Geldinstitute > Strategie

Status quo: Wie sicher ist Mobile Payment?

Beim Bezahlen mit dem Smartphone ist Deutschland noch Entwicklungsland. Doch das soll sich ändern. Stichwort Google Pay und Apple Pay. Der Einsatz von Fingerabdruck- und ­Gesichtserkennung könnte dabei der Schlüssel zum Erfolg sein.

Bezahlen mit dem Smartphone wird sich auch in Deutschland durchsetzen, allerdings

Bezahlen ist eine Kulturfrage, das zeigt sich beim Online-Shopping ebenso wie an der Ladenkasse. Selbst Nachbarländer ­ticken dabei extrem unterschiedlich. ­Mobile Payment mit dem Smartphone ist an Deutschland bisher fast komplett vorbeigegangen. Aktuelle Zahlen von Statista zu diesem Thema findet man dann auch unter der Überschrift „Mobile Payment läuft in Deutschland noch nicht“[1]. Gerade mal 2,2 Millionen Nutzer sollen 2018 in Deutschland das Bezahlen per Smartphone zumindest ausprobieren. Dass es sich dabei meist wirklich nur um kleine Testkäufe handelt, zeigt das extrem niedrige Transaktionsvolumen von durchschnittlich 80 Euro pro Nutzer. Spitzenreiter bei den reinen Nutzerzahlen ist China mit fast 350 Millionen Menschen. Doch auch in den USA (60,1 Millionen) oder in Großbritannien (12,4 Millionen) ist das Bezahlen mit dem Smartphone bereits angekommen. Beim Transaktionsvolumen pro Nutzer ­liegen dabei die USA mit über 1.800 Euro vorn, gefolgt von Großbritannien (1.683 Euro) und schon ­etwas abgeschlagen Frankreich (667 Euro). Doch diese deutlich höheren Beträge zeigen, in anderen Ländern ist Bezahlen mit dem Smartphone kein Exot mehr.

 

Mobile Payment Aufbruchjahr 2018


Schon seit mehr als 10 Jahren wird immer wieder der Durchbruch für Mobile Payment prophezeit, geworden ist es bisher in Deutschland aber nichts. Versucht haben es viele, neben Start-ups auch große ­Handelsketten und Mobilfunk-Provider. Die Ergebnisse kann man heute noch teilweise sehen, etwa bei Bezahl-Apps von ­Discountern, bei denen Kunden umständlich QR-Codes abfotografieren müssen. Zurecht stellen Kunden hier die Frage, warum man so einen komplizierten Bezahlvorgang mit dem Smartphone durchlaufen soll, wenn man einfacher bar oder mit ­Karte zahlen kann. Doch im Jahr 2018 greifen die großen Player in Deutschland an: Google Pay ist bereits Mitte des Jahres gestartet und Apple hat sich nicht lumpen lassen und ebenfalls den Deutschland-Start von Apple Pay noch für dieses Jahr angekündigt. Da Apple und Google den Smartphone-Markt praktisch zu 100 Prozent abdecken, hat bald fast jeder Smartphone-Nutzer die Möglichkeit, sein Gerät zum Bezahlen zu verwenden. Bezahlt wird bei Apple Pay und Google Pay per NFC (Near Field Communication), also auf dem gleichen kontaktlosen Weg wie das auch Giro- und Kreditkarten machen. Seit dem iPhone 6 verbaut Apple die nötigen NFC-Chips und in fast allen Android-­Geräten steckt auch einer. Auf der Gegenseite profitieren die Smartphone-Bezahlsysteme vom guten Ausbau kontaktloser NFC-Kassenterminals in Deutschland. Vier von fünf Kassen sollen kontaktlose Zahlungen bereits erlauben, bis 2020 sollen es alle sein. Dass in den Läden die Kassen zügig modernisiert werden, darüber wachen vor allem die Kreditkartenanbieter VISA und Mastercard.

 

Kontaktlos per Karte oder App bezahlen


Technisch gesehen ist es dabei völlig egal, ob Kunden an der Kasse kontaktlos per Giro- oder Kreditkarte zahlen oder dafür das Smartphone zücken. Am Ende des ­Tages wird ohnehin über die Karten abgerechnet, denn Apple und Google bieten mit ­ihren Bezahl-Apps sogenannte Wallets an. Das bedeutet, Kunden hinterlegen dort Kreditkartendaten, über die letztendlich die Bezahlung im Hintergrund abgewickelt wird. Vordergründig zücken Kunden an der Kasse aber das Smartphone. Viel mehr ist auch nicht nötig, Kunden halten iPhones einfach in die unmittelbare Nähe eines kontaktlosen Terminals. Per NFC weckt das Terminal das iPhone und zeigt die geforderte Transaktion an. Kunden segnen diese Anfrage dann in Zukunft per Fingerabdruck (Touch ID) oder Gesichtserkennung (Face ID) ab. 


Ähnlich funktioniert das Bezahlen mit Google Pay, wobei das Android-Gerät nicht komplett im Tiefschlaf sein darf. Zumin­­dest das Display muss eingeschaltet sein, dann funktioniert in der Nähe des Terminals die NFC-Transaktion. Bis 25 Euro ist für Google Pay Transaktionen keine Bestätigung nötig. Bei höheren Beträgen auto­risieren Nutzer ihren Einkauf durch PIN-Eingabe oder Fingerabdruck, je nachdem ob das Android-Gerät die entsprechende Hardware eingebaut hat. Dass Biometrie für die Absegnung von Bezahltransaktionen Standard werden dürfte, zeigt die Ausstattung von Smartphones. 60 Prozent der Smartphones, die 2017 auf den Markt ­kamen, bieten bereits den Fingerabdruck als Authentifizierungsmöglichkeit[2]. In der Praxis ist er außerdem schneller und sicherer als die PIN-Eingabe.

 

Biometrie steht für mehr Sicherheit


Biometrische Systeme sind eine bessere ­Alternative zu Passwörtern und PINs, weil sie ein Merkmal des Nutzers verwenden und nicht etwas, das sich Nutzer merken müssen. Denn jedes Wissen zur Absicherung von Transaktionen kann grundsätzlich ausspioniert werden und es funktioniert auch in vielen Fällen, was man bei Phishing-Versuchen im Internet sehen kann: Hat eine fremde Person Girokarte und PIN in Händen, kann sie damit einkaufen und Bezahlungen autorisieren. Ist dafür aber die Bestätigung per Fingerabdruck nötig, klappt das nicht so einfach.

 
Doch auch biometrische Systeme können fehlerhalft sein oder danebenliegen. Apple schlüsselt die Sicherheit seiner biometrischen Systeme auf[3]. Dabei gilt: Die Gesichtserkennung ist sicherer als der Fingerabdruck. Für Face ID erfasst Apple nach eigenen Angaben rund 30.000 Punkte, um damit eine Tiefenkarte des Gesichts zu erstellen. Die Wahrscheinlichkeit, dass eine zufällige Person ein iPhone per Gesichtserkennung entsperren kann, liegt bei 1:1 Million. Bei Touch ID sind es laut Apple 1:50.000. 


Seit dem Start von Apple Pay vor rund vier Jahren gibt es bisher keinen offiziellen ­Betrugsfall; einzig die laxe Überprüfung beim Hinzufügen von Kreditkarten zu Apple Pay bemängelten Sicherheitsexperten[4]. Auch bei Google Pay gibt es bisher keine Berichte über Betrugsfälle, obwohl bis 25 Euro keine Bestätigung der Transaktion gefordert wird und nicht in allen Fällen die PIN-Abfrage durch Biometrie ersetzt wird. Immerhin werden alle Zahlungen auch in Google Pay wenn, dann auf dem Smartphone direkt bestätigt. Das Eintippen von PINs in das Kassenterminal entfällt. Apple nutzt einen geschützten Speicherbereich (Secure Enclave) für das Abspeichern biometrischer Merkmale. Google greift für biometrische Daten auf geschützte Daten innerhalb des zuständigen Sensors oder auf einem separaten Speicherbereich zu. Egal ob Apple oder Google: Biometrische Daten bleiben auf den Geräten gespeichert und verlassen ­diese nicht. Sie lassen sich nicht per Apple-ID oder Google-Konto synchronisieren. Beim Umstieg auf neue Smartphones muss man deshalb immer die biometrischen ­Zugangssysteme neu anlernen.


Tokens sorgen für NFC-Sicherheit


Eine Bezahlung über biometrische Merkmale schnell und sicher auszulösen ist die eine Sache, für Sicherheit von NFC-Zahlungen sorgt aber zusätzlich eine andere Technik. Dabei geht es darum, dass ­zwischen Smartphone und Kasse gar keine echten Bezahldaten ausgetauscht werden, sondern Tokens. Das sind verschlüsselte Transaktionsnummern, mit denen ein Datendieb nichts anfangen kann. Anders als mit einer abgefangenen Kreditkartennummer lässt sich mit einem Token nichts einkaufen. 


Tokens sind dynamisch und ändern sich für jede Transaktion. Sie werden erst in den Netzwerken der Bezahldienstanbieter entschlüsselt und letztendlich dort den sensiblen Bezahldaten zugeordnet. Ein lokaler Angriff auf den Bezahlvorgang lohnt also nicht und ist auch technisch schwer umzusetzen. Angreifer müssen nah ran an ihre Opfer, weil die Nah­funktechnik nur im Umkreis von wenigen Zentimetern um das Kassenterminal funktioniert. Außerdem erkennen die ­Terminals mehrere NFC-Geräte in Reichweite und brechen dann die Transaktion ab. Denkbar wäre es also, dass Angreifer NFC-Transaktionen eher stören als manipulieren.


[1] https://de.statista.com/infografik/13490/prognose-zur-nutzung-von-mobile-payments-am-pos/

[2] https://www.juniperresearch.com/press/press-releases/mobile-biometric-payment-volumes-to-triple-in-2017

[3] https://support.apple.com/de-de/HT208108

[4] https://www.forbes.com/sites/thomasbrewster/2016/03/01/

­apple-pay-fraud-test/