Bedrohungsszenarien halten mobiles Bezahlen auf

Wie sicher ist die digitale Geldbörse?

Wenn man den Prophezeiungen mancher Experten glauben darf, bezahlen wir in einigen Jahren alle mit dem Smartphone. Doch der große Durchbruch lässt auf sich warten. Ein wesentlicher Grund: Die Mehrzahl der Verbraucher misstraut mobilen Payment-Systemen.

Das bestätigt auch eine Untersuchung des Marktforschungsunternehmens YouGov. Danach halten 56 Prozent der Smartphone-Besitzer das Bezahlen via Handy für unsicher, 39 Prozent lehnen mobile Payment-Systeme sogar grundsätzlich ab. Dagegen scheinen die technischen Rahmenbedingungen für eine großflächige Einführung von Mobile Payment günstig zu sein. Denn neben diversen Apps für das mobile Bezahlen und speziellen Kreditkarten-Einsteckmodulen für Smartphones steht mit der Nahfunktechnologie (Near Field Communication, NFC), inzwischen eine weitere Technologie zur Verfügung, die dem Mobilen Bezahlen die notwendige Starthilfe verschaffen könnte.  

Dennoch: Nach Angaben des Handelsinstituts EHI machen Bargeldzahlungen in Deutschland immer noch über 50 Prozent des Zahlungsverkehrs im Handel aus. Dabei ist es in den meisten Fällen die Sorge vor Hackerangriffen und Datenklau, die die Verbraucher lieber zum Geldschein statt zur Karte greifen lässt. Ähnliches gilt auch für mobile Bezahlsysteme.  

So bemängeln Kritiker unter anderem, dass bei der NFC-Technologie Kreditkartentransaktionen ohne direkten Zugriff mitverfolgt werden könnten – auch dann, wenn das Smartphone in der Tasche des „Opfers“ bleibt. Auf diese Weise ließen sich Kreditkarten nachbilden und missbrauchen. Dieselben Kritiker geben außerdem zu bedenken, dass bei geringen Beträgen keine Authentifizierung des Nutzers am NFC-Kartenleser stattfindet. Mögliche Angreifer könnten daher Transaktionen aufzeichnen, um sie zu einem späteren Zeitpunkt über sogenannte Replay-Angriffe wiederholt auszuführen. Und schließlich wurden auf Sicherheitskonferenzen bereits mehrfach frei zugängliche Applikationen vorgestellt, die es ermöglichen, Kreditkartendaten auszulesen und die für eine Kreditkartentransaktion notwendigen Informationen zu speichern.

Komplexe Sicherheitsarchitektur

Ist die Sorge der Verbraucher also berechtigt? Bei der Beantwortung der Frage hilft ein Blick auf die Sicherheitsarchitektur mobiler Bezahlsysteme: Die Grundlage bildet in der Regel ein zugelassenes Sicherheitselement (Secure Element). Dabei handelt es sich um eine Art elektronischer Tresor, der physikalisch vom Hauptspeicher und Prozessor des Mobiltelefons getrennt ist und durch besonders hohe Anforderungen an die Authentifizierung und weitere physikalische Schutzmaßnahmen gegen unberechtigten Zugriff gesichert ist. Als Secure Element kann entweder die SIM-Karte, ein im Mobiltelefon eingebauter Smartcard-Chip oder eine externe Speicherkarte dienen.

Die Zahlungsanwendung selbst wird in der Mobile Payment-Architektur grundsätzlich von einem Trusted Service Manager kontrolliert. Er übernimmt die sichere Übertragung von Daten auf das Smartphone. Dazu personalisiert er das Secure Element und gewährt nur bestimmten Anwendungen Zugriff. Hinzu kommen verbindliche Standards seitens der Kreditkartenindustrie (Payment Card Industry Standards) sowie klassische technische Sicherheitsmaßnahmen, wie die Authentifizierung des Nutzers sowie die Verschlüsselung sämtlicher Transaktionen.

Um zu verhindern, dass ein Hacker mit gestohlenen Daten einkaufen geht, verfügen die meisten Systeme außerdem über dedizierte Zählmechanismen. Dabei prüft ein „Offline-Transaktionen-Zähler“ in regelmäßigen Intervallen, ob die Identität des Karteninhabers durch eine Online-Verbindung zum Kreditkartenherausgeber verifiziert worden ist. Der Nutzer kann also nur eine bestimmte Anzahl an Offline-Transaktionen durchführen, bevor er erneut eine PIN eingeben muss. Ein ähnlicher, als „No-PIN Transaktion Zähler“ bekannter Mechanismus schränkt die Anzahl der Transaktionen ein, die ohne PIN-Eingabe durchgeführt werden können. Die oben angesprochenen Replay-Angriffe, bei denen eine Transaktion mehrfach wiederholt wird, sind damit auf ein Minimum beschränkt, das finanzielle Risiko für den Kunden soll somit gering bleiben.

Bezahlen mit dem Mobiltelefon bietet mehr Sicherheit

Aufgrund der komplexen Sicherheitsarchitektur von Mobile-Payment-Lösungen ist das Risiko eines Betrugsfalles und finanziellen Verlustes in der Realität nicht größer als beim bei Bezahlen per Kredit- oder EC-Karte. Im Gegenteil: In mancher Hinsicht bietet das Bezahlen via Handy sogar mehr Sicherheit als die herkömmliche Kreditkarte. So muss der Nutzer das NFC-Smartphone beim Bezahlvorgang nicht aus der Hand geben. Außerdem wird er den Verlust seines Handys vermutlich schneller bemerken als den seiner EC- oder Kreditkarte. Dennoch: Ein Restrisiko bleibt immer. Allerdings gilt das auch für das Bezahlen mit Bargeld.

 

* Senior Consultant bei Detecon (Schweiz) AG

Bildquelle: Thinkstock/ iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok