Die Funktechnik NFC macht es möglich, sich mit dem Handy auszuweisen oder bargeldlos innerhalb von Sekunden zu bezahlen. Doch wie sieht es dabei mit der Sicherheit und dem Schutz persönlicher Daten aus?
Die Near Field Communication (NFC) ist eine Kurzstreckenfunktechnik, die in Kombination mit einem Handy den Austausch von Kontaktdaten oder ein besonders einfaches und schnelles Bezahlen erlaubt. Mit der Smartphone-Geldbörse kann man bargeldlos Tickets und Fahrkarten einkaufen oder im Supermarkt und Kaufhaus bezahlen, indem man das NFC-Gerät an der Kasse vorbeiführt und die Ware damit bezahlt. Das dauert nur wenige Sekunden und wird komplett berührungsfrei erledigt, sofern der Abstand zwischen Handy und Lesegerät nicht mehr als 10 Zentimeter beträgt.
Mittlerweile tummeln sich insbesondere in den USA einige NFC-Bezahldienste, allen voran die Google Wallet, eine elektronische Geldbörse, die derzeit allerdings nur auf dem Google Nexus S-Smartphone läuft. Hierzulande ist die Begeisterung für NFC noch etwas verhaltener, was sicher auch daran liegen dürfte, dass es derzeit nur wenige solcher Dienste gibt und sie ebenso selten überregional verfügbar sind.
Dass es bislang kaum NFC-taugliche Handys wie etwa das Nokia C7-00, das oben erwähnte Nexus S oder das seit April 2012 verfügbare Panasonic Eluga gibt, wollen wir an dieser Stelle dezent ausblenden. Der Einfachheit halber haben wir die Mobiltelefone trotzdem als Beispiel für eine Geräteklasse gewählt, die NFC unterstützt, denn entscheidend ist letztlich die zugrundeliegende Technik. Die läuft unabhängig vom Handy- oder Smartphone-Modell oder einem beliebigen anderen NFC-Gerät vordergründig sehr unkompliziert ab, setzt im Hintergrund aber eine enge Zusammenarbeit der am Datentransfer beteiligten Komponenten voraus. Deren Funktionen regeln zahlreiche internationalen Normen wie etwa ISO 14443 und ISO 18092.
Uns interessiert an dieser Stelle besonders der Sicherheitsaspekt der NFC-Bezahlverfahren. So praktisch es sich auch anhört, das Einkaufen bequem per Handy zu erledigen, so sehr drängen sich dabei zahlreiche Fragen nach der Sicherheit auf. Welche Maßnahmen ergreifen die Anbieter, damit der per Funk überwiesene Geldbetrag auch auf dem richtigen Konto landet, wie geht man bei Verlust des Handys vor und was droht einem in diesem Fall? Diesen und anderen Fragen rund um das Thema Sicherheit und Datenschutz bei NFC gehen wir im Folgenden nach.
Was mich jetzt aber noch interessiert: Nehmen wir mal den Fall ich habe gerade mit meinem NFC-Smartphone bezahlt, die dafür zuständige App läuft noch ich habs eilig und sperre den bildschirm und stecke mein Handy in die Tasche. Jetz fahre warte ich an einer Bushaltestelle und ein Dieb schleicht sich heran und hat ein NFC-Lesegerät dabei. Alles was er jetzt tun muss ist sich auf 10cm meinem Handy zu nähern und er kann sich über 25€ freuen. Klar das klingt zwar etwas unglaubwürdig, aber es eröffnet doch weiter Möglichkeiten und bisher haben Menschen erst wenige Möglickeiten schnell und einfach an Geld zu komen verpasst.
Nungut, dasselbe Problem würde bei Smartcards auch zutreffen .. die würden dann nichtmal piepen...
Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...
Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.
Ich kann die Frage zumindest für die deutsche Geldkarte beantworten, die es mittlerweile mit RFID-Technik gibt. Theoretisch und auch praktisch ist das unbemerkte Abbuchen von einer solchen Geldkarte zunächst kein großes Problem.
Das eigentliche Problem für den Dieb ergibt sich hinterher. Nämlich selbst an die gestohlene Kohle zu kommen. Der Geldbetrag wird beim "Bezahlen" auf eine sogenannte Händlerkarte geladen. Und die gibt es nicht anonym an der nächsten Straßenecke. Dafür ist mindestens die gleiche Identifikation nötig, die man zur Eröffnung eines Bankkontos braucht. Und Geldbeträge auf einer Händlerkarte werden bei Einreichung der sogenannten XBZ-Datei (ist ähnlich einer DTAUS-Datei) immer nur auf das verbundene Bankkonto überwiesen. Barauszahlung oder Ähnliches is nich...
Wenn nun der Bestohlene merkt, das da Geld von der Karte verschwunden ist, braucht er sich nur die letzte(n) Transaktion(en) anzuschauen. Das geht z.B. mit dem kostenfreien Programm "Chipcard-Master". Damit kann er die Händlerkartennummer des Diebes lesen. Und mit einer Anzeige bei der Polizei ist diese dann nicht mehr nur "gegen Unbekannt". D.h., wenn da mehr als zwei Leute Anzeige erstatten, hat der Besitzer der Händlerkarte ein echtes Problem.
da seh ich aber auch zu nachteilen der händler eine extreme exploit gefahr
Das wäre Vortäuschung einer Straftat. Gibt's überall, dass Leuten Gesetzbrüche angehängt werden. Ist beim kontaktlosen Bezahlen nicht wahrscheinlicher als sonst.
Außerdem muss die Zahlung durch ein Klick auf das Handy bestätigt werden (jedenfalls bei einigen Lösungen). Von daher wird es nicht so einfach sein, mit dem Kassenterminal auf Streifzug zu gehen.