Verbraucherschutz

RSS Feeds  | Alle Themen Verbraucherschutz-Visual-153173242
11.06.2013, 09:30 Uhr | 0 |

Mobile Payment Bezahlen via Smartphone: Sicherheit hat Priorität

Bei Netto und Edeka können Anna und Otto Normalverbraucher schon heute mit dem Smartphone bezahlen. Es gibt eine regelrechte Gründerwelle von Unternehmen rund ums mobile Bezahlen. Ist die Zeit für das mobile Bezahlen also endlich gekommen?

Mit dem Smartphone bezahlen.
Á

Noch ist das Bezahlen mit dem Smartphone eher die Ausnahme. 

Foto: Starbucks

Die Zeit für das mobile Bezahlen ist definitiv gekommen, versichert Kai Grassie, Chief Technology Officer bei Giesecke & Devrient (G&D). Das exponentielle Wachstum von Smartphones ist für ihn ein Indikator, dass es schnell gehen kann, wenn es für Nutzer attraktiv ist.

Im ersten Quartal 2013 hat die Zahl der verkauften Smartphones laut Angaben des Marktforschungsunternehmens IDC erstmals die der klassischen Mobilfunktelefone geschlagen. Die Voraussetzungen für den Durchbruch des mobilen Bezahlens sind da, heißt es bei G&D. 135 Smartphone-Modelle bieten laut dem Fachservice NFC World inzwischen die sogenannte Near-Field-Technologie (NFC), die berührungsloses Bezahlen erlaubt.

Discounter Netto als Vorreiter

In der Praxis geht es auch ohne NFC-Chip: Beim Discounter Netto teilt der Kunde dem Kassierer einen vierstelligem Zahlencode mit, der nach PIN-Eingabe freigeschaltet wird. Einkäufe bis zu 250 € die Woche sind so bei der Kette möglich.

"Einfach sei das Bezahlen mit der "Netto-App", urteilten die Tester der Stiftung Warentest. "Netto-Kunden mit Smartphone müssen sich nichts weiter besorgen, keine Plastikkarte, kein Funkchip mit Aufsteckgerät. Nötig ist nur die App der Handelskette", so der Kommentar.

Doch ist das wirklich so einfach? Maike Strudthoff, Beraterin bei MSIC Insights und Mobile-Service-Expertin, hat bei McDonald's in Paris nachgezählt: "Auf dem Smartphone habe ich in der App 14 Screens für Bestellung und Bezahlung durchlaufen, bis der QR-Code angezeigt wurde. Im Restaurant wiederum waren wiederum acht Schritte notwendig, bis ich zur Bedienung gesprochen und meine Bestellnummer gezeigt habe."

Digitale Geldbörse wird skeptisch beäugt

Gerade in Deutschland erhebt sich angesichts solcher Beschreibungen nach wie vor Widerspruch. "Auf der einen Seite Pop-ups blockieren, Cookies löschen, im Netz nicht verfolgt werden wollen. Auf der anderen Seite einer Firma auf die Nase binden, was man wo kauft, wo man sich wann aufhielt", kritisierte ein Leser von Stiftung Warentest.

Natürlich ist das Generieren von Daten – für eigene Kundenprofile oder sogar für die Profilierung oder den Verkauf von Daten an Dritte – eine mögliche attraktive Einkommensquelle. Der klassische Handel, Banken und Netzbetreiber – keiner von ihnen will die "digitalen Geldbörsen" kampflos den Googles, Microsofts oder Apples überlassen.

Wie kompliziert es ist, illustriert die gerade vorgestellte Erweiterung der virtuellen Währung BitCoin um "ZeroCoin". ZeroCoin soll mittels kryptografischer Verfahren eine "nicht nachverfolgbare, anonyme elektronische Währung" schaffen, versprechen die Entwickler von der Johns Hopkins University in Baltimore/USA.

"Zukunftsmusik und derzeit noch zu aufwendig", urteilt Grassie in München, obwohl auch sein Unternehmen, wie er versichert, sich die Konzepte von Start-ups zum Thema anonymes elektronisches Bezahlen genau ansieht.

Sicherheit und Benutzerfreundlichkeit als Barrieren

Viel weiter oben steht erst einmal die Absicherung des Smartphones als Geldbeutel. Sicherheit ist neben der Benutzerfreundlichkeit die zweite große Barriere fürs mobile Bezahlen. Anders als die von G&D produzierten Karten, die "geschlossene Systeme" sind, ist das Mobiltelefon als Kommunikationsgerät mit der Außenwelt verbunden. "Wir werden da auch andere Arten von Attacken sehen", glaubt Grassie.

Eine Antwort der Münchner auf sogenannte Man-in-the-Middle-Attacken ist dabei ein eigenes, kleines Betriebssystem, das in den Mobilfunkgeräten neben dem normalen für die Kommunikation zuständigen, offenen Betriebssystem sitzt. G&D brachte seine Arbeiten zu MobiCore dafür in ein Joint Venture mit dem britischen Microprozessorexperten ARM und der niederländischen Chipkartenkonkurrenz Gemalto ein, die nun gemeinsam die "Trusted Execution Environment" (TEE) vermarkten wollen. Selbst wenn TEE zu einem Standard wird, der in vielen Geräten zum Einsatz kommt, die Abwehr neuer Angriffe erfordere eine ständige Weiterentwicklung, bestätigt Grassie.

"Ein stark reduziertes und gekapseltes System, das direkt mit der Hardware verknüpft ist und für bestimmte Anwendungen eine sichere Laufzeitenumgebung bereitstellt, schafft in der Tat ein Mehr an Sicherheit", sagt Hans Peter Dittler, Netzwerkexperte der Braintec Consult. Die Palette der Angriffsvarianten ist wie beim klassischen elektronischen Bezahlen per Kreditkarte oder Onlinebanking lang.

Abwägen zwischen Sicherheitsaufwand und Entschädigungen

Dittler listet darunter stets an die verbreiteten Sicherungssysteme wie TEE angepasste "Angriffe durch Trojaner und Ähnliches auf dem für das zum Bezahlen genutzte Gerät". Zum anderen sei jede Übertragung von Daten über eine abhörbare Schnittstelle (Funk, Bluetooth, NFC) prinzipiell angreifbar.

Für beide Seiten, so seine Einschätzung, gilt das Aufwandprinzip. Für die Angreifer muss sich der Angriff lohnen. "Setzt sich also das Verfahren durch, wird es auch erfolgreiche Angriffskits irgendwo im Internet zu kaufen geben", sagt Dittler. Auch für die Kreditwirtschaft ist Sicherheit eine Frage des Gesamtaufwandes. "Solange es für die Kreditwirtschaft billiger ist, den Missbrauch einigermaßen kulant abzuwickeln, wird kaum etwas passieren."  

Anzeige
Von Monika Ermert | Präsentiert von VDI Logo
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden