Bild: Rudolf A. Blaha

Luftbuchungen

Wie das Bezahlen mit Uhr und Smartphone funktioniert

Mit dem Handy oder der smarten Uhr zu bezahlen ist praktisch – und sicherer als das Zahlen per Karte. Dafür sorgt eine ausgeklügelte Architektur. Allerdings enthält sie auch potenzielle Türen für Datensammler.

Von Markus Montz

Bezahlen mit dem Smartphone oder der smarten Armbanduhr war im deutschsprachigen Raum lange Zeit vor allem ein Thema für große Ankündigungen. Erst Mitte der 2010er Jahre haben sich Verfahren durchgesetzt, mit denen man mit Mobilgeräten an der Ladenkasse bezahlen kann. Dahinter steckt eine Menge Technik, mit der Gerätehersteller und Finanzdienstleister bestehende Bezahlarten fit für das Smartphone und die smarte Uhr gemacht haben.

Wir zeigen, warum man mit dem Smartphone oder der Uhr besser gegen Diebstahl und Betrug geschützt ist als mit Bargeld oder Plastik-Bezahlkarten, warum allerdings der Datenschutz ein potenzieller Haken beim mobilen Bezahlen bleibt und weshalb man seinen Dienst gut überlegt wählen sollte.

Technik, gut kombiniert

Der beherrschende internationale Standard hinter dem mobilen Bezahlen ist in Europa und Nordamerika die Near Field Communication (NFC). Über elektromagnetische Induktion lassen sich mit NFC auf wenige Zentimeter Entfernung Daten zwischen einem Chip (etwa in einer Kredit- oder Bankkarte oder einem Smartphone) und einem Lesegerät drahtlos übertragen. Die erforderliche Energie kann ihm auch das Lesegerät liefern.

Das Praktische am NFC-Standard ist, dass er sich mit dem etablierten EMV-Standard für Zahlverfahren zu „EMV Kontaktlos“ verheiraten ließ. EMV steht für „Europay International, Mastercard, Visa“. Diese drei Dienstleister hatten bereits in den Neunzigerjahren gemeinsame Spezifikationen für Zahlungskarten-Chips und Lesegeräte festgelegt. Dem EMV-Standard folgen seither auch weitere Kartennetzwerke, beispielsweise die deutsche Girocard oder American Express.

Dieses Symbol bedeutet: Hier kann man kontaktlos per NFC bezahlen – per Smartphone, -watch und Plastikkarte. Die Symbole der unterstützten Karten findet man meist daneben.

Da Banken und Kreditkartennetzwerke an jeder Transaktion verdienen, hatten sie ein Interesse daran, Bezahlen per Karte attraktiver als Bargeldzahlungen zu gestalten. Dabei halfen ihnen nicht nur die Standardisierung und Massenfertigung von NFC-Chips für Bezahlkarten, sondern auch die immer schnelleren Lesegeräte und Datenverbindungen. Dadurch konnten sie mit Bargeldzahlungen konkurrieren.

Dass immer mehr Einzelhändler und Dienstleister Kredit- und Debitkarten akzeptieren und Lesegeräte mit dem „EMV-Kontaktlos-Standard im Einsatz haben, hängt aber auch mit einer EU-Verordnung von 2015 zusammen. Sie deckelt das sogenannte „Interbankenentgelt, einen Teil jener Entgelte, die ein Händler bei jeder Transaktion entrichten muss. Das Interbankenentgelt fließt an das Kreditinstitut, das die Karte des Kunden herausgegeben hat. Seit der Deckelung beträgt es 0,3 Prozent des Umsatzes für Kreditkarten und 0,2 Prozent für Debitkarten. Zu letzteren gehört beispielsweise auch die Girocard.

Neben dem Interbankenentgelt fallen für einen Händler zwar noch weitere Entgelte an, sodass er je nach Verhandlungsposition in toto mindestens 0,5 Prozent für Girocard-Zahlungen und bis zu 3 Prozent für Kreditkartenzahlungen abdrückt.

Dennoch hat dies Kartenzahlungen für viele Händler überhaupt erst attraktiv gemacht – flankiert von massivem Marketing durch Kreditkartenfirmen und Zahlungsabwickler. Ihre Kampagnen haben mit dazu beigetragen, dass mittlerweile so gut wie alle im Handel eingesetzten Bezahlterminals EMV-Kontaktlos unterstützen. Auch an einer anderen Stelle hat die EU dem kontaktlosen Bezahlen entscheidenden Vorschub geleistet: Die Zweite Europäische Zahlungsdiensterichtlinie (PSD2, Payment Services Directive 2), 2018 in Kraft getreten, enthält für sogenannte „Kleinbeträge bis 50 Euro eine Ausnahme von der obligatorischen PIN-Eingabe bei Kartenzahlungen. Das vereinfacht und beschleunigt den elektronischen Bezahlvorgang zusätzlich.

Spielarten des mobilen Bezahlens

Mobiles Bezahlen (englisch „Mobile Payment) ist ein schwammiger Begriff. Im weiteren Sinne umfasst er sämtliche Zahlungen mit einem Mobilgerät oder Gadget, einschließlich solcher beim Onlineshopping. Im engeren Sinne geht es beim mobilen Bezahlen um das Bezahlen mit diesen Geräten im stationären Handel. Für das mobile Bezahlen existieren weltweit sehr unterschiedliche Verfahren, über das in Europa und Nordamerika dominante NFC hinaus.

Auch mit „dummen Handys möglich ist der P2P-(Person-to-Person-)Geldtransfer über SMS an Mobilfunknummern. Als Wallet dient dann zum Beispiel ein Mobilfunk-Prepaidkonto. Solche Verfahren haben sich insbesondere in Teilen Afrikas etabliert. Von der Idee her ähnlich funktionieren P2P-Bezahlverfahren über Smartphone-Apps. Die bekannteste in Deutschland und Österreich ist wohl die „Geld senden“-Funktion von PayPal, in der Schweiz hat sich der nationale Dienst Twint durchgesetzt. P2P ist nicht auf private Transfers beschränkt – auch Händler und Dienstleister können solche Zahlungen empfangen. Das deutsche „Kwitt von VR-Banken und Sparkassen ist ein Nischenprodukt geblieben, ebenso wie „Paydirekt und Apps verschiedener Startups. Unter der neuen Marke „Giropay planen deutsche Banken aber einen Neustart (siehe S. 42).

Eine weitere Möglichkeit stellen 2D-Codes dar, also Strich- oder QR-Codes. Die Bezahl-App auf einem Smartphone oder einer Smartwatch erstellt einen zeitlich begrenzt gültigen Code, der an der Ladenkasse eingescannt wird. Das Geld wird von einem Wallet oder einem hinterlegten Girokonto respektive einer Kreditkarte abgebucht. Mit solchen Verfahren dominieren Alipay und WeChat Pay den Markt in China. Das europäische Äquivalent Bluecode ist bislang noch ein Nischenprodukt. Grundsätzlich eignen sich 2D-Codes auch, um P2P-Zahlungen an Händler zu vereinfachen – daher trifft man sie sowohl bei Twint als auch bei PayPal an.

Daneben gibt es allerlei Insellösungen für bestimmte Einzelhandelsketten, Tankstellenketten oder Ladesäulen für Elektrofahrzeuge. Deren Verfahren sind unterschiedlich; manche setzen auf 2D-Codes, andere auf PIN-Verfahren, Geofencing oder eine Mischung daraus.

Das Smartphone kommt ins Spiel

Der Einbau eines NFC-Chips in ein Smartphone ist ein naheliegender Gedanke. Ein Smartphone erlaubt außerdem viele Zusatzfunktionen rund ums Bezahlen, nicht zuletzt in puncto Sicherheit.

An Fahrt gewann das mobile Bezahlen per Smartphone oder -watch aber erst, als neben dem EMV-Konsortium die großen Technologie-Unternehmen Apple, Google und Samsung mit vielen Millionen Nutzern auf den Zug aufsprangen. Sie arbeiteten direkt mit den Kreditkartenfirmen sowie den kartenherausgebenden Banken zusammen. Das „Onboarding“ der Karten und der Bezahlprozess wurden dadurch einfach und verständlich. Den Anfang machten die USA, wo Kreditkartenzahlungen ohnehin sehr beliebt sind. Dort gingen 2014 Apple Pay und 2015 Google Pay und Samsung Pay an den Start. Der Sprung in die DACH-Region lag nahe und folgte zwischen 2016 (Apple Pay in der Schweiz) und 2020 (Samsung Pay in Deutschland, fehlt noch in Österreich).

Um dem Wettbewerb zu begegnen, entwickelten hierzulande auch einige Banken und Sparkassen NFC-Bezahl-Apps. Sparkassen und VR-Banken banden sogar die deutsche Girocard ein und können ihre Apps auch Kunden ohne Kreditkarte anbieten. Ihre Apps sind allerdings auf Android beschränkt. Apple wollte und will seinen NFC-Chip und insbesondere seine Verschlüsselungstechnologie nicht für Zahlungsdienste Dritter freigeben – und hat sich damit trotz eines eilig von der EU beschlossenen gesetzlichen Öffnungszwangs de facto durchgesetzt. Speziell Sparkassen und VR-Banken arbeiten heute mit Apple Pay zusammen, bieten aber weiterhin keine Anbindung für Google Pay.

Auch deshalb hat Google sich 2018 mit PayPal zusammengetan, das seinen Kunden speziell für Google Pay eine virtuelle Debitkarte von Mastercard anbietet. Samsung wiederum ersparte sich den Anbindungsprozess für jede einzelne Bank durch eine Kooperation mit der Solarisbank. Diese erzeugt für Samsung Pay eine virtuelle, für den Kunden nicht sichtbare und für keine anderen Zwecke nutzbare Visa-Debitkarte. Zahlungen gleicht die Solarisbank anschließend per Lastschrift von einem beliebigen vom Kunden hinterlegten Girokonto aus.

Sicherheit I: physisch

Außer dem Komfort ist die zusätzliche Sicherheit ein Argument für das Bezahlen per Smartphone oder Uhr. Eine Plastikkarte kann ein Dieb grundsätzlich zum Bezahlen missbrauchen, sobald er sie in der Hand hält. Auf der Karte sind die Zahlungskartennummer (PAN, Primary Account Number), der Name des Inhabers, das Ablaufdatum und die dreistellige Sicherheitszahl aufgedruckt. Zwar kann ein Dieb mit einem geklauten Smartphone im Laden im schlimmsten Fall bis zu fünfmal Kleinbeträge bis 50 Euro bezahlen, genau wie mit einer gestohlenen Karte. Allerdings kann er das Smartphone nicht für Online-Zahlungen verwenden, während das mit der Karte durchaus möglich ist –erst ab 30 Euro kann eine PIN abgefragt werden (zur Haftung gleich mehr).

Auch von einer nicht gestohlenen Karte geht ein Risiko aus: Der NFC-Chip gibt einem Lesegerät jederzeit die PAN und das Ablaufdatum im Klartext preis. Allerdings muss ein Betrüger dafür mit dem Gerät unbemerkt sehr nahe an den Chip herankommen (weniger als vier Zentimeter). Zudem würde er bei illegalen Abbuchungen von Kleinbeträgen eine dicke Datenspur hinterlassen. Deshalb sind solche Angriffe bisher eher Theorie.

Besser gelöst ist das bei Smartphones und Uhren, bei denen selbst denkbare Szenarien wie das illegale Erstellen von Bewegungsprofilen mit speziellen NFC-Antennen entfallen [1]. Beim Smartphone gilt: Mit abgeschaltetem Display – wozu auch Always-On-Displays zählen – sind üblicherweise keine Zahlungen möglich, weil NFC deaktiviert ist. Ausnahme sind einige Geräte mit aktiviertem SmartLock, die also auch bei ausgeschaltetem Display entsperrt bleiben, wenn beispielsweise ein als vertrauenswürdig markiertes Bluetooth-Gerät in der Nähe ist. In diesem Fall erlauben einige Smartphones beispielsweise von Samsung Zahlungen, andere wie Googles Pixel 5 nicht. Ist das Display eingeschaltet, aber das Gerät noch gesperrt, sind Kleinbetragzahlungen möglich.

Im Normalfall müsste eine PIN-Eingabe am Kassenterminal erfolgen, wenn die Kleinbetragsregelung gerade nicht greift. Zur Vereinfachung setzen die Bezahldienste gemeinsam mit Kartenherausgebern und Kartennetzwerken auf CDCVM – die „Customer Device Cardholder Verification Method, also „Kartenprüfungsmethode auf Nutzergerät. Dabei handelt es sich um eine Art Zwei-Faktor-Authentifizierung am Smartphone, die der PSD2 genügt. Das ist der Fall, wenn der Nutzer sein Gerät per PIN (Faktor Wissen) oder Fingerabdruck/Gesichtserkennung (Faktor Inhärenz) entsperrt und das Gerät beim Bezahlvorgang die „Device Account Number (DAN, Faktor Besitz, dazu gleich mehr) übermittelt. Auf diese Weise authentifiziert er sich als rechtmäßiger Besitzer der auf dem Gerät hinterlegten Bezahlkarte.

Die Uhren nutzen ebenfalls CDCVM, indem ihr Besitzer sie mindestens alle 24 Stunden oder nach dem Abnehmen erneut per PIN fürs Bezahlen freischalten muss – ungeachtet der Tatsache, dass man zum Bezahlen noch einen Knopf drücken oder das Wallet aufrufen muss. Eine Ausnahme stellen die Uhren von Swatch dar, da sie keine Möglichkeit zur PIN-Eingabe besitzen (siehe S. 62). Bei ihnen erfolgen etwaige PIN-Abfragen daher stets über das Kassenterminal – genau wie bei einer Plastikkarte.

Schon mit Plastikkarten eher Theorie und mit Smartphones noch schwieriger zu bewerkstelligen sind unbefugte Abbuchungen mithilfe mobiler Bezahlterminals.

Sicherheit II: Tokenisierung

Beim mobilen Bezahlen per NFC gibt es noch einen Trumpf: Auf dem Smartphone oder der Uhr befinden sich nie die realen Kartendaten (insbesondere nicht die PAN). Stattdessen erzeugen die kartenausgebende Bank und das Kartennetzwerk ein Token, die oben erwähnte Geräte-Kartennummer DAN. Das ist eine andere 16-stellige Zahl als die echte Kartennummer. Sie kann man nur für einen Zweck einsetzen: eine Zahlung mit dem Gerät, auf dem sie hinterlegt ist.

Verknüpft man eine Bezahlkarte mit einem der Bezahldienste, wird das Token in das Secure Element im Gerät übertragen, einen Kryptochip ähnlich dem Chip auf der Plastikkarte. Solch ein Secure Element nutzen fünf der von uns getesteten Dienste. Software und Gerät kommen bei ihnen aus einer Hand.

Google Pay geht einen anderen Weg, weil das Bezahlen in Android und Wear OS herstellerübergreifend funktionieren muss. Dort wandert das Token über die sogenannte „Host Card Emulation (HCE) in einen besonders gesicherten Bereich des Betriebssystems. Aus dem gleichen Grund nutzen übrigens auch bankeneigene Bezahl-Apps für Android HCE. Konzeptionell ist es dem Secure Element zwar unterlegen, uns ist aber bisher kein Fall bekannt, in dem HCE geknackt worden ist.

Nun ließe sich ein statisches Token einfach kopieren. Das Secure Element erzeugt daher zusätzlich einen Key, den nur der Token Service Provider des genutzten Zahlungsnetzwerks prüfen kann (siehe Infografik). Fehlt der Key oder ist er ungültig, lehnen Kartenfirma und Bank die Zahlung ab. HCE hingegen „lagert eine Anzahl Keys im geschützten Bereich, die es vom Token Service Provider erhält. Verbrauchte Keys füllt die verwendete App regelmäßig auf. Anders als beim Secure Element sind Zahlungen ohne Internetverbindung daher nicht unbegrenzt oft möglich.

Haftungsfragen

Die Haftung bei Missbrauch ist verbraucherfreundlich. Das liegt zum einen am Gesetzgeber, zum anderen aber auch an Kartenfirmen und Kreditinstituten, die das elektronische Bezahlen fördern wollen. Grundsätzlich müssen Nutzer alle Sorgfaltspflichten einhalten, die ihre Bank oder Sparkasse und der Bezahldienst ihnen vorgeben. Zu den naheliegenden gehört, dass man ein Auge auf sein Gerät hat und ihm eine starke PIN oder ein starkes Passwort für den Sperrbildschirm gibt (auch als Ersatz für Fingerabdruck oder Gesichtserkennung). Ein Wischmuster empfehlen wir nicht, da es sich leicht erraten oder auf leicht verschmutzen Displays sogar als Spur sehen lässt.

Beim Verlust des Gerätes muss man unverzüglich handeln und bei der Bank oder über die zentrale Notfallnummer 116 116 die Karte sperren lassen. Oft geht das auch im Onlinebanking oder in der App der Bank. Praktisch ist dabei, dass man nur die digitale Karte (also das Token) sperren muss, das Original aber nicht. In Erwägung ziehen sollte man außerdem die Fernlöschungsfunktion für das Gerät selbst, etwa bei Apple, Google und Samsung. Bei den Uhren entfernt man die Karte in der zugehörigen App.

Hat man die Sorgfaltspflichten eingehalten und ein Dieb schafft es dennoch, mit dem Gerät zu bezahlen, haftet man – ebenfalls dank der PSD2 und genau wie bei Plastik-Bezahlkarten – mit maximal 50 Euro. Viele Geldhäuser verzichten auch auf diese Selbstbeteiligung. Zusätzliche Sicherheit bringt es, den Bezahldienst mit einer der Prepaid-Karten zu verknüpfen, die wir auf Seite 62 vorstellen.

Datenschutz

Individuelle Bezahldaten sind ein geldwerter Schatz. Mit ihrer Hilfe lässt sich Werbung mit geringem Aufwand stark personalisieren. Umgekehrt möchten sich viele Menschen ungern tief in ihre Vorlieben schauen lassen. Klar ist: Nutzt man einen Dienst wie Apple Pay oder Google Pay, kommt ein weiterer Akteur in die Bezahlkette, der an der Zahlung mitverdienen möchte. Ein Blick auf die jeweiligen Geschäftsmodelle und in die Datenschutzerklärungen hilft zu verstehen, ob man mit Daten bezahlt oder nicht.

Apple weist in seiner Datenschutzerklärung ausdrücklich darauf hin, keine Bezahldaten auszuwerten. Das passt zum Geschäftsmodell: Das Unternehmen verdient am Interbankenentgelt mit und das angeblich sehr gut. Google hingegen verzichtet auf eine Beteiligung an den Händlerentgelten und erlaubt sich laut Datenschutzerklärung, bestimmte Daten zu nutzen. Allerdings sind dem Datensammeln Grenzen gesetzt: Google erfährt zwar, wie viel Geld ein Nutzer wann bei welchem Händler ausgegeben hat, aber nicht wofür. Zudem kann man beispielsweise einstellen, ob Google Pay mit „Aktivitäten und gespeicherten Informationen“ personalisiert werden darf. Um zu erfahren, für welche konkreten Produkte das Geld ausgegeben wurde, bräuchte Google aber ein gesondertes Abkommen mit dem Händler, eine entsprechend ausgestattete Kasse und die Einwilligung des Nutzers.

Samsung verfolgt ein ähnliches Geschäftsmodell wie Apple und teilt sich das Interbankenentgelt mit seinem Finanzpartner Solarisbank. Einkaufsdaten wertet der Dienst nach eigenen Angaben nicht aus, allerdings nimmt er sich relativ weitgehende Zugriffsrechte etwa auf die Kontaktliste heraus. Zudem führt die Solarisbank bei der Registrierung eine Schufa-Abfrage durch und prüft mit einem Blick auf das hinterlegte Bankkonto des Nutzers dessen Zahlungsmoral und Gehaltseingang.

Fitbit Pay, Garmin Pay und Swatch Pay wiederum geht es vor allem um eine Aufwertung ihrer Fitnesstracker und Uhren. Eine Auswertung der Einkaufsdaten zu Werbezwecken findet ausweislich der Nutzungs- und Datenschutzbestimmungen nicht statt. Die aktuell relativ datensparsamen Lösungen sind aber nur eine Momentaufnahme. Es wäre durchaus im Interesse von Payment-Anbietern, die Bezahldaten mit anderen Daten – zum Beispiel zum Online-Shopping – zu verknüpfen und gewinnbringend zu vermarkten.

Generell können die Beteiligten beim elektronischen Bezahlen auf bestimmte Informationen nicht verzichten. Das sind vor allem der Händler, die Händlerbank, das Kartennetzwerk und die Kundenbank. Händler und Händlerbank/Acquirer bekommen im Normalfall aber nur eine Transaktionsnummer. Erst wenn es zu Komplikationen wie Zahlungsausfällen kommt, können sie sich damit an die Kundenbank wenden. Normalerweise weiß der Händler nur, was er wie teuer verkauft hat, aber nicht an wen. Auch die Kartendaten bekommt er im Übrigen nicht – die bleiben dem Kartennetzwerk und der Kundenbank vorbehalten.

DSGVO und Bankgeheimnis setzen rechtlich zudem enge Grenzen, was eine Weitergabe von Daten angeht. Das betrifft übrigens auch einen elektronischen Kassenbon, der als Service-Erweiterung nahe liegt. Bislang hat aber keiner der Bezahldienste, die wir uns angesehen haben, so etwas im deutschsprachigen Raum im Angebot. Soliden Datenschutz vorausgesetzt, könnte das durchaus praktisch sein: Schließlich würde man dann auch für den Umtausch kein Papier mehr brauchen. (mon@ct.de)