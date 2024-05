Nach vielen Monaten des Debattierens hat sich die Ampel-Koalition im April auf eine Gesetzesgrundlage zur sogenannten "Bezahlkarte für Asylbewerber" geeinigt.

Durch das Bezahlkartensystem soll zum Beispiel verhindert werden, dass Asylleistungen ins Ausland abfließen oder Migranten Geld an Schlepper zahlen. Die Karten funktionieren guthabenbasiert und nur in Deutschland. Sie können weder überzogen werden noch Überweisungen ausführen.

Hövelhof Vorreiter in NRW

Mehrere Städte und Gemeinden testen den Einsatz solcher Bezahlkarten bereits, seit dem 1. Mai auch die Gemeinde Hövelhof im Kreis Paderborn.

Als erste Kommune in NRW hat Hövelhof die sogenannte "SocialCard" eingeführt. Bundesweit gibt es aber verschiedene Anbieter, die Bezahlkarten-Lösungen für Kommunen anbieten.

Schwachstellen bei Online-Banking-Apps

Drei weitverbreitete Bezahlkarten-Anbieter haben die Sicherheitsforscher Tim Philipp Schäfers (29) und Niklas Klee (25) jetzt detailliert untersucht. Sie kommen beide aus Ostwestfalen-Lippe und arbeiten im IT- Bereich.

Neben einer physischen Karte stellen die Unternehmen auch jeweils eine Online-Banking-App zur Verfügung, über die beispielsweise das verfügbare Guthaben eingesehen werden kann.

Sicherheitsforscher Tim Philipp Schäfers und Niklas Klee

Wirklich ausgereift bzw. markttauglich sind diese Apps nach Ansicht der Sicherheitsforscher aber noch nicht: Neben Datenschutzverstößen fanden Sie teils erhebliche Sicherheitslücken in der Programmierung der Apps und Tracker, über die persönliche Daten an Tech-Firmen in den USA abfließen.

Bezahlkarte wurde bereits mit Sicherheitslücke genutzt

Auf die wohl größte Schwachstelle stießen sie bei der Bezahlkarte der Anbieter "PayCenter GmbH" und "petaFuel GmbH". Letztere ist für die Online-Banking-Funktionen der "Bezahlkarte.eu" bzw. auch einfach nur "Bezahlkarte" verantwortlich.

Die Bezahlkarte wird bereits in verschiedenen Städten und Landkreisen in Bayern für den Transfer von Sozialleistungen an Asylbewerber eingesetzt.

Hacker hätten sich offenbar in fremde Konten einloggen können

Die Schwachstelle ist als sogenannte "XSS-Lücke" bekannt. Nach Einschätzung von Schäfers und Klee hätten Hacker-Angreifer den Login von anderen Nutzern (zum Beispiel von Asylbewerbern) stehlen und sich an ihrer Stelle einloggen können – mit gravierenden Folgen:

Sehr wahrscheinlich wäre es Kriminellen so möglich gewesen, Kontostände und sensible Daten einzusehen, Geld abzubuchen, Online-Käufe vorzunehmen oder die Inhalte in der App für Betrugszwecke wie Phishing zu verändern.

Asylleistungen wären so zwar nicht an Familien von Geflüchteten ins Ausland abgeflossen, dafür aber wohl auf den Konten Krimineller gelandet.