Wie sicher ist bezahlen mit dem Handy? Google / Apple Pay

Is Google Apple Pay safe - Hacking Series Tutorial Steffen Lippke

Wie sicher ist das Bezahlen mit dem Handy?

Dieser Beitrag erklärt wie sicher das Bezahlen mit dem Handy ist und wie sicher der Prozess ist.

Starten wir!

Wie funktioniert das Bezahlen mit dem Handy?

Das Bezahlen mit dem Handy ist sehr ähnlich zu dem kontaktlosen Bezahlen mit der Kreditkarte / Debitkarte. Die Grundlage ist hier die Near Field Communication (NFC) , welche Daten zwischen zwei elektronischen Geräten in beide Richtungen über eine sehr kurze Distanz (4 cm oder weniger) übertragt. Deine Plastikkarte ist passiv und funktioniert ohne Strom. Die Daten sind fix eingebrannt. Ein Smartphone kann diese Übertragung aktiv beeinflussen und so zwischen verschiedenen Karten wechseln.

Für die Nutzung von NFC brauchst Du ein Smartphone mit einem NFC-Chip, welcher eine dünner, großflächiger Chip mit Antennen und Schaltkreisen ist.

Im Jahr 2010 erhielt das erste Handy einen NFC-Chip – heutzutage ist dieser in den meisten Handys standardmäßig eingebaut.

Steffen Lippke

Dein Smartphone leitet Strom in diesen Chip, welcher elektromagnetische Impulse versendet. Über die Induktion (Umwandlung von elektromagnetischen Impulsen in Strom) kann die Antenne die Signale empfangen und weiterverarbeiten.

Der Empfänger sendet absichtlich ein schwaches Signal mit 13,56 Megahertz aus. Damit eine Kommunikation stattfindet, müssen Empfänger fast unmittelbar zusammen liegen. Der Empfänger muss aktiv elektromagnetische Strahlung erzeugen, während die andere Seite passiv (z. B. die Kreditkarte) auf die Impulse wartet.

Wie sicher ist diese Übertragung?

Im Gegensatz zu W-LAN ist NFC absichtlich auf geringe Distanzen ausgelegt.

Dein W-LAN Signal ist im besten Fall mit WPA-3 verschlüsselt und keiner kann mithören. Bei den NFC Standard soll es möglich sein unkompliziert Daten auszutauschen. Die NFC startet nur die eine sichere Verbindung. Dein Smartphone / Kreditkarte sagt dem Kassenterminal nur, mit welchen Konto das Kassenterminal kommunizieren soll. Jeder kann das Signal abhören, der nah genug herankommt.

Viele Banken haben eine Freigrenze von 50 €. Das Smartphone dran halten und schon ist bezahlt. Wenn Du jetzt ein Produkt für 51 € kaufen willst, muss Du noch eine PIN eingeben. Die Freigrenze bringt ein kleines Risiko mit sich, welches die Banken akzeptieren. Viele Kunden geben ohne PIN mehr und schneller Geld aus. Falls ein Krimineller ein solches Kassenterminal besitzt, kannst Du die Transaktion bei der Bank als illegal melden. Die Bank kann das Geld in den meisten Fällen zurückholen, weil Transaktionen verfolgbar sind.

Nah oder fern – Sicher geht anders!

Auch wenn die das Signal nur 4 cm reicht, sind Angriffe möglich:

  1. Das erste Gerät greift das Signal von der NFC-Sender-Karten ab
  2. Das erste Gerät wandelt das Signal in W-LAN um
  3. Das zweite Gerät empfängt die W-LAN-Signale und wandelt diese wieder um
  4. Das zweite Gerät überträgt zum NFC-Empfänger die NFC Signale weiter

Modifikation möglich

Dabei kann der Angreifer die Signale modifizieren, wenn dieser das möchte. Die NFC-Übertragung garantiert nicht, dass die Signale verschlüsselt und unverändert übertragen werden. Damit kann ein Angreifer beispielsweise an einer Kasse zahlen, ohne dass Du im gleichen Raum sein musst.

Das kann Dein Handy mit NFC machen

Das NFC Modul Deines Geräts verwaltet das Betriebssystem Android. Apps können diese Funktechnik in drei verschiedenen Modi verwenden:

Lesen und Schreiben – Viele Anwendungsfälle

Dein Handy kann einen passiven NFC Tag (ohne Strom) beschreiben oder auslesen. NFC-Tags sind Plastikkarten bzw. Aufkleber, welche einen NFC-Schaltkreis beinhalten. Durch die gesendeten Signalen und den induzierten Strom kannst Du die passiven Plastik-Metallarten mit Daten beschreiben. Diese verwendet die Industrie, z. B. um Waren zu labeln.

Datenaustausch – Die Hauptaufgabe

Zwischen zwei aktiven NFC-Chips z. B. Zwischen zwei Handys kannst Du Nachrichten senden bzw. allgemein Daten austauschen. Dieser Modus verwendest Du, wenn Du an der Kasse stehst und zahlst. Das Kassenterminal sendet Dir z. B. Die Information, wohin das Geld überwiesen werden soll.

Kartenemulation – Karten nachahmen

Alle Deine NFC-fähigen physischen Karten kannst Du mit einer Wallet-App digitalisieren. Der NFC-Schaltkreis Deines Handys beschreibt sich, sodass ein anderer Sensor glaubt es handelt sich um eine passive Karte.

Tief integrierte Verschlüsselung

Die neuen Android- und iOS-Smartphones verwenden einen Sicherheitschip, welcher selbst ein eigenständiger Computer ist. Dieser tätigt nur kryptologische Aufgaben und ist z. B. Auch für Dein Wallet zuständig. Dieser Computer speichert z. B. Schlüssel, welche der Hauptcomputer Deines Handys nicht einsehen kann. Der Chip überwacht alle Bestandteile des Systems und des Bootprozesses (Hochfahren).

Ablauf eine NFC-Zahlung

Zuerst musst Du zu Hause einmalig Dein Giro- oder Kreditkarte mit der Wallet verbinden. Hierzu findest Du eine Anleitung bei Diener Bank. Wenn Du durch diesen Prozess durch bist, kannst Du zum Einkaufen gehen.

In Deutschland bietet nicht jeder Händler jeden Beizahldienstleister an oder besitzt gar ein Terminal für NFC. Die NFC-Zahlung oder die Verwendung von Kreditkarten ist für kleine Unternehmen teurer und die notwendige Hardware muss gekauft sein. In Norwegen kannst Du fast überall mit Karte oder Handy zahlen. Das liegt zum Teil an der Kultur und der Gesellschaft:

Falls Du in Deutschland doch einen Händler gefunden hast (oft an den Logos in der Tür erkennbar), kannst Du dort einkaufen gehen.

  1. Suche nach dem NFC-Symbol am Terminal oder der Kassierer verweist dich auf eine Stelle.
  2. Entsperre Dein Handy
  3. Halte Dein Smartphone dicht an das Terminal. Diese müssen sich nicht berühren
  4. Je nach Terminal oder Betrag musst Du die Transaktion nochmal mit einer PIN am Terminal oder am Smartphone freigeben.
  5. Die Zahlung erfolgt, wenn das Terminal piept oder der Bildschirm die Transaktion als erfolgreich anzeigt.

Bleiben meine Transaktionsdaten privat?

In Deutschland hast Du die Möglichkeit Apple Pay, Samsung Pay oder Google Pay zu verwenden. Diese Systeme lassen sich mit einigen Kreditkarten oder Girokarten von Banken verknüpfen. Die digitalen Bezahldienstleister sind selbst (noch) keine Banken, helfen aber dabei die Transaktion durchzuführen. Als Mittelsmann reichen sie die notwendigen Daten durch:

  • Betrag zum Bezahlen
  • Warenname
  • Ort und Händler
  • Datum und Uhrzeit
  • Verwendetes Gerät
  • Verwendete verkünpfte Bank

Ein Dienstleister für alles – Daten-Dystopie

All diese Informationen sind aus Sicht der Zahlungsdienstleister sehr wertvoll, weil die Google mit seiner Werbeplattform Adsense die passende Werbung dem Kunden auf Webseiten und in Apps einspielen kann. Wenn der Kunde für ein Produkt bereits Geld ausgegeben hat, dann passiert das in Zukunft sehr wahrscheinlich wieder.

Der Zahlungsdienstleister ist so freundlich und erstellt direkt Analysen, ob es sich hier um Betrug handeln könnte. Falls ein Betrüger die digitale Karte einsetzt, kann die Auswertung der Daten dazu beitragen, dass die Bank die Karte rechtzeitig noch sperren kann.

Der Zahlungsdienstleister arbeitet auch dann als Bonitätsstelle wie die Schufa, nur das der Anbieter noch viel mehr Daten über die Person zur Verfügung hat als die Schufa.

Wo bleiben die Alternativen?

Wer jetzt sagt „Ich wechsele zu einer Open Source App“ – den muss ich enttäuschen:

Bis jetzt gibt es noch eine Open Wallet, weil die meisten Zahlungs- / Kartendienstleister mit großen Big-Tech-Konzern kooperieren wollen, anstatt ein Open Source Entwicklung zu unterstützen. Die Banken bevorzugen die Bonitätsauskunft und die Datenanalyse und geben ihr Privileg der Zahlungsabwicklung dafür weiter. Die Personen, die ihre Daten als schützenswert betrachten, bleiben im Regen stehen.

„Daten sparsamere“ Alternative

Wenn Du nicht willst, dass der Anbieter Deine Transaktionsdaten für Werbezwecke weiternutzt, dann verwende doch die Karte direkt. Die Karte ist ein passiver NFC-Tag, welcher Daten zum Terminal übermitteln kann. Die meisten Karten sind heute damit ausgestattet, weil die Banken wollen das wir mehr bargeldlos kaufen.

Beste Alternative

Wenn Du anonym zahlen willst, musst Du Dein Bargeld nutzen. Selbst die Banken, auch wenn sie der DSVGO unterliegen, können die Daten weiterverwenden. Besonders interessant ist z. B. Die Vergabe von Krediten, wenn der Kunde jeden Monat knapp bei Kasse ist. Mit Bargeld ist das kein Problem mehr.

Die Webseite nutzt nur technisch notwendige Cookies.