Sind meine Daten sicher? – Mobiles Bezahlen in der Praxis

Kreditkarte Chip - kuhnmi Credit Card Chip - CC BY 2.0

Das mobile Bezahlen bietet eine praktische Alternative zur umständlichen Kartenzahlung. In den USA und Asien längst selbstverständlich, trifft die kontaktlose Methode zur Begleichung von Rechnungen hierzulande noch immer auf Skepsis. Und obwohl die Verbraucherzentrale die Sicherheit des NFC-Verfahrens bestätigt, übten sich die Konsumenten bisher in Zurückhaltung. Nach neuen Umfragen im Auftrag von Visa könnte sich der Trend allerdings umkehren.

Aktuelle Entwicklungen

Denn die Untersuchungen ergaben, dass mittlerweile 75 Prozent der Konsumenten in Deutschland ihre Einkäufe mobil bezahlen. Bei der Erhebung im Mai und Juni 2020 wurden 1 800 Verbraucher befragt mit dem Ergebnis, dass 12 Prozent mobil mit dem Smartphone zahlen. Das entspricht einer rasanten Verdopplung der Handy-Nutzung in nur einem Jahr. Das digitale Bezahlen wird also zu einer neuen Normalität mit der Tendenz einer weiter sinkenden Nutzung von Bargeld in der Zukunft.

Andere Experten gehen sogar noch weiter. Sie erwarten, dass die Plastikkarten bald aus den Geldbörsen verschwinden und nur noch die App auf dem Smartphone den Bezahlvorgang abwickelt. Die Bitkom, ein Tochterunternehmen des „Digitalverbands Deutschland“, stellt in ihren Marktberichten fest: Bereits 76 Prozent der Deutschen über 16 Jahren nutzen ein Mobiltelefon mit Internetverbindung.

Neue Karten der Sparkassen und der Hypovereinsbank

Die hiesigen Finanzinstitute zeigen sich von den Trends jedoch unberührt. Sie setzen weiter auf die analogen Methoden und erweitern ihr Kartenportfolio. Die Kunden der Sparkassen etwa können ab Oktober eine neue Variante der Girocard mit Debit-Mastercard-Funktion nutzen. Besonders mit zwei Argumenten wollen die Anbieter den Verbraucher überzeugen: Die Karte funktioniert weltweit dank der 45 Millionen Akzeptanzstellen, die sich sowohl im In- als im Ausland befinden. Außerdem ermöglicht sie das bequeme Bezahlen über das Internet.

Auch die Hypovereinsbank erweitert ihr Angebot mit einer NFC-fähigen Debitkarte. Die „HVB Visa Debit Card“ funktioniert für Online-Käufe und mit Apple Pay. Gemeinsam mit Visa und der Umweltorganisation „Klima ohne Grenzen“ fördert das Bankhaus Projekte in Entwicklungsländern mit einem Anteil von 1,1 Prozent der Internetumsätze seiner Kunden.

Die kontaktlose Buchung auch für den Einzelhändler

Auch für Anbieter soll das kontaktlose Bezahlen einfacher werden. Denn Visa hat den Service „Tap-to-Phone“ nun auch in Deutschland auf den Markt gebracht. Ein softwarebasiertes Zahlterminal auf dem Android-Smartphone ersetzt das bisher übliche Endgerät an der Supermarktkasse.

Die Corona-Krise ist besonders für die Betreiber von Kultureinrichtungen eine immense Herausforderung. Beim Kartenverkauf im Internet kommen ohnehin die Kreditkarte oder die entsprechende App zum Einsatz. Zukünftig fügt der Kunde sein erworbenes Ticket aber dem NFC-Wallet hinzu. Beim Besuch der Veranstaltung erhält er denn – schnell und kontaktlos – Zutritt mit dem eigenen Smartphone.

Samsung folgt Apple und Google

Nachdem die Tech-Giganten seit Jahren um die weltweite Vorherrschaft beim mobilen Bezahlen streiten, macht nun Samsung mit seiner Version „Samsung Pay“ ebenfalls auf sich aufmerksam. Im Gegensatz zu den etablierten Abwicklern kann der Kunde die App der Koreaner jedoch mit fast jedem Bankkonto in Deutschland verknüpfen.

Das bedeutet aber nicht, dass Samsung mit den hiesigen Geldinstituten direkt kooperiert. Vielmehr laufen alle Transaktionen über Visa sowie die Solarisbank ab. Dabei profitiert der Kunde vom globalen Netzwerk von Visa, das zur Zeit in über 200 Ländern 61 Millionen Kontaktstellen anbietet. Das Potential für Samsung wird besonders deutlich, wenn man bedenkt: Beinah die Hälfte der Kunden in Deutschland telefoniert mit einem Smartphone von Samsung.

Wie sicher ist mobiles Bezahlen?

Im Allgemeinen gelten sowohl die Kreditkarte als auch das Smartphone beim Bezahlen nicht unbedingt als sicher. Allerdings ist der meist verwendete NFC-Standard vergleichsweise unbedenklich. Denn das Handy für das kontaktlose Kommunizieren im Nahfeld (Nearfield Communikation, NFC) sendet nicht die kompletten Daten an das Terminal im Supermarkt. Vielmehr überträgt es nur verschlüsselte Kopien. Das Smartphone ist also gegen Missbrauch ausreichend geschützt.

Anders die Kreditkarte. Weil sie mit einem Funksender ausgestattet ist, kann ein Krimineller die Karte mit Hilfe eines manipulierten Lesegeräts ausspionieren.

Berechtigte Sorgen oder Panikmache?

Soweit die offizielle Lesart der Banken und der Verbraucherzentrale. Mittlerweile gehen Kritiker jedoch von einer möglichen Gefährdung durch technisch versierte Betrüger aus. Wer zum Beispiel seine NFC-fähige Karte in der Gesäßtasche aufbewahrt, ermöglicht damit bereits das unbefugte Auslesen. Schon ein normales Handy mit einer kostenfreien App reicht für den Angriff, bei dem der Kriminelle die Kreditkartennummer erfährt, das Ablaufdatum und welche Bank die Karte ausgestellt hat. Nun kann der Betrüger online auf Kosten des Geschädigten einkaufen, wenn der Händler den dreistelligen Sicherheitscode nicht verlangt.

Deshalb haben viele die Befürchtung, jemand könne auch mittels ein entsprechend ausgestattetes Lesegeräts oder durch ein manipuliertes Bezahlterminal die Daten in Erfahrung bringen und anschließend auf seine Kosten einkaufen. Diese Sorge ist jedoch unbegründet, denn die Nummer der in der App hinterlegten Karte wird nicht original gespeichert. Deshalb kann niemand über NFC die Daten einer Master- oder Visacard auslesen. Gleiches gilt für elektronische Debitkarten wie zum Beispiel die von Paypal.

Krypto und Pseudo

Beim Bezahlen wird grundsätzlich nämlich nur eine Pseudo-Kreditkartennummer übermittelt. Das Zahlungsnetzwerk erzeugt diese Ziffernfolge, sobald man die Karte auf dem Gerät hinterlegt. Zusätzlich gibt es einen kryptografischen Schlüssel für die einmalige Nutzung, den die Software in einem nicht zugänglichen Bereich des Handy-Betriebssystems hinterlegt. Außerdem verweigern Bezahl-Apps den Dienst, wenn sie auf einem gerooteten Handy ausgeführt werden.

Bei der Abwicklung der Zahlung prüfen Bank und Zahlungsnetzwerk die Pseudo-Daten und ordnen sie der Person und der echten Karte zu. Der Händler erhält ausschließlich die Freigabe für den aktuellen Einkauf und zusätzlich eine Transaktions-ID. Die originalen Daten des Kunden kann er nicht einsehen.

Unsichere Zustellung durch die Post

Einige Banken versenden die neue Karte mit NFC-Funktion in einem normalen Briefumschlag ohne zusätzliche Sicherung. Der Daten-Dieb kann dann bereits die benötigten Informationen erfahren, bevor der Kunde seinen ersten Einkauf tätigt. So ist es ür die Ordnungshüter extrem schwierig, den Betrüger zu ermitteln. Die Folgen sind meist langwierige Verfahren ohne greifbares Ergebnis.

Allerdings versenden einige Institute die Karten nur mit einem inaktiven NFC-Chip. Das gilt etwa für N26 und die Fidor Bank. Bei letzterer aktiviert sich der Chip automatisch erst nach der ersten kontaktbehafteten Bezahlung. Auch die Karten der Deutschen Bank muss man nicht freischalten lassen.

Selber für Sicherheit sorgen

Der Kunde kann allerdings einiges unternehmen, um sich vor einer unberechtigten Nutzung seiner Daten zu schützen. Wie auf jedem Computer ist das regelmäßige Aufspielen der aktuellen Updates wichtig für die Sicherheit auch des Smartphones.

Wer das Auslesen seiner funkfähigen Karte durch Unbefugte wirklich mit letzter Sicherheit verhindern will, verwendet eine entsprechende Schutzhülle, die zuverlässig alle Funkwellen blockiert. Unternehmen sollten sich von einem IT Service Dienstleister mit entsprechendem Knowhow beraten lassen – aktuelle Vorfälle zeigen, dass Firmen immer mehr Gegenstand solcher Angriffe werden.

Was tun bei Verlust oder Diebstahl?

Gehen ein zahlungsfähiges Telefon oder die Kreditkarte verloren, hilft ohnehin nur noch der zentrale Notruf 116 116. Der Anschluss ist 24 Stunden am Tag zu erreichen, und hier lässt man die Karte oder das Smartphone für Zahlungsvorgänge sperren.

Wurde die Karte noch nicht blockiert, sieht ein unbefugter Nutzer in der App ohnehin nur die vier letzten Ziffern der tatsächlichen Kartennummer. Die dreistellige Prüfziffer wird gar nicht dargestellt. Die Apps der Sparkassen und Volksbanken haben den Nachteil, dass der Betrüger im Klartext die IBAN und den Kontoinhaber erfährt. Damit kann er aber nur eine Lastschrift beauftragen.

Vertrauen ist gut, Kontrolle ist besser

Empfehlenswert ist außerdem eine regelmäßige Kontrolle der Buchungen. Sind falsche Belastungen des Kontos erkennbar, sollte man umgehend die Bank informieren.

Einige Sparkassen und Banken bieten ihren Kunden die Möglichkeit, bei einer NFC-Karte die kontaktlose Übertragung abzuschalten. Wenn die Bedenken überwiegen, sollte man diesen Service nutzen. Die örtliche Filiale gibt Auskunft, ob diese Option angeboten wird.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.