitsbranche kombiniert Social‑Engineering mit bösartigen Installationen: Opfer erhalten eine SMS oder einen Link zu einer scheinbar legitimen App‑Seite (PWA/WebAPK). Nach Installation enthält das Gerät eine Komponente, die NFC‑Kommunikation abfängt oder weiterleitet. Solche Kampagnen wurden seit 2023 dokumentiert und führten in Einzelfällen zu Geldabhebungen an Geldautomaten.

Wichtig zu unterscheiden: schlichtes Auslesen von PAN und Ablaufdatum (Proximity‑Skimming) reicht für viele Online‑Transaktionen nicht aus. Für Abbuchungen an ATMs oder für kontaktlose Zahlungen per Relay sind zusätzliche Schritte nötig — etwa eine Emulation am Zielterminal oder das Ausnutzen von Schwächen in Wallet‑Enrollment‑Prozessen.

Welche Signale deuten auf einen Wallet‑Missbrauch hin? Unbekannte Wallet‑Entities in deiner Kontoübersicht, plötzliches Enrollment eines Geräts, ungewöhnliche Transaktionsmuster (mehrere kleine Abhebungen kurz hintereinander) und Benachrichtigungen über ungewöhnliche Geräteanmeldungen. Wenn solche Hinweise auftreten, sofort Karten/Wallet sperren und Bank informieren.

Für Verbraucher ist die wichtigste Regel: Apps nur aus offiziellen Stores installieren, Links in SMS kritisch prüfen und NFC abschalten, wenn es nicht gebraucht wird. Für Anbieter heißt das: Enrollment‑Prozesse härten, Token‑Lifecycles streng überwachen und Transaktionen mit erhöhtem Risiko durch zusätzliche Kontrollen absichern.

In Security‑Reports aus 2024 wurde ein Android‑Malware‑Fall namens NGate beschrieben. Die Hintergründe: Phishing führte zur Installation einer Web‑APK; die Malware leitete NFC‑Frames über ein Relay‑Backend an ein Emulationsgerät, das dann an Geldautomaten eingesetzt wurde. Ermittlungen führten zu Festnahmen und sichergestelltem Bargeld, was zeigt: Die Technik ist nicht nur Theorie, sondern in mindestens einigen Fällen praktisch genutzt worden.

Weitere Berichte aus 2024–2025 dokumentieren ähnliche Muster: kombinierte Social‑Engineering‑Kampagnen, spezialisierte Malware‑Module für NFC‑Relay und der Einsatz von Geldboten für lokale Cash‑Outs. Gleichzeitig warnen Branchen‑Reports, dass viele Banken und Terminal‑betreiber keine standardisierten Telemetrie‑Metriken für Relay‑Indikatoren haben; dadurch bleiben viele Vorfälle schwierig zu erkennen.

Technisch gesehen gibt es Unterschiede in der Angriffswirksamkeit: Karten ohne moderne Tokenization und Wallets ohne starke Geräteattestation sind vergleichsweise leichter zu missbrauchen. Wallets mit aktiver PIN‑Abfrage, Gerätetresor für Schlüssel und tokenbasierter Autorisierung verringern die Erfolgschancen deutlich.

Was lernen wir daraus? Erstens: Angriffe kombinieren oft mehrere Bausteine — Social‑Engineering, Malware, lokale Emulation und Finanz‑Criminal‑Operations. Zweitens: Die Erkennungswahrscheinlichkeit steigt, wenn Banken Transaktions‑Telemetrie auswerten (z. B. ungewöhnliche Latenz, mehrere Abhebungen in kurzer Folge, geografische Inkonsistenzen). Drittens: Verbraucher‑Verhalten bleibt zentral: sichere Konfigurationen, Bewusstsein gegenüber SMS/Links und Kontrolle über App‑Installationen reduzieren das Risiko deutlich.

Auf Anbieterseite sind mehrere, kombinierte Maßnahmen sinnvoll. Erstens: technische Prüfungen in Terminals und Gateways, die auf ungewöhnliche Latenzen oder Timing‑Abweichungen achten. Relay‑Attacken verlängern in der Regel die Round‑Trip‑Time; adaptive Thresholds und Heuristiken können hier Warnsignale liefern.

Zweitens: stärkere Token‑ und Geräteattestation. Tokenization reduziert die Verwendung echter Kartendaten, und Geräteattestation (z. B. PKI‑basierte Verfahren) hilft, ob ein Wallet auf einem unveränderten Gerät läuft. Drittens: Enrollment‑Härtung – Enrollment‑Schritte dürfen nicht allein über unsichere Web‑PWAs laufen; Out‑of‑Band‑Verifikation und strikte App‑Store‑Kontrollen sind ratsam.

Viertens: operationelles Monitoring und Fraud‑Sharing. Banken sollten charakteristische Cash‑out‑Muster automatisiert erkennen und Informationen mit anderen Instituten teilen. Regulatorische Stellen und Branchenverbände können Reporting‑Standards fördern, damit Vorfälle besser vergleichbar werden.

Schließlich: Nutzer‑Aufklärung. Viele erfolgreiche Angriffe nutzen einfache soziale Tricks. Eine koordinierte Awareness‑Kampagne, klare Hinweise in Apps und zeitnahe Warnmeldungen über neue Phishing‑Wellen reduzieren Risikoverhalten.

Technische Maßnahmen sind nicht allein ausreichend; das beste Ergebnis erzielt man durch ein Bündel aus Hardening, Monitoring, regulatorischer Zusammenarbeit und Nutzerbildung.

Kontaktlose Zahlungen und digitale Wallets sind praktisch, aber nicht risikofrei. Die dokumentierten Angriffe seit 2023 zeigen: Es reicht nicht, die Karte in der Tasche zu lassen, um sicher zu sein. Techniken wie NFC‑Relay kombinieren Software‑Komponenten und physische Emulation, sodass Zahlungen auch ohne physischen Verlust der Karte möglich werden. Gleichzeitig bieten Tokenization, Secure Elements, Geräteattestation und robustes Monitoring wirksame Gegenmittel. Für dich heißt das konkret: NFC deaktivieren, vorsichtig mit Links und App‑Installationen sein und bei ungewöhnlichen Kontoaktivitäten sofort reagieren. Für Anbieter und Behörden bleibt die Aufgabe, Standards und Metriken zu entwickeln, damit solche Attacken schneller erkannt und verhindert werden können.