12.07.2012, 10:23

Arne Arnold, Moritz Jäger

Sicherheit

Zahlung per NFC - bequem aber sicher?

Bezahlen per NFC und Handy ©Infoworld.com

Einige Banken und Kreditinstitute setzen verstärkt auf NFC-fähige Karten, entsprechende Handys stehen ebenfalls in den Startlöchern. Doch wie funktioniert eigentlich NFC, wo kann ich damit schon bezahlen und wie sicher ist die Technik?
Wie man seine Brötchen mit Bargeld bezahlt, haben wir schon als Kind beim Spielen im Kaufmannsladen gelernt. Das klappt ganz gut. Wer dieses bewährte Verfahren ändern möchte, muss gute Gründe haben – etwa ein starkes finanzielles Interesse. Tatsächlich testen zurzeit die Sparkassen und Raiffeisenbanken sowie einige weitere Kreditinstitute ein neues Bezahlverfahren: Es ist das berührungslose Bezahlen per NFC-Technik.

So funktioniert NFC – berührungsloses Bezahlen von kleinen Beträgen

Mit der Technik NFC (Near Field Communication ) können Sie kleine Beträge bezahlen. Die Grenze liegt je nach Anbieter bei 20 bis 25 Euro. Sie benötigen eine Bank- oder Kreditkarte mit einem eingebauten NFC-Chip oder ein NFC-fähiges Handy, das für die Bezahlung aktiviert ist. Sie halten das Handy oder die Bankkarte vor ein Bezahlterminal. Der Abstand zwischen Terminal und Karte darf nur wenige Zentimeter betragen. Das Terminal zeigt den fälligen Betrag in einem Display an und gibt über einen Signalton bekannt, wenn der Betrag erfolgreich von der Karte abgebucht wurde. Ein „OK“-Knopf zur Bestätigung für den Kunden ist nicht vorgesehen. Denn beim Bezahlen per NFC soll es ums Tempo gehen. Ein englischsprachiges Demo-Video vom Kreditkartenhersteller Visa gibt es hier . Bei der Bezahlung per NFC-Smartphone werden die Nutzer vermutlich eine PIN für Ihr Handy benötigen. Sicher ist das aber noch nicht.

Das brauchen Sie fürs Bezahlen mit der NFC-Technik

Bezahlen per NFC-Bank- oder -Kreditkarte: Als Vorreiter beim bargeldlosen Bezahlen in Deutschland präsentieren sich zurzeit die Sparkassen sowie die Raiffeisenbanken. Die Sparkassen alleine wollen dieses Jahr an alle ihre 45 Millionen Kunden neue EC-Karten (SparkassenCards) mit eingebautem NFC-Chip ausgeben. Das geschieht für die Kunden ohne Zusatzkosten. Das System wird bei den Sparkassen und Raiffeisenbanken auch als „Girogo“ bezeichnet.
Die beiden großen Kreditkarten-Anbieter Mastercard und Visa verteilen ebenfalls bereits neue Karten, die mit den NFC-Programmen Paywave (Visa) und Paypass (Mastercard) ausgestattet sind. In Deutschland beziehen die meisten Kunden ihre Kreditkarten über ihre Hausbank. Die Banken sind bisher aber noch nicht besonders aktiv beim Wechsel auf NFC. Zwar hat Visa mit etlichen Banken Verträge geschlossen, etwa BW-Bank, comdirect, DKB, Landes Bank Berlin, Targobank, Volkswagen Bank und der Postbank, doch scheinen die Banken erst mal beobachten zu wollen, welche Erfahrungen die Sparkassen mit Ihrem Pilotprojekt machen. Entsprechend gibt es hierzulande bisher nur wenige NFC-fähige Kreditkarten. Die Postbank etwa wird im Laufe des Jahres nur Ihre Premium- und Platin-Kreditkarten mit der NFC-Technik ausstatten.
In den Nachbarländern sieht das übrigens anders aus. Visa hat in Frankreich, Italien, Polen, Schweiz, Türkei, Slowakei und Großbritannien in 2011 bereits 30 Millionen Paywave-Karten ausgegeben. Für dieses Jahr rechnet Visa damit, dass in diesen Ländern rund 50 Millionen Karten im Umlauf sein werden. Ob Ihre Kreditkarte vielleicht doch schon mit der Paywave- oder Paypass-Zusatzfunktion ausgestattet ist, erkennen Sie an dem jeweiligen Logo, ähnlich dem Wlan-Symbol auf der Kreditkarte. Die Chancen dafür, dass Sie ein NFC-Karte haben, stehen übrigens nicht ganz schlecht. Denn Mastercard hat diese Technik auch in etlichen anderen Karten untergebracht, etwa in manchen Payback-Plus- oder Miles&More-Karten. Der Branchenverband für den Handel spricht von 1,2 Millionen Paypass-Karten in Deutschland.
Bezahlen per Smartphone: Die NFC-Technik ist bereits auch in einigen neuen Smartphones eingebaut. So bietet etwa das Samsung Galaxy S3 einen NFC-Chip. Doch bezahlen lässt sich mit einem NFC-Smartphone erst dann, wenn dazu auch ein Bezahldienst aktiviert wurde. Google bietet in den USA dafür seinen Dienst Google-Wallet an und kooperiert dabei mit Mastercard. Wann es Google Wallet in Deutschland geben wird, ist noch unklar.
Deutsch Telekom: Erfolgreicher war da die Deutsche Telekom. Zumindest behauptet sie das. Die Telekom will zusammen mit Mastercard ab Ende des Jahres das berührungslose Zahlen mit dem Smartphone ermöglichen. Die Kooperation startet zunächst im europäischen Ausland. Deutsche Kunden sollen ab Anfang 2013 mit einem Angebot rechnen. Damit auch Besitzer älterer Smartphones den neuen Dienst nutzen können, soll es passende Chips zum Nachrüsten geben. Wie das genau aussehen wird, ist noch unklar. Denkbar ist eine Sim-Karte mit NFC-Technik. Mastercard ist außerdem eine Kooperation mit dem kleineren Telekom-Rivalen E-Plus eingegangen. E-Plus will ab Spätsommer die NFC-Bezahlung anbieten.
Vodafone: Visa will dagegen mit Vodafone kooperieren und weltweit zusammen das mobile Bezahlen einführen. So wollen sie insgesamt 398 Millionen Kunden die neue Technik anbieten. Ab wann deutsche Vodafone-Kunden von der Kooperation profitieren können, steht noch nicht fest.
Wer bekommt als erstes die neue Technik
Insgesamt scheinen also im Jahr 2012, als erstes die Kunden der Sparkassen und Raiffeisenbanken mit NFC bezahlen zu können. Danach haben vermutlich Kunden von E-Plus und der Telekom die Chance auf das kontaktfreie Berappen der Rechnung. Auch wenn hier die Details noch unklar sind.

So landet das Geld auf dem NFC-Chip

Bei den Bankkarten der Sparkassen müssen die NFC-Chips am Bankautomaten aufgeladen werden, ähnlich wie das bisher auch schon mit der Geldkarte funktioniert. Die Visa-Kreditkarten müssen dagegen nicht extra aufgeladen werden. Die Beträge erscheinen einfach in der gewöhnlichen Kreditkartenabrechnung. Das ist sehr bequem. Der Pferdefuß liegt bei der Kreditkarte an einer anderen Stelle: Damit ein Dieb die Karte nicht unbegrenzt oft für Zahlungen per NFC nutzen kann, muss sich der Besitzer der Karte ab und zu mit PIN oder Unterschrift legitimeren. Das könnte sich dann wieder als echter Bremsklotz an der Kassenschlange erweisen.

Vorteile von NFC: Die Banken profitieren am meisten

Das berührungslose Bezahlen hat durchaus seine Vorteile. Überall da, wo sich an einer Kasse lange Schlangen bilden und wo gleichzeitig überwiegend nur kleine Beträge kassiert werden, lässt sich mit NFC deutlich schneller bezahlen. Die Warteschlange wir kürzer, wir Kunden sind schneller fertig, große Geschäfte müssen weniger Kassen anbieten.
In anderen Geschäften könnte mit NFC die Selbstbedienungsstation erweitert werden. So bietet McDonalds schon heute Terminals, bei denen man selber seine Bestellung eintippen kann. Hier würde sich NFC zum Bezahlen anbieten.
Die Kreditwirtschaft preist außerdem weitere Vorteile an. Werner Netzel, Geschäftsführendes Vorstandsmitglied des Deutschen Sparkassen- und Giroverbandes, meint etwa: „Bargeld ist nicht nur ein unhygienisches Zahlungsmittel, es verursacht dem Handel auch einen großen Aufwand. Mit Girogo (die NFC-Karten der Sparkassen – Anm. d. Red.) kann der Handel jetzt kleine Beträge zu wirklich attraktiven Gebühren per Kartenzahlung entgegennehmen. Rund 80 Prozent der Einkäufe im Einzelhandel kosten bis zu 20 Euro. Hier liegt der Bargeldanteil mit 95 Prozent noch besonders hoch. Diesen wollen wir senken.“
Die Banken profitieren: Ob der Handel mit dem Bezahlen per Bargeld wirklich „einen großen Aufwand“ hat, darf man getrost bezweifeln. Zutreffender dürfte sein, dass die Banken mit dem Lagern und Ausgeben von Bargeld einigen Aufwand, also Kosten haben. Diese Kosten könnte sich die Kreditwirtschaft sparen, wenn der Handel das neue elektronisch Zahlungsmittel NFC nutzt. Denn die Kosten für das Bezahlterminal trägt der Einzelhändler, von dem Umsatz, der über das Terminal läuft, muss er dem Terminal-Anbieter etwas abgeben. Und dieser Betreiber führt wiederum eine Umsatzbeteiligung an die Kreditwirtschaft ab. Diese hat also die geringste Arbeit mit dem neuen System, profitiert aber finanziell gesehen am meisten: Sie kassiert bei NFC mit und muss gleichzeitig weniger Bargeld bewegen. Doch bevor Banken und Kreditkarten abkassieren können, muss sich das System in Deutschland erst mal verbreiten. Doch bei der Verbreitung sieht es noch ganz schön düster aus.

Hier können Sie per NFC bezahlen

Selbst wenn Sie bereits eine NFC-Karte besitzen, heißt das noch lange nicht, dass Sie damit auch schon groß bezahlen könnten. Die besten Chancen habe Sie zurzeit im Großraum Hannover und den Städten Hildesheim, Braunschweig und Wolfsburg. Seit dem 17. April 2012 läuft dort ein groß angelegtes Pilotprojekt. NFC-Terminals zum Bezahlen gibt es in diesen Städten etwa bei den DM Drogeriemärkten, Edeka, Jet und McDonalds. In Frankfurt sollen 1400 Taxen mit NFC-Chips ausgestattet werden.
Die Sparkassen als Vorreiter bei der Verbreitung der NFC-Technik haben zudem noch Esso als landesweiten Partner gewinnen können. Esso will im Laufe des Jahres alle seine Tankstellen mit NFC-Terminals ausrüsten. Auch Douglas will noch dieses Jahr seine Filialen mit der Bezahltechnik versehen. Nun sind allerdings weder Tankstellen noch Parfümerien typische Geschäfte für Waren bis 20 Euro. Es sei denn, man fährt bei Esso mit dem Mofa vor und holt bei Douglas nur eine Sonnencreme.
Bisher scheint also auch der deutsche Handel noch recht zurückhaltenden, was die Einführung von NFC angeht. Ändern könnte sich das vielleicht nach den Olympischen Spielen in London. Dort wurden massiv NFC-Terminals in den Handel gebracht. Wohl auch auf Betreiben von Visa, der ein großer Sponsor der Olympischen Spiele 2012 ist und London in eine Art Show Case für NFC verwandeln möchte. Sollte dort das berührungslose Bezahlen gut ankommen, könnten auch Händler in Deutschland mehr Interesse zeigen.

Gefahren von NFC: Ist das berührungslose Bezahlen sicher?

Die NFC-Technik kann Daten zwar verschlüsselt übertragen, dies ist allerdings nicht zwingend vorgeschrieben. Zudem erlaubt der Standard, dass Daten unverschlüsselt auf der Karte gespeichert werden. Und genau das erweist sich nun wohl als Fehler.
So gelang es dem Sicherheitsforscher Thomas Skora mithilfe eines Android-Handys, die Daten einer Mastercard-Paypass-Karte auszulesen. Er hatte Zugriff auf die Kartennummer, Gültigkeitsdauer, Transaktionen und die ID der Bezahlterminals. Zwar kann man damit keine Karte klonen, allerdings sollten diese sensiblen Informationen eigentlich verschlüsselt auf den Geräten liegen.
Auch der deutsche Sicherheitsforscher Andreas Schiermeier konnte die Daten auslesen. Er knöpfte sich die neuen Sparkassenkarten vor. Laut Schiermeier genügt dazu ein gewöhnliches RFID-Lesegerät, wie es etwa zur Einführung des elektronischen Personalausweises verteilt wurde. Auch Schiermeier entlockte der Karte ihre eindeutige Kennung, die letzten 15 Bezahlvorgänge inklusive der ID-Nummern der Bezahlterminals und die letzten drei Ladevorgänge. Die Sparkassen sehen das als unproblematisch an, da sich die Daten keiner Person zuordnen lassen.
Datenschützer sind empört: Der Datenschutzbeauftragte von Schleswig-Holstein kritisierte die neuen NFC-Karten der Sparkassen: „Das Vorgehen bei der Girogo-Karte ist unprofessionell und unverantwortlich“, sagt Thilo Weichert. „Natürlich ist es ein Leichtes, diese Daten ganz bestimmten Kunden und ganz bestimmten Läden zuzuordnen.“
Und tatsächlich lassen sich Szenarien denken, bei denen die ID-Nummer der NFC-Karte einer Person zugewiesen wird. Hat ein Nutzer etwa zusätzlich zu seiner NFC-Bankkarte eine weitere berührungslos funktionierende Karte in der Tasche, und befindet sich auf dieser der Nutzernamen, kann der Händler beide Daten verbinden. Und auch die ID-Nummern der der Bezahlterminals lassen sich etwa durch einen einmaligen Einkauf kartieren lassen. Das bedeutet zwar scheinbar einen recht hohen Aufwand, ähnliches ist aber bereits geschehen. So waren etwa schon lange vor Google Scanner-Autos unterwegs, die alle Wlan-Routern in Deutschland kartierten hatten, um diese Daten weiterzuverkaufen. Auch eine Landkarte mit NFC-Terminals könnte einiges wert sein.
In diesem Szenario erfährt ein Händler also, wo Sie die letzten 15 Einkäufe per NFC-Technik vorgenommen haben. Dass der Handel ganz scharf auf solche Daten ist, zeigen etwa die Payback-Karten schon seit Langem. Denn Payback soll ja nicht nur die Kundenbindung erhöhen, sondern auch möglichst viele Informationen über den Kunden sammeln.

So schützen Sie sich vor NFC-Spionage

Der beste Schutz gegen ungewolltes Scannen dürfte ein dicker Geldbeutel sein, je mehr Abstand zwischen Leser und Karte herrscht, desto unwahrscheinlicher ist ein Zugriff auf den Chip. Sollte der Spion allerdings eine besonders starke Antenne benutzen, kann er bis zu 10 Zentimeter Distanz zwischen Lesegerät und Karte überbrücken. Wer auf Nummer sicher gehen will, kann sich spezielle Hüllen für seine NFC-Karten besorgen. Für rund 5 Euro gibt’s die etwa bei Cryptalloy. So eine gekaufte Hülle wirkt weniger paranoid, als wenn man sich die Karte in Alufolie einwickelt. Die Schutzwirkung ist aber in beiden Fällen ähnlich gut.
Ob man sich sorgen muss, dass Kriminelle in den Besitz eines NFC-Terminals gelangen und dann im Vorbeigehen Beträge bis 20 Euro aus den Handtaschen der Leute saugen, ist ungewiss. Sollte man bei der eigenen Kontrolle am Bankautomat etwas verdächtig finden, wird die kartenausgebende Bank sicher gerne helfen. Schließlich haben auch die Banken kein Interesse an vagabundierenden NFC-Terminals.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

1507325
Content Management by InterRed