Anmelden mit
Registrieren | Anmelden

Hintergrund: NFC und die Sicherheit

Hintergrund: NFC und die Sicherheit
Von

Die Funktechnik NFC macht es möglich, sich mit dem Handy auszuweisen oder bargeldlos innerhalb von Sekunden zu bezahlen. Doch wie sieht es dabei mit der Sicherheit und dem Schutz persönlicher Daten aus?

Die Near Field Communication (NFC) ist eine Kurzstreckenfunktechnik, die in Kombination mit einem Handy den Austausch von Kontaktdaten oder ein besonders einfaches und schnelles Bezahlen erlaubt. Mit der Smartphone-Geldbörse kann man bargeldlos Tickets und Fahrkarten einkaufen oder im Supermarkt und Kaufhaus bezahlen, indem man das NFC-Gerät an der Kasse vorbeiführt und die Ware damit bezahlt. Das dauert nur wenige Sekunden und wird komplett berührungsfrei erledigt, sofern der Abstand zwischen Handy und Lesegerät nicht mehr als 10 Zentimeter beträgt.

Mittlerweile tummeln sich insbesondere in den USA einige NFC-Bezahldienste, allen voran die Google Wallet, eine elektronische Geldbörse, die derzeit allerdings nur auf dem Google Nexus S-Smartphone läuft. Hierzulande ist die Begeisterung für NFC noch etwas verhaltener, was sicher auch daran liegen dürfte, dass es derzeit nur wenige solcher Dienste gibt und sie ebenso selten überregional verfügbar sind.

Google Wallet ist in Deutschland noch nicht verfügbar.Google Wallet ist in Deutschland noch nicht verfügbar.

Dass es bislang kaum NFC-taugliche Handys wie etwa das Nokia C7-00, das oben erwähnte Nexus S oder das seit April 2012 verfügbare Panasonic Eluga gibt, wollen wir an dieser Stelle dezent ausblenden. Der Einfachheit halber haben wir die Mobiltelefone trotzdem als Beispiel für eine Geräteklasse gewählt, die NFC unterstützt, denn entscheidend ist letztlich die zugrundeliegende Technik. Die läuft unabhängig vom Handy- oder Smartphone-Modell oder einem beliebigen anderen NFC-Gerät vordergründig sehr unkompliziert ab, setzt im Hintergrund aber eine enge Zusammenarbeit der am Datentransfer beteiligten Komponenten voraus. Deren Funktionen regeln zahlreiche internationalen Normen wie etwa ISO 14443 und ISO 18092.

So funktioniert das kontaktlose Bezahlen mit Google Wallet.So funktioniert das kontaktlose Bezahlen mit Google Wallet.

Uns interessiert an dieser Stelle besonders der Sicherheitsaspekt der NFC-Bezahlverfahren. So praktisch es sich auch anhört, das Einkaufen bequem per Handy zu erledigen, so sehr drängen sich dabei zahlreiche Fragen nach der Sicherheit auf. Welche Maßnahmen ergreifen die Anbieter, damit der per Funk überwiesene Geldbetrag auch auf dem richtigen Konto landet, wie geht man bei Verlust des Handys vor und was droht einem in diesem Fall? Diesen und anderen Fragen rund um das Thema Sicherheit und Datenschutz bei NFC gehen wir im Folgenden nach.

10 Kommentare anzeigen.
Sortieren nach: Neueste zuerst | Älteste zuerst
  • Brat , 20. April 2012 20:11
    danke für den artikel, ich fands sehr interessant. ist man jetzt imstande über mastercard paypass sagen wir ~100x 25 euro auszugeben, da bei diesen betrag ja weder pin noch unterschrift gefordert wird ?
  • Symbianfreak@guest , 20. April 2012 22:27
    Der Artikel ist wirklich klasse, ich habe mich schon lange gefragt, wie es ei NFC denn um die Sicherheit bestellt ist, weil immer angepriesen wird das wär alles viel einfacher und sicherer als mit einer EC-Karte.
    Was mich jetzt aber noch interessiert: Nehmen wir mal den Fall ich habe gerade mit meinem NFC-Smartphone bezahlt, die dafür zuständige App läuft noch ich habs eilig und sperre den bildschirm und stecke mein Handy in die Tasche. Jetz fahre warte ich an einer Bushaltestelle und ein Dieb schleicht sich heran und hat ein NFC-Lesegerät dabei. Alles was er jetzt tun muss ist sich auf 10cm meinem Handy zu nähern und er kann sich über 25€ freuen. Klar das klingt zwar etwas unglaubwürdig, aber es eröffnet doch weiter Möglichkeiten und bisher haben Menschen erst wenige Möglickeiten schnell und einfach an Geld zu komen verpasst.
  • gastler@1338630830@guest , 22. April 2012 13:06
    interessanter einwand symbianfreak. Man stelle sich vor, jemand hat ein Gerät eingesteckt, dass sich verhält wie eine NFC-Kasse und ständig Transaktionen "fordert". Marschiert man nun damit durch eine Menschenmenge (bspw. UBahn oder Konzert) so könnte das ein lukrativer Beutezug werden.
    Nungut, dasselbe Problem würde bei Smartcards auch zutreffen .. die würden dann nichtmal piepen...
  • robinx@guest , 23. April 2012 08:01
    Wenn ich Bedenke, dass mommentan Skimming Module in Geldautomaten installiert werden, was genau hält zukünftige Diebe davon ab NCF Geräte in Türrahmen zu installieren und jeder der Vorbei geht verliert 25€
  • kmueho , 23. April 2012 11:53
    @symbianfreak
    Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
    Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...

    Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.
  • Brat , 23. April 2012 21:33
    Zitat :
    @symbianfreak
    Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
    Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...

    Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.


    da seh ich aber auch zu nachteilen der händler eine extreme exploit gefahr
  • kmueho , 24. April 2012 10:54
    @Brat:
    Das wäre Vortäuschung einer Straftat. Gibt's überall, dass Leuten Gesetzbrüche angehängt werden. Ist beim kontaktlosen Bezahlen nicht wahrscheinlicher als sonst.
  • jasper123@guest , 25. April 2012 11:36
    soviel ich weiß, wird die PIN auch bei Beträgen unter 25 Euro in (un)regelmäßigen Abständen abgefragt.
    Außerdem muss die Zahlung durch ein Klick auf das Handy bestätigt werden (jedenfalls bei einigen Lösungen). Von daher wird es nicht so einfach sein, mit dem Kassenterminal auf Streifzug zu gehen.
  • Brat , 25. April 2012 13:04
    schade eigentlich ;) 
  • chrisu_wue@guest , 26. April 2012 18:55
    RIM hat mit den 9810 und 9900 auch 2 NFC fähige Geräte im Angebot!!!
Ihre Reaktion auf diesen Artikel