Contactless Payments - Gefahren und wie du dich schützt

Published on 02. September 2019
Kategorien:

Contactless Payments - Gefahren und wie du dich davor schützt

Seit 2016 zahlen die Deutschen vermehrt kontaktlos, was zu Diskussionen über die Sicherheit von Contactless Payments führte. Wir haben die vermeintlichen Risiken näher betrachtet.

Seitdem Google im Juni 2018 den mobilen Bezahldienst Google Pay auch in Deutschland eingeführt hat, ist die Debatte um kontaktloses Bezahlen in vollem Gange. Im Dezember 2018 zog Apple mit seinem mobilen Bezahldienst Apple Pay nach und somit können nun auch iPhone Nutzer mit dem Smartphone bezahlen. Doch auch schon vor dem Mobile Payment Angebot durch Google und Apple im Jahr 2018 war es möglich, mit der Girokarte (ehemals EC-Karte) oder der Kreditkarte kontaktlos zu bezahlen. In Deutschland hat diese Zahlungsmethode allerdings erst ab dem Jahr 2016 wirklich Fahrt aufgenommen. Dies war u.a. durch mangelnde Akzeptanzstellen auf der Händlerseite als auch durch das mangelnde Angebot auf Seiten der Banken bedingt. Im Zuge dessen kamen immer wieder Diskussionen bezüglich der Sicherheit von kontaktlosem Bezahlen auf.

Was versteht man unter kontaktlosem Bezahlen?

Grundsätzlich gibt es zwei verschiedene Arten von kontaktlosem Bezahlen. Es kann entweder mittels physischer Karte (z.B. Girocard oder Kreditkarte) oder per Mobile Payment (z.B. Google Pay, Fidor Pay oder Apple Pay) erfolgen. Bei dem Bezahlvorgang mit beispielsweise der physischen Karte, wird diese an das Kartenterminal gehalten und es erfolgt ein Datenaustausch zwischen Karte und Kartenterminal. Eine Übertragung ist dabei nur in sehr geringen Abständen möglich. Bei einem herkömmlichen Kartenterminal liegt dieser Abstand in der Regel bei unter 4 cm.

Wie funktioniert kontaktloses Bezahlen?

Die zugrunde liegende Technologie nennt sich Near Field Communication (NFC). Wörtlich übersetzt bedeutet der Begriff Nahfeldkommunikation. NFC ist eine drahtlose Technologie auf Induktionsbasis. Der Datenaustausch erfolgt dabei über die induktive Kopplung zwischen zwei Induktivitäten. Grundsätzlich nennt sich die eine Induktivität „Initiator“ und die andere „Target“. Die induktive Kopplung des elektromagnetischen Feldes vom Initiator zum Target erfolgt mit einer Frequenz von 13,56 MHz. Die spezifizierte Reichweite dieses Feldes liegt bei 10 cm. Bei einem kontaktlosem Bezahlvorgang mit physischer Karte (z.B. Girocard oder Kreditkarte) ist der Initiator das NFC-Terminal (Kartenlesegerät im Handel) und das Target der NFC-Chip in der Karte.

Welche Risiken gibt es?

Risiko 1 – Diebstahl / Verlust der Karte

Grundsätzlich besteht natürlich das Risiko des Diebstahls oder Verlustes der Karte. In diesem Fall ist es möglich, missbräuchlich kontaktlos mit der Karte zu bezahlen. Allerdings gibt es auch hier festgesetzte Limits. Durch die Richtlinie Payment Service Directive 2 (PSD2) sind kontaktlose Zahlungen auf maximal 50 € ohne PIN begrenzt. In Deutschland sind kontaktlose Zahlungen ohne Eingabe der PIN in der Regel sogar nur bis 25 € pro Zahlungen möglich. Darüber hinaus sind auch nicht unbegrenzt viele kontaktlose Zahlungen in Folge ohne PIN-Eingabe möglich. Nach der fünften Bezahlung muss laut PSD2 auch unter der Schwelle von 25 € eine PIN eingegeben werden. Somit ist es folglich nicht möglich, dass bei einem Diebstahl oder Verlust der Karte große Summen abgebucht werden. Außerdem haftet der Kunde bei Missbrauch der Karte grundsätzlich nur bis zu einem Betrag von maximal 50 € (aufgrund von gesetzlichen Vorschriften), sofern er nicht fahrlässig gehandelt hat.

Zudem bieten Mastercard® und Visa eine sogenannte „Zero Liability Policy“ an, welche den Kunden vollständig von der Haftung befreit, soweit dem Kunden keine Fahrlässigkeit vorgeworfen werden kann und er den Verlust oder Diebstahl der Karte sofort nach dessen Bemerkung bei seiner Bank gemeldet hat.

Risiko 2 – Das unbemerkte Auslesen der kontaktlosen Karte

In der Öffentlichkeit öfter diskutiert, ist das unbemerkte Auslesen der kontaktlosen Karte. Dies ist theoretisch zwar möglich, das tatsächliche Sicherheitsrisiko ist allerdings gering. Ein Auslesen der Kartendaten per Smartphone App durch das Heranhalten des Smartphones an den Geldbeutel funktioniert in den meisten Fällen nicht. Das sich im Geldbeutel befindliche Metall der Münzen oder eine weitere Karte mit NFC Funktion (z.B. der neue Personalausweis oder eine weitere Kredit- oder Girocard), machen das Auslesen der Daten fast unmöglich. Das Heranhalten eines Smartphones mit Kartenauslese-App (z.B. die Android-App Scheckkartenleser) an eine kontaktlose Karte funktioniert in der Regel nur, wenn die Karte direkt an das Smartphone gehalten wird. Allerdings werden in diesem Szenario genau jene Daten ausgelesen, die sowieso auf der Karte stehen.

Zudem sollte beachtet werden, welche Daten überhaupt ausgelesen werden können. Im schlimmsten Fall können lediglich der Name, die Kartennummer und das Ablaufdatum ausgelesen werden. Die sogenannte Kartenprüfnummer CVC (Mastercard) oder CVV (Visa), welche sich auf der Rückseite der Karte befindet, kann nicht ausgelesen werden. Eine Verwendung der ausgespähten Kartendaten für einen Onlinekauf ist somit in den meisten Fällen nicht möglich, da hierbei die Kartenprüfnummer (CVC / CVV) abgefragt wird. Verzichtet ein Händler auf die Abfrage dieses Codes, haftet er im Zweifelsfall auch für den entstandenen Schaden.

Risiko 3 – Unbemerktes Abbuchen

Wie groß ist das Risiko einer unbemerkten Abbuchung? Auch dieses Risiko ist sehr gering. Um eine kontaktlose Zahlung vorzunehmen, ist ein zertifiziertes Zahlungsterminal mit einer nachprüfbaren Verbindung zu einem Zahlungsdienstleister notwendig. Folglich ist diese Zahlung registriert und nicht anonym. Selbst wenn es also zu einer unbemerkten Abbuchung kommen sollte, kann die Erstattung des Betrages bei der jeweiligen Bank beantragt werden. Da der Aufwand aus Sicht eines Betrügers relativ hoch ist und der mögliche Ertrag relativ klein, besteht auch kein überaus großer Anreiz für Betrüger.

Wie kann man sich schützen?

Möglichkeit 1: Sperren der Karte nach Verlust oder Diebstahl

Sperre deine Karte mit kontaktlos Funktion umgehend nach Verlust oder Diebstahl. So bist du dank gesetzlicher Regelungen und der Zero Liability Policy von Mastercard® und Visa vor missbräuchlicher Verwendung deiner Karte geschützt.

 

Möglichkeit 2: Lasse dich über Transaktionen benachrichtigen

Bei vielen Banken ist es möglich, sich in Echtzeit über Transaktionen benachrichtigen zulassen. Dies kann beispielsweise per App, Textnachricht oder E-Mail geschehen. Du erhältst dann für jede Transaktion eine Information über Betrag, Händler sowie Zeitpunkt der Zahlung. So kannst du bei Verwendung einer mobile Banking App mit Push Nachrichten, einen Missbrauch sogar in Echtzeit registrieren und diesen sofort bei deiner Bank melden.

 

Möglichkeit 3: Deaktiviere NFC auf deinem Smartphone

Auch wenn die Wahrscheinlichkeit eines Betrugsfall grundsätzlich gering ist, kannst du zur zusätzlichen Sicherheit NFC auf deinem Smartphone deaktivieren. Somit sind keine Mobile Payment Zahlungen möglich.

 

Möglichkeit 4: Verwenden einer NFC Schutzhülle

Um jegliches Risiko eines unerwünschten Auslesens der Kartendaten zu verhindern, gibt es grundsätzlich die Möglichkeit die Giro- oder Kreditkarte in einer NFC-Schutzhülle aufzubewahren. Allerdings ist diese Maßnahme nicht unbedingt notwendig, da das Auslesen eher ein theoretisches als ein praktisches Problem ist.

PAYMENT

Mobile Payment, die innovative Lösung im Zahlungsverkehr

Quasi im Vorbeigehen den Einkauf bezahlen – Mobile Payment macht das Smartphone zum Geldbeutel. Wie das smarte Bezahlen funktioniert, warum Deutschland hinterher hängt und ob deine Daten in Gefahr sind, erfährst du hier.

TECHNOLOGIE

Mobile Payment in China – Innovationen ohne Datenschutz?

Mobiles Bezahlen ist in China fast so normal wie atmen. Warum WeChat Pay und Alipay boomen, was die Zukunft bringt und wie es um den Datenschutz steht.

PAYMENT

Mobile Payment – ein Statusbericht

Mit dem Handy und der Smartwatch bezahlen - Mobile Payment hat viele Vorteile. Aber wie verbreitet ist mobiles Bezahlen und wie schneidet Deutschland im europaweiten Vergleich ab?