Mobiles Bezahlen – mittlerweile sicher wie noch nie?

Autor/Redakteur: Richard Stooß, Vice President Europe and International bei der Authentic Vision GmbH/gg

Bild 1: Kartenzahlung via Terminal im Café – Foto: Clay Banks/Unsplash

Vorbei sind die Zeiten, in denen Bargeld und Überweisungsträger die sicheren Zahlungsmittel der Wahl waren. Am Point of Sale (PoS), also am Verkaufsstandort, wird heute via Giro- oder Kreditkarte bezahlt. Und neuerdings immer öfter via Mobile Payment per Smartphone. Der Verkaufsstandort ist aber längst nicht mehr ausschließlich der Laden um die Ecke, das Kaufhaus oder das Lieblings-Restaurant.

E-Commerce und Onlineshopping erfreuen sich mehr und mehr an Beliebtheit. Während der Corona-Pandemie steigt der Online-Umsatz zusehends an. Bezahlt wird hier mittels unterschiedlichster Methoden – von Sofortkauf über PayPal bis hin zur Kreditkarte akzeptiert der Onlinehandel je nach Bonität des Kunden alle gängigen Zahlungsarten. Und in den letzten Jahren hat sich einiges getan, um die digitale Zahlung so sicher wie möglich zu gestalten. Das gilt gleichermaßen für eWallets als auch für digitale Kreditkarten: Am physikalischen Standort ist nichts einfacher, als beispielsweise per Near Field Communication (NFC) seine Zahlung zu tätigen. Die Sache hat allerdings einen gewaltigen Haken: Die meisten Deutschen stehen dem mobilen Bezahlen noch kritisch gegenüber.

Bild 2: Kartenzahlung via NFC – Foto: Jonas Leupe/Unsplash

Deutschland eher skeptisch beim Mobile Payment

Was in vielen Ländern mittlerweile selbstverständlich ist, scheint hierzulande der Angst vor mangelnder Sicherheit zum Opfer zu fallen. So zweifeln einer Befragung zufolge rund zwei Drittel der Konsumenten am Mobile Payment. Vordergründig spielen Bedenken bei der Sicherheit und auch beim Datenschutz eine große Rolle bei der Ablehnung. Experten jedoch winken ab und attestieren, dass die technischen Lösungen und Voraussetzungen für ein Höchstmaß an Sicherheit gegeben sind. Dies allerdings nur, wenn man ein paar grundlegende Regeln beachtet.

Eine Selbstverständlichkeit sollte beispielsweise sein, dass sowohl das für Zahlungsvorgänge genutzte Smartphone als auch die verwendete Bezahl-App stets auf dem aktuellsten Stand der Software-Aktualisierungen sind. Man sollte sich bewusst sein, dass bei einem kontaktlosen Zahlvorgang zwei Systeme aufeinandertreffen – und damit auch zwei unterschiedliche, sicherheitsrelevante Faktoren: Die Kreditkarte und das Mobiltelefon. Die realistische Gefahr: Die Daten einer Kreditkarte mit Chip können mithilfe manipulierter Lesegeräte per se ausspioniert werden. Wenn die Kreditkarte mit der Bezahlfunktion des Smartphones gekoppelt ist, können Daten während des Bezahlens zwar abgefangen werden, sie bringen dem Cyberkriminellen aber nicht viel. Jene Informationen, die vom Smartphone zum Karten- beziehungsweise Leseterminal an der Ladenkasse übertragen werden, sind keine identischen Kopien der eigentlichen Bank- oder Kartendaten. Vielmehr werden temporäre, verschlüsselte Codes generiert, die ausschließlich für den aktuellen Bezahlvorgang gelten. Diese Host Card Emulation (HCE) gaukelt also während des Bezahlens per Smartphone vor, dass dieses eine Kreditkarte sei.

Der Haken: Das Koppeln von Handy und Kreditkarte

Doch selbst wenn diese sichere Art des Bezahlens für viele Kunden eine sinnvolle Alternative zum Bargeld ist, stoßen nicht wenige schon an ihre Grenzen, wenn es um die Kopplung der Kreditkarte mit dem eigenen Smartphone geht. Durch das in den meisten modernen Smartphones integrierte Secure Element ist es generell möglich, die oben beschriebene Host Card Emulation zu realisieren.

Bild 3: Online-Payment via Smartphone nur nach Kopplung mit der Kreditkarte – Foto: CardMapr/Unsplash

Alternativ gibt es je nach Bank oder Kreditkartenanbieter auch verschlüsselte Cloud-Lösungen. Eines gemeinsam haben meist alle: Die Payment Services Directive 2 (PSD2) muss erfüllt sein und zur „starken Kundenauthentifizierung“ bedarf es einer zweiten, sicheren Methode. Das macht neben der PIN-Eingabe eine weitere Aktion notwendig – und das schon bei der Verknüpfung einer (neuen) Bank- oder Kreditkarte. Gängige Lösungen wie Aktivierungsbriefe, Passwörter, MyVoiceIsMyPassword oder Filialbesuche werden hierbei oft als zu kompliziert, unzuverlässig oder zeitaufwendig wahrgenommen. Neben den Sicherheitsbedenken ist dies ein weiterer gewichtiger Grund, der Kunden davon abhält, mobiles Bezahlen in den Alltag zu integrieren.