Anmelden mit
Registrieren | Anmelden

Fazit: Ohne Vertrauen geht es nicht

Hintergrund: NFC und die Sicherheit
Von

Wer eine Kredit- oder Debitkarte für Einkäufe verwendet, muss der Gegenseite ein Mindestmaß an Vertrauen entgegenbringen – etwa dem Kellner, der die Karte an sich nimmt und damit zur Kasse geht oder dem Lesegerät, in das die Karte gesteckt wird. Der Kellner könnte in einem unbemerkten Moment die Kartendaten kopieren und das Lesegerät möglicherweise über eine Vorrichtung zum Ausspionieren der PIN-Nummer verfügen. Ohne Vertrauen läuft auch bei den NFC-Bezahldiensten nichts, und daher werben deren Anbieter mit Sicherheitsstandards, die mit denen der EC- und Kreditkarten vergleichbar sind und in einigen Punkten sogar darüber hinaus gehen.

Damit das Geld der Kunden nicht in die falschen Hände gerät, gehört es beispielsweise zum guten Ton, dass eine Bezahl-App wie die Google Wallet mit einem PIN-Code vor unbefugtem Zugriff geschützt ist, Transaktionen über 25 Euro ebenfalls die Eingabe einer PIN oder eine Unterschrift erfordern und sämtlicher Datentransfer zwischen Handy und Lesegerät verschlüsselt abläuft. Letzteres tut auch Not, da die NFC-Spezifikation eine Verschlüsselung zwar nicht vorsieht, deren nachträglichen Einbau aber ohne weiteres möglich macht. Unabhängig vom Handymodell sorgt der NFC-Chip selbst für Sicherheit, denn er kann andere auf dem Gerät gespeicherte Daten nicht auslesen oder weiterleiten. Den umgekehrten Weg, mittels Malware oder dem Ausnutzen von Sicherheitslücken an die Informationen des NFC-Bereichs zu kommen, beugt man auf Hardwareseite teilweise schon vor, etwa mit NFC-Chips von Infineon, die ab Werk eine Chiffrierung einsetzen. In der Summe sorgen die Sicherheitsmechanismen dafür, dass der Verlust des NFC-Handys nicht in einem leergeräumten Konto endet und sich die virtuellen Konten abhanden gekommener Mobilgeräte ebenso leicht sperren lassen wie EC- oder Kreditkarten.

Letztlich liegt es an den NFC-Dienstleistern, ob sie das Vertrauen der Kunden dauerhaft halten können, und dabei haben sie zumindest in Deutschland noch einen weiten Weg vor sich. Die Rede ist dabei nicht einmal von den bekannt gewordenen Sicherheitslücken in Google Wallet oder dem unlängst erfolgten Diebstahl von rund 1,5 Millionen MasterCard-Kreditkartennummern, sondern von der allgemeinen Skepsis gegenüber dem virtuellen Geld. Laut einer Untersuchung der Unternehmensberatung Fritz & Partner kann sich nur jede vierte von 1000 dazu befragten Personen vorstellen, seine Einkäufe künftig mit dem Handy zu bezahlen. Für 54 Prozent kommen mobile Bezahlsysteme dagegen gar nicht in Betracht und für nur 28 Prozent ist NFC eine gleichwertige Alternative zu den etablierten Bezahldiensten.

Alle 10 Kommentare anzeigen.
Sortieren nach: Neueste zuerst | Älteste zuerst
  • Brat , 20. April 2012 20:11
    danke für den artikel, ich fands sehr interessant. ist man jetzt imstande über mastercard paypass sagen wir ~100x 25 euro auszugeben, da bei diesen betrag ja weder pin noch unterschrift gefordert wird ?
  • Symbianfreak@guest , 20. April 2012 22:27
    Der Artikel ist wirklich klasse, ich habe mich schon lange gefragt, wie es ei NFC denn um die Sicherheit bestellt ist, weil immer angepriesen wird das wär alles viel einfacher und sicherer als mit einer EC-Karte.
    Was mich jetzt aber noch interessiert: Nehmen wir mal den Fall ich habe gerade mit meinem NFC-Smartphone bezahlt, die dafür zuständige App läuft noch ich habs eilig und sperre den bildschirm und stecke mein Handy in die Tasche. Jetz fahre warte ich an einer Bushaltestelle und ein Dieb schleicht sich heran und hat ein NFC-Lesegerät dabei. Alles was er jetzt tun muss ist sich auf 10cm meinem Handy zu nähern und er kann sich über 25€ freuen. Klar das klingt zwar etwas unglaubwürdig, aber es eröffnet doch weiter Möglichkeiten und bisher haben Menschen erst wenige Möglickeiten schnell und einfach an Geld zu komen verpasst.
  • gastler@1338630830@guest , 22. April 2012 13:06
    interessanter einwand symbianfreak. Man stelle sich vor, jemand hat ein Gerät eingesteckt, dass sich verhält wie eine NFC-Kasse und ständig Transaktionen "fordert". Marschiert man nun damit durch eine Menschenmenge (bspw. UBahn oder Konzert) so könnte das ein lukrativer Beutezug werden.
    Nungut, dasselbe Problem würde bei Smartcards auch zutreffen .. die würden dann nichtmal piepen...
  • robinx@guest , 23. April 2012 08:01
    Wenn ich Bedenke, dass mommentan Skimming Module in Geldautomaten installiert werden, was genau hält zukünftige Diebe davon ab NCF Geräte in Türrahmen zu installieren und jeder der Vorbei geht verliert 25€
  • kmueho , 23. April 2012 11:53
    @symbianfreak
    Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
    Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...

    Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.
  • Brat , 23. April 2012 21:33
    Zitat :
    @symbianfreak
    Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
    Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...

    Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.


    da seh ich aber auch zu nachteilen der händler eine extreme exploit gefahr
  • kmueho , 24. April 2012 10:54
    @Brat:
    Das wäre Vortäuschung einer Straftat. Gibt's überall, dass Leuten Gesetzbrüche angehängt werden. Ist beim kontaktlosen Bezahlen nicht wahrscheinlicher als sonst.
  • jasper123@guest , 25. April 2012 11:36
    soviel ich weiß, wird die PIN auch bei Beträgen unter 25 Euro in (un)regelmäßigen Abständen abgefragt.
    Außerdem muss die Zahlung durch ein Klick auf das Handy bestätigt werden (jedenfalls bei einigen Lösungen). Von daher wird es nicht so einfach sein, mit dem Kassenterminal auf Streifzug zu gehen.
  • Brat , 25. April 2012 13:04
    schade eigentlich ;) 
  • chrisu_wue@guest , 26. April 2012 18:55
    RIM hat mit den 9810 und 9900 auch 2 NFC fähige Geräte im Angebot!!!
Ihre Reaktion auf diesen Artikel