Für Hacker ist es leicht, technischen Abläufe zu manipulieren
Der Vorstoß der deutschen Kreditwirtschaft bringt Schwung ins mobile Bezahlen, da ist sich Olaf Acker von der Unternehmensberatung Booz & Company sicher. »Dass erste Banken jetzt Pilotprojekte zu NFC durchführen, ist ein starker Treiber«, sagt er. Bisher hatte sich die Einführung der Funktechnik lange hingezogen. Die Händler zögerten mit der Umrüstung ihrer Kassen, weil sie auf NFC-fähige Handys und Geldkarten warteten. Handyhersteller und Kreditinstitute wiederum wollten nicht investieren, bevor die Händler entsprechende Lesegeräte aufgestellt hatten. Nun jedoch kommt der Wandel schnell, glaubt Acker. Der Bann sei gebrochen, die Funktechnik für Händler, Kartenanbieter und Handyhersteller attraktiv.
Datenschützer sehen die NFC-Technik allerdings skeptisch. »Den Chipkarten ist jeweils eine eindeutige Nummer zugeordnet und diese somit einem Kunden«, sagt Peter Leppelt von der Datenschutz-Beratung Praemandatum. Da diese Nummer von jedem beliebigen NFC-Gerät erkannt werde, könne leicht ein Bewegungsprofil der Kartennutzer erzeugt werden. Leppelt wirft den Banken vor, voreilig gehandelt zu haben. »Die Einführung ist eine Panikreaktion, nur um als Erster auf dem Markt zu sein«, sagt er. Denn neben den deutschen Banken arbeiten auch Kreditkartenfirmen wie Visa und Mastercard sowie der Internetkonzern Google an ähnlichen mobilen Bezahlverfahren.
Bei der deutschen Kreditwirtschaft weist man den Vorwurf der Datenschützer zurück. Sicherlich gebe es eine Konkurrenz der Systeme, sagt Interessenvertreter Martin, aber man habe mit der Einführung bewusst gewartet, bis die Technologie reif sei für den Massenmarkt. Die Angst vor Bewegungsprofilen sei zudem unbegründet: »Wir halten das nicht für eine reale Gefahr.« Dennoch wolle man die Kritik der Datenschützer ernst nehmen und sei bereit für Gespräche.
Kritik kommt aber auch von anderer Seite. IT-Experten befürchten, dass bei all der Euphorie über die neuen Möglichkeiten die Sicherheit auf der Strecke bleibt. Vor allem, weil kleine Beträge ohne die Eingabe einer Geheimzahl übermittelt werden. »Das Auslesen der Karten, ohne dass der Besitzer es merkt, ist möglich«, sagt Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie. Dazu müsse lediglich ein verstecktes Lesegerät installiert werden. »So kann quasi im Vorbeigehen unbemerkt Geld abgebucht werden«, sagt Heider. Das sei unlängst auf einer Hacker-Konferenz in den USA demonstriert worden. Ein entsprechendes Gerät koste nur wenige Hundert Euro, das nötige Software-Wissen finde man im Internet.
In der Praxis ist ein solcher Angriff allerdings schwer umzusetzen, denn die Karten können nur aus sehr kurzer Entfernung ausgelesen werden. »Die maximale Reichweite liegt bei zehn Zentimetern«, sagt Harald Kelter vom Bundesamt für Sicherheit in der Informationstechnik. Außerdem werden die zu übertragenden Daten verschlüsselt und die Lesegeräte der teilnehmenden Händler zertifiziert. Das soll verhindern, dass fremde Geräte überhaupt auf die Karten zugreifen können.
Beim Bezahlen per Handy funktioniert das etwas anders, hier lauern deutlich mehr Gefahren. Um Geld überweisen zu können, benötigt der Kunde in der Regel eine App, also ein kleines Programm, das er aus dem Internet herunterlädt. Diese App stellt dann eine Verbindung zwischen dem Funkchip im Handy und dem Bankkonto her und bucht den entsprechenden Betrag dort ab. Das bietet viel Angriffsfläche. Denn obwohl Smartphones über ein ähnlich komplexes Betriebssystem wie Computer verfügen, sind sie deutlich schlechter geschützt. Dementsprechend leicht ist es für Hacker, die technischen Abläufe zu manipulieren.
»Das ist eine viel größere Bedrohung, weil Täter und Opfer sich nicht wie bei der Funkkarte am gleichen Ort befinden müssen«, sagt Sicherheitsexperte Heider. So sei es zum Beispiel möglich, dass beim Herunterladen einer App unbemerkt ein Schadprogramm mit installiert werde, das sensible Daten ausspioniere oder Überweisungen auf andere Konten umleite. Bereits jetzt steigt die Zahl der Hacker-Attacken auf Smartphones stetig an. Und je mehr Geld per Handy überwiesen wird, desto attraktiver ist es für sie, anzugreifen.
Neu auf Handelsblatt.com:
und was ist da jetzt neu?
so läuft die bezahlung zum beispiel in saunalandschaften die ich kenne schon seit jahren.
vom Essen bis zur Bibliotheksmahnung. Neu ist es nicht. Die Frage ist nur, ob man das möchte und ob man z.B. Nachteile zu erwarten hat, wenn man sich dieser Form der Bezahlung verweigert.
vom Essen bis zur Bibliotheksmahnung. Neu ist es nicht. Die Frage ist nur, ob man das möchte und ob man z.B. Nachteile zu erwarten hat, wenn man sich dieser Form der Bezahlung verweigert.
"Die Kreditwirtschaft ist von den Vorteilen der Funkkarte überzeugt. Das Bezahlen dauert nur halb so lange wie mit Bargeld."
Das glaub ich gerne.
Kein Horten mehr von Geld abseits der Banken, 100% digital verfolgbarer Zahlungsverkehr, also abrufbare Information für die staatlichen Behörden, wer wo wann was bezahlt hat, unliebsamen Personen kann im Extremfall zugleich auch noch wortwörtlich der Geldhahn abgedreht werden.
Super-Sache.
Lustig ist auch die Implikation von schnellerer Abbuchung und gesteigertem Umsatz. »Zum einen können sie in kürzerer Zeit mehr Kunden durch die Kassen schleusen und so ihren Umsatz steigern.« Wenn denn mehr Kunden und gewichtigere Kunden dadurch entstünden - das tun sie m. E. aber nicht. Die Kassiererin hat nur schneller Pause, wenn überhaupt - oder sie wird wegrationalisiert.
Lustig ist auch die Implikation von schnellerer Abbuchung und gesteigertem Umsatz. »Zum einen können sie in kürzerer Zeit mehr Kunden durch die Kassen schleusen und so ihren Umsatz steigern.« Wenn denn mehr Kunden und gewichtigere Kunden dadurch entstünden - das tun sie m. E. aber nicht. Die Kassiererin hat nur schneller Pause, wenn überhaupt - oder sie wird wegrationalisiert.
vom Essen bis zur Bibliotheksmahnung. Neu ist es nicht. Die Frage ist nur, ob man das möchte und ob man z.B. Nachteile zu erwarten hat, wenn man sich dieser Form der Bezahlung verweigert.
für's Geld drucken können sich die Notenbanken dann auch gänzlich sparen, da man Druckereien ja nicht mehr benötigt, da man künftig das Quantitative easing ausschließlig per Tastendruck an der Computer-Tastatur erledigt.
Die Wirtschaft geht nach 5 Jahren noch immer am Stock? Kein Problem. Erweitern wir die EZB-Bilanz einfach um 3 Billionen und geben das Geld an die Privatbanken für 0.1%, schließlich wollen wir ja nicht "teurer" sein als die Fed.
Banken-Runs wie in Griechenland werden dabei auch unmöglich.
Schaffen wir das Bargeld ab. Alles was für die Banken gut ist, ist auch für den Bürger gut. Freedom is slavery, ignorance is strength.
...mit 1 Milliarden, 10 Milliarden, etc. EUROScheinen einkaufen gehen?
Wäre es nicht einfacher nach der Inflation Bargeldlos zu bezahlen - am nächsten Tag ist Ihr Bargeld sowieso nur die Hälfte wert.
Und wenn der Währungsschnitt kommt, müssen Sie ihr Geld sowieso der Bank geben...
"Inflation: Periodisch wiederkehrender Beweis für die Tatsache, daß bedrucktes Papier bedrucktes Papier ist.“
Helmar Nahr
...mit 1 Milliarden, 10 Milliarden, etc. EUROScheinen einkaufen gehen?
Wäre es nicht einfacher nach der Inflation Bargeldlos zu bezahlen - am nächsten Tag ist Ihr Bargeld sowieso nur die Hälfte wert.
Und wenn der Währungsschnitt kommt, müssen Sie ihr Geld sowieso der Bank geben...
"Inflation: Periodisch wiederkehrender Beweis für die Tatsache, daß bedrucktes Papier bedrucktes Papier ist.“
Helmar Nahr
Trotzdem finde ich das bedenklich. Welch eine Euphorie um ein paar gewonnene Sekunden gegenüber der lästigen Unterschrift, die man sich sparen könnte, wenn um Himmelswillen doch wenigstens die PIN verlangt würde.
Und nun muss die Mafia die Kartenleser nicht mehr im Supermarkt manipulieren, sondern kann das Diebesgut als vermeintliche Ladegeräte in der Innenstadt aufstellen.
Eine geklaute Karte ist genauso schnell leer, und weil den Banken Eigenverantwortung zu mühsam ist, ermahnt man bestimmt den Kunden, nicht zuviel auf die Karte zu laden.
Und wenn nach dem Einkauf das Geld für die Rückfahrkarte fehlt, ärgert man sich, dass man die Münzen zu Hause ließ, weil sie das Auslesen an der Kasse behindern. Ich freue mich schon darauf.
...mit 1 Milliarden, 10 Milliarden, etc. EUROScheinen einkaufen gehen?
Wäre es nicht einfacher nach der Inflation Bargeldlos zu bezahlen - am nächsten Tag ist Ihr Bargeld sowieso nur die Hälfte wert.
Und wenn der Währungsschnitt kommt, müssen Sie ihr Geld sowieso der Bank geben...
"Inflation: Periodisch wiederkehrender Beweis für die Tatsache, daß bedrucktes Papier bedrucktes Papier ist.“
Helmar Nahr
Zehn Zentimeter, also z.B. die Entfernung zwischen dem Restaurant-Stuhl und dem in der Gesässtasche steckenden Portemonaie? Ein kleines batteriebetriebenes Lesegerät unter den Barhocker gepappt -- es braucht ja keines mit Internet-Verbindung zur Bank zu sein --- und schwupps, ist das Kärtchen ausgelesen.
Was hier als Fortschritt der Funktechnologie angepriesen wird, ist in Wahrheit ein Fortschritt des Abbuchungsmechanismus'. Das würde mit einer Geldkarte mit traditionellen Kontakten genauso funktionieren, nur sicherer. Denn eine Karte für einen Moment in einen Schlitz zu stecken ist nicht wirklich zeitaufwändig.
Ob es dann ein Fortschritt ist, dass ohne weitere Interaktion des Kunden abgebucht wird, steht auf einem anderen Blatt.
Die Zertifizierung der Lesegeräte als Sicherheitsplus anzuführen ist etwa so sinnvoll wie eine Bank als einbruchsicher zu bezeichnen, weil vor der Tür ein Parkverbot besteht. Denn der Bankräuber hält sich ja auch gaaanz bestimmt an das Parkverbot, kann also nicht einbrechen.
Auf die gleiche Weise werden sich die Hersteller betrügerischer Lesegeräte auch gaaaanz bestimmt zertifizieren lassen.
Gemeint war wohl eher das hier: http://de.wikipedia.org/w...
Das bringt durchaus einen Sicherheitsvorteil; aber auch keine völlige Sicherheit, wie die Einbrüche bei RSA gezeigt haben.
Gemeint war wohl eher das hier: http://de.wikipedia.org/w...
Das bringt durchaus einen Sicherheitsvorteil; aber auch keine völlige Sicherheit, wie die Einbrüche bei RSA gezeigt haben.
Bitte melden Sie sich an, um zu kommentieren