{"id":18340,"date":"2021-03-03T11:00:00","date_gmt":"2021-03-03T10:00:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18340"},"modified":"2021-03-01T10:14:17","modified_gmt":"2021-03-01T09:14:17","slug":"mobiles-bezahlen-mittlerweile-sicher-wie-noch-nie","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18340","title":{"rendered":"Mobiles Bezahlen \u2013 mittlerweile sicher wie noch nie?"},"content":{"rendered":"\n

Autor\/Redakteur: Richard Stoo\u00df, Vice President Europe and International bei der Authentic Vision GmbH<\/a>\/gg<\/p>\n\n\n\n

\"\"<\/a>
Bild 1: Kartenzahlung via Terminal im Caf\u00e9 \u2013 Foto: Clay Banks\/Unsplash<\/figcaption><\/figure>\n\n\n\n

Vorbei sind die Zeiten, in denen Bargeld und \u00dcberweisungstr\u00e4ger die sicheren Zahlungsmittel der Wahl waren. Am Point of Sale (PoS), also am Verkaufsstandort, wird heute via Giro- oder Kreditkarte bezahlt. Und neuerdings immer \u00f6fter via Mobile Payment per Smartphone. Der Verkaufsstandort ist aber l\u00e4ngst nicht mehr ausschlie\u00dflich der Laden um die Ecke, das Kaufhaus oder das Lieblings-Restaurant.<\/p>\n\n\n\n\n\n\n\n

E-Commerce und Onlineshopping erfreuen sich mehr und mehr an Beliebtheit. W\u00e4hrend der Corona-Pandemie steigt der Online-Umsatz zusehends an. Bezahlt wird hier mittels unterschiedlichster Methoden \u2013 von Sofortkauf \u00fcber PayPal bis hin zur Kreditkarte akzeptiert der Onlinehandel je nach Bonit\u00e4t des Kunden alle g\u00e4ngigen Zahlungsarten. Und in den letzten Jahren hat sich einiges getan, um die digitale Zahlung so sicher wie m\u00f6glich zu gestalten. Das gilt gleicherma\u00dfen f\u00fcr eWallets als auch f\u00fcr digitale Kreditkarten: Am physikalischen Standort ist nichts einfacher, als beispielsweise per Near Field Communication (NFC) seine Zahlung zu t\u00e4tigen. Die Sache hat allerdings einen gewaltigen Haken: Die meisten Deutschen stehen dem mobilen Bezahlen noch kritisch gegen\u00fcber.<\/p>\n\n\n\n

\"\"<\/a>
Bild 2: Kartenzahlung via NFC \u2013 Foto: Jonas Leupe\/Unsplash<\/figcaption><\/figure>\n\n\n\n

Deutschland eher skeptisch beim Mobile Payment<\/strong><\/p>\n\n\n\n

Was in vielen L\u00e4ndern mittlerweile selbstverst\u00e4ndlich ist, scheint hierzulande der Angst vor mangelnder Sicherheit zum Opfer zu fallen. So zweifeln einer Befragung zufolge rund zwei Drittel der Konsumenten am Mobile Payment. Vordergr\u00fcndig spielen Bedenken bei der Sicherheit und auch beim Datenschutz eine gro\u00dfe Rolle bei der Ablehnung. Experten jedoch winken ab und attestieren, dass die technischen L\u00f6sungen und Voraussetzungen f\u00fcr ein H\u00f6chstma\u00df an Sicherheit gegeben sind. Dies allerdings nur, wenn man ein paar grundlegende Regeln beachtet.<\/p>\n\n\n\n

Eine Selbstverst\u00e4ndlichkeit sollte beispielsweise sein, dass sowohl das f\u00fcr Zahlungsvorg\u00e4nge genutzte Smartphone als auch die verwendete Bezahl-App stets auf dem aktuellsten Stand der Software-Aktualisierungen sind. Man sollte sich bewusst sein, dass bei einem kontaktlosen Zahlvorgang zwei Systeme aufeinandertreffen \u2013 und damit auch zwei unterschiedliche, sicherheitsrelevante Faktoren: Die Kreditkarte und das Mobiltelefon. Die realistische Gefahr: Die Daten einer Kreditkarte mit Chip k\u00f6nnen mithilfe manipulierter Leseger\u00e4te per se ausspioniert werden. Wenn die Kreditkarte mit der Bezahlfunktion des Smartphones gekoppelt ist, k\u00f6nnen Daten w\u00e4hrend des Bezahlens zwar abgefangen werden, sie bringen dem Cyberkriminellen aber nicht viel. Jene Informationen, die vom Smartphone zum Karten- beziehungsweise Leseterminal an der Ladenkasse \u00fcbertragen werden, sind keine identischen Kopien der eigentlichen Bank- oder Kartendaten. Vielmehr werden tempor\u00e4re, verschl\u00fcsselte Codes generiert, die ausschlie\u00dflich f\u00fcr den aktuellen Bezahlvorgang gelten. Diese Host Card Emulation (HCE) gaukelt also w\u00e4hrend des Bezahlens per Smartphone vor, dass dieses eine Kreditkarte sei.<\/p>\n\n\n\n

Der Haken: Das Koppeln von Handy und Kreditkarte<\/strong><\/p>\n\n\n\n

Doch selbst wenn diese sichere Art des Bezahlens f\u00fcr viele Kunden eine sinnvolle Alternative zum Bargeld ist, sto\u00dfen nicht wenige schon an ihre Grenzen, wenn es um die Kopplung der Kreditkarte mit dem eigenen Smartphone geht. Durch das in den meisten modernen Smartphones integrierte Secure Element ist es generell m\u00f6glich, die oben beschriebene Host Card Emulation zu realisieren.<\/p>\n\n\n\n

\"\"<\/a>
Bild 3: Online-Payment via Smartphone nur nach Kopplung mit der Kreditkarte \u2013 Foto: CardMapr\/Unsplash<\/figcaption><\/figure>\n\n\n\n

Alternativ gibt es je nach Bank oder Kreditkartenanbieter auch verschl\u00fcsselte Cloud-L\u00f6sungen. Eines gemeinsam haben meist alle: Die Payment Services Directive 2 (PSD2) muss erf\u00fcllt sein und zur \u201estarken Kundenauthentifizierung\u201c bedarf es einer zweiten, sicheren Methode. Das macht neben der PIN-Eingabe eine weitere Aktion notwendig \u2013 und das schon bei der Verkn\u00fcpfung einer (neuen) Bank- oder Kreditkarte. G\u00e4ngige L\u00f6sungen wie Aktivierungsbriefe, Passw\u00f6rter, MyVoiceIsMyPassword oder Filialbesuche werden hierbei oft als zu kompliziert, unzuverl\u00e4ssig oder zeitaufwendig wahrgenommen. Neben den Sicherheitsbedenken ist dies ein weiterer gewichtiger Grund, der Kunden davon abh\u00e4lt, mobiles Bezahlen in den Alltag zu integrieren.<\/p>\n\n\n\n\n\n\n\n

Doch auch darauf reagiert der Markt und bringt L\u00f6sungen hervor, die den ersten Schritt zum Mobile Payment erleichtern. F\u00fcr das Mobile Onboarding beziehungsweise die Smartphone-Registrierung k\u00f6nnen intelligente Fingerabdruck-basierte Systeme aufw\u00e4ndige Kopplungsprozeduren eliminieren.<\/p>\n\n\n\n

Die L\u00f6sung: Smartphone und Kreditkarte einfach miteinander bekannt machen<\/strong><\/p>\n\n\n\n

Das in \u00d6sterreich ans\u00e4ssige Unternehmen Authentic Vision hat eine L\u00f6sung zur mobilen Echtheitspr\u00fcfung per holografischem Fingerprint-Label entwickelt, das in Kredit- oder Debitkarten integriert wird. Im Hinblick auf Sicherheit, Komfort, Geschwindigkeit und Kosteneffizienz bietet dieses Label ein vereinfachtes Onboarding von Mobiltelefonen als zweiten Authentifizierungsfaktor f\u00fcr Online- und Mobile-Banking. Durch einen Scan des auf der Debit- beziehungsweise Kreditkarte integrierten Fingerprint-Labels wird das eigene Smartphone dediziert zugeordnet beziehungsweise eine Zuordnung verifiziert. Damit ist ein (neues) Smartphone im Handumdrehen einer Karte zugeordnet und sicher verkn\u00fcpft.<\/p>\n\n\n\n

\"\"<\/a>
Bild 4: Boarding: Scan des Fingerprint-Labels mit dem zu koppelnden Smartphone \u2013 Grafik: Authentic Vision<\/figcaption><\/figure>\n\n\n\n

Auch beim Online-Banking kommt es auf h\u00f6chste Sicherheit bei m\u00f6glichst einfachem Handling an. Hier liegen die Herausforderungen in der Freigabe bei Zahlungen mit hohem Risiko beziehungsweise hohen Betr\u00e4gen im Rahmen von SEPA-Transaktionen, aber auch bei der PIN- oder Passwort-R\u00fccksetzung. Und auch hier ist die gesetzliche Payment Services Directive 2 ein Haupttreiber f\u00fcr eine notwendige 2-Faktor-Authentifizierung. Bei Kreditkartenzahlungen reicht es gem\u00e4\u00df dieser Verordnung nicht mehr aus, lediglich die Kreditkartennummer und die Pr\u00fcfziffer (CVV, CVC oder CID) einzugeben. Kunden m\u00fcssen beispielsweise zus\u00e4tzlich eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und ein definiertes Passwort nennen \u2013 oder sich sogar per Biometrie-Abgleich verifizieren lassen.<\/p>\n\n\n\n

Alternativ beziehungsweise zur weiteren Erh\u00f6hung der Sicherheit bei kritischen Transaktionen, kann hierf\u00fcr ein Scan des holografischen Fingerprint-Labels abgefragt werden. Damit stellt die L\u00f6sung eine \u201eSecond Line of Defense\u201c dar, die immer dann gefordert ist, wenn au\u00dfergew\u00f6hnliche Online-Banking-Transaktionen autorisiert werden. Grunds\u00e4tzlich stellt das Fingerprint-Label eine Art Ausweis, beziehungsweise eine eigene Repr\u00e4sentation der digitalen ID dar, die physisch best\u00e4tigt werden muss. W\u00e4hrend die Vorgaben der PSD2 eher die technische Seite der Sicherheit im Zahlungsverkehr regeln, geht die Hologramm-Label-Variante noch einen Schritt weiter und sch\u00fctzt den Anwender vor Gefahren, die im Rahmen von Social Engineering etwa durch eine unbeabsichtigte Weitergabe von sicherheitskritischen Daten gegeben w\u00e4ren. Das System ist interoperabel und funktioniert damit auf allen Android- und iOS-Smartphones.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Wir werden immer seltener am mobilen Bezahlen vorbeikommen. Aber so vielf\u00e4ltig die Arten des bargeldlosen Bezahlens sind, so wichtig sind auch die Regeln, die Mobile Payment zu einer sicheren Alltagst\u00e4tigkeit machen. Regeln seitens der Anbieter, aber auch jene, die jeder einzelne Nutzer verinnerlichen und umsetzen muss.<\/p>\n","protected":false},"excerpt":{"rendered":"

Vorbei sind die Zeiten, in denen Bargeld und \u00dcberweisungstr\u00e4ger die sicheren Zahlungsmittel der Wahl waren. Am Point of Sale (PoS), also am Verkaufsstandort, wird heute via Giro- oder Kreditkarte bezahlt. Und neuerdings immer \u00f6fter via Mobile Payment per Smartphone. Der Verkaufsstandort ist aber l\u00e4ngst nicht mehr ausschlie\u00dflich der Laden um die Ecke, das Kaufhaus oder das Lieblings-Restaurant.<\/p>\n","protected":false},"author":3,"featured_media":18344,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[14697,14699,6244,14698,205,5775,10530,14700,1701],"class_list":["post-18340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-authentic-vision","tag-boarding","tag-kreditkarte","tag-mobiles-bezahlen","tag-nfc","tag-pos","tag-psd2","tag-sepa","tag-smartphone"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18340"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18340\/revisions"}],"predecessor-version":[{"id":18346,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18340\/revisions\/18346"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18344"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}