Geld-Ersatz: Drahtlos abgebucht

Per Funk zu bezahlen ist einfach und spart Zeit. Wie sicher ist die neue Technik?

An der Kasse wird es spannend. Es gilt, einen Schokoriegel zu bezahlen – und zwar per Funk. Auf der Theke steht ein handflächengroßes Lesegerät. Im Display erscheint der fällige Betrag, 39 Cent. »So, dann jetzt bitte die Karte ranhalten«, sagt die Verkäuferin. Ein kurzes Piepen, dann leuchtet ein grünes Licht auf: Das Geld ist abgebucht. Das Ganze hat nur wenige Sekunden gedauert.

Die Technik dahinter heißt Near Field Communication (NFC), auf Deutsch Nahfeld-Kommunikation. Dabei werden per Funk Daten übertragen – aber ausschließlich über eine sehr kurze Entfernung. In der Praxis sieht das so aus: Ein Kunde hat beispielsweise in seiner Geldkarte einen Chip, der Händler ein entsprechendes Lesegerät. Um Geld zu überweisen, muss die Karte ganz nah an den Empfänger gehalten werden, der fällige Betrag wird dann automatisch abgebucht. Der Chip selbst ist dabei passiv. Er sendet selbst keine Daten, sondern wird lediglich ausgelesen.

Raschelnde Scheine und klimpernde Münzen bekommen neue Konkurrenz in Deutschland. Die Funktechnik sei die Zukunft des Bezahlens, glaubt Andreas Martin, Vorstand des Bundesverbandes der Deutschen Volks- und Raiffeisenbanken. »Das Bezahlen per NFC-Technik hat sich als internationaler Standard bewährt«, sagt er.

Internationaler Standard? Vielleicht eines Tages. In Deutschland jedenfalls muss sich das Verfahren erst einmal im alltäglichen Gebrauch behaupten. Die Kreditwirtschaft testet die Technik derzeit in einem groß angelegten Feldversuch. Dafür wurden mehr als 1,3 Millionen Kunden im Großraum Hannover sowie in Braunschweig und Wolfsburg mit einer NFC-fähigen Geldkarte ausgestattet. Sie können nun in zahlreichen Läden und Tankstellen per Funk bezahlen. Schon bald soll das Projekt ausgeweitet werden: Allein die Sparkassen wollen bis zum Jahresende rund 16 Millionen solcher Funkkarten ausgeben, bis Ende nächsten Jahres sollen es 30 Millionen sein.

Die Funkkarte ist aber bloß eine Variante des mobilen Bezahlens: Der NFC-Chip kann nämlich auch in Mobiltelefone eingebaut werden. Kunden können mit ihrem Handy dann nicht nur per Funk bezahlen, sondern auch Gutscheine einlösen, Treuepunkte sammeln, Tickets kaufen – und das alles, indem sie einfach ihr Mobiltelefon kurz an ein Lesegerät halten. Bisher ist das aber nur in sehr wenigen Fällen möglich, etwa vereinzelt beim Fahrkartenkauf bei der Deutschen Bahn.

Die Kreditwirtschaft ist von den Vorteilen der Funkkarte überzeugt. Das Bezahlen dauert nur halb so lange wie mit Bargeld. Im Vergleich zu herkömmlichen Girokarten geht es mit Funk um 25 Prozent schneller. Für die Kunden ist das praktisch: Die Schlange an der Supermarktkasse verkürzt sich, wenn die Kunden nicht mehr nach passendem Kleingeld kramen oder mühsam eine ausgedruckte Einzugsermächtigung unterschreiben müssen.

Vor allem aber profitieren die Händler. Zum einen können sie in kürzerer Zeit mehr Kunden durch die Kassen schleusen und so ihren Umsatz steigern. Zum anderen müssen sie wohl weniger Gebühren an die Banken entrichten. Bisher kostete die Händler jede Kartenzahlung mindestens acht Cent, mit den Funkkarten sind es je nach Betrag nur zwischen einem und drei Cent. Ganz abgesehen davon reduziert elektronischer Zahlungsverkehr die aufwendigen Bargeldtransporte zur Bank.

Dementsprechend groß ist das Interesse. Unter anderem Edeka, die Esso-Tankstellen, Douglas sowie Thalia und Hussel beteiligen sich an dem aktuellen Pilotprojekt. Gerade im Lebensmitteleinzelhandel und in Drogeriemärkten kosten bis zu 80 Prozent der Einkäufe weniger als 20 Euro, der allergrößte Teil davon wird derzeit bar bezahlt. Mit den Funkkarten soll sich das ändern. Um mit der Karte bezahlen zu können, müssen die Kunden sie allerdings vorher aufladen – an einem Geldautomaten, per Internet oder bisweilen direkt an der Ladenkasse. Ist der Chip leergebucht, kann mit der Karte nicht mehr bezahlt werden.

Der Vorstoß der deutschen Kreditwirtschaft bringt Schwung ins mobile Bezahlen, da ist sich Olaf Acker von der Unternehmensberatung Booz & Company sicher. »Dass erste Banken jetzt Pilotprojekte zu NFC durchführen, ist ein starker Treiber«, sagt er. Bisher hatte sich die Einführung der Funktechnik lange hingezogen. Die Händler zögerten mit der Umrüstung ihrer Kassen, weil sie auf NFC-fähige Handys und Geldkarten warteten. Handyhersteller und Kreditinstitute wiederum wollten nicht investieren, bevor die Händler entsprechende Lesegeräte aufgestellt hatten. Nun jedoch kommt der Wandel schnell, glaubt Acker. Der Bann sei gebrochen, die Funktechnik für Händler, Kartenanbieter und Handyhersteller attraktiv.

Datenschützer sehen die NFC-Technik allerdings skeptisch. »Den Chipkarten ist jeweils eine eindeutige Nummer zugeordnet und diese somit einem Kunden«, sagt Peter Leppelt von der Datenschutz-Beratung Praemandatum. Da diese Nummer von jedem beliebigen NFC-Gerät erkannt werde, könne leicht ein Bewegungsprofil der Kartennutzer erzeugt werden. Leppelt wirft den Banken vor, voreilig gehandelt zu haben. »Die Einführung ist eine Panikreaktion, nur um als Erster auf dem Markt zu sein«, sagt er. Denn neben den deutschen Banken arbeiten auch Kreditkartenfirmen wie Visa und Mastercard sowie der Internetkonzern Google an ähnlichen mobilen Bezahlverfahren.

Bei der deutschen Kreditwirtschaft weist man den Vorwurf der Datenschützer zurück. Sicherlich gebe es eine Konkurrenz der Systeme, sagt Interessenvertreter Martin, aber man habe mit der Einführung bewusst gewartet, bis die Technologie reif sei für den Massenmarkt. Die Angst vor Bewegungsprofilen sei zudem unbegründet: »Wir halten das nicht für eine reale Gefahr.« Dennoch wolle man die Kritik der Datenschützer ernst nehmen und sei bereit für Gespräche.

Kritik kommt aber auch von anderer Seite. IT-Experten befürchten, dass bei all der Euphorie über die neuen Möglichkeiten die Sicherheit auf der Strecke bleibt. Vor allem, weil kleine Beträge ohne die Eingabe einer Geheimzahl übermittelt werden. »Das Auslesen der Karten, ohne dass der Besitzer es merkt, ist möglich«, sagt Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie. Dazu müsse lediglich ein verstecktes Lesegerät installiert werden. »So kann quasi im Vorbeigehen unbemerkt Geld abgebucht werden«, sagt Heider. Das sei unlängst auf einer Hacker-Konferenz in den USA demonstriert worden. Ein entsprechendes Gerät koste nur wenige Hundert Euro, das nötige Software-Wissen finde man im Internet.

In der Praxis ist ein solcher Angriff allerdings schwer umzusetzen, denn die Karten können nur aus sehr kurzer Entfernung ausgelesen werden. »Die maximale Reichweite liegt bei zehn Zentimetern«, sagt Harald Kelter vom Bundesamt für Sicherheit in der Informationstechnik. Außerdem werden die zu übertragenden Daten verschlüsselt und die Lesegeräte der teilnehmenden Händler zertifiziert. Das soll verhindern, dass fremde Geräte überhaupt auf die Karten zugreifen können.

Beim Bezahlen per Handy funktioniert das etwas anders, hier lauern deutlich mehr Gefahren. Um Geld überweisen zu können, benötigt der Kunde in der Regel eine App, also ein kleines Programm, das er aus dem Internet herunterlädt. Diese App stellt dann eine Verbindung zwischen dem Funkchip im Handy und dem Bankkonto her und bucht den entsprechenden Betrag dort ab. Das bietet viel Angriffsfläche. Denn obwohl Smartphones über ein ähnlich komplexes Betriebssystem wie Computer verfügen, sind sie deutlich schlechter geschützt. Dementsprechend leicht ist es für Hacker, die technischen Abläufe zu manipulieren.

»Das ist eine viel größere Bedrohung, weil Täter und Opfer sich nicht wie bei der Funkkarte am gleichen Ort befinden müssen«, sagt Sicherheitsexperte Heider. So sei es zum Beispiel möglich, dass beim Herunterladen einer App unbemerkt ein Schadprogramm mit installiert werde, das sensible Daten ausspioniere oder Überweisungen auf andere Konten umleite. Bereits jetzt steigt die Zahl der Hacker-Attacken auf Smartphones stetig an. Und je mehr Geld per Handy überwiesen wird, desto attraktiver ist es für sie, anzugreifen.