Kontaktlos bezahlen - wie hoch ist die Sicherheit?

Kontaktlos mit Karte oder Smartphone über NFC bezahlen - Neben dem Komfort gibt es auch Sicherheitsbedenken. Zu Recht?

(Bild: Jacob Lund/Shutterstock)

14.01.2021, 13:56 Uhr

Lesezeit: 7 Min.

Von

Michael Mierke

Dank Smartphone und diverser Banking-Apps oder moderner EC-Karten können Sie heutzutage als Kunde problemlos im Supermarkt Ihren Einkauf kontaktlos bezahlen. In Sekundenschnelle kann durch die NFC-Technik ganz ohne Bargeld bezahlt werden. Das ist zwar komfortabel, doch wie sicher ist das kontaktlose Bezahlen eigentlich und sind Ihre persönlichen Daten dabei vor Dritten geschützt?

Wie sicher ist die kontaktlose Zahlung?
Wie funktioniert das kontaktlose Bezahlen?
Welche Sicherheitsvorkehrungen können Sie treffen?

Wie funktioniert das kontaktlose Bezahlen?

Die kontaktlose Bezahlung klappt mittels Near Field Communication – besser bekannt als NFC – was zu Deutsch soviel wie Nahfeldkommunikation bedeutet. Nähert sich Ihre Karte, Ihr Smartphone oder auch Ihre Smartwatch einem Lesegerät auf wenige Zentimeter, werden Daten verschlüsselt übertragen. Dadurch wird die Zahlung kontaktlos bestätigt. In der Regel können ohne zusätzliche Eingabe einer PIN bis zu 25 bzw. 50 Euro (EC-Karte bzw. Kreditkarte) bezahlt werden. NFC-fähige Kredit- oder EC-Karten erkennen Sie an dem Funk-Symbol. Die Technologie basiert auf RFID (Radio Frequency Identification), einer Technik zur Identifizierung über elektromagnetischer Wellen.

Bild: Shutterstock/Pressmaster

(Bild: Shutterstock/Pressmaster)

Um die Zahlung kontaktlos als Kunde im Einkaufsladen mit Ihrem Handy zu bewerkstelligen, müssen Sie auf eine App wie Google Pay oder Apple Pay zurückgreifen. Mehr darüber, was NFC ist, lesen Sie unseren tipps+tricks-Artikel darüber. Entgegen dem Bedenken, dass eventuell falsche oder doppelte Beträge abgebucht werden, können wir Sie beruhigen. Das kontaktlose Bezahlen ist zuverlässig. Dem gegenüber stehen aber manipulierte Geräte, die Ihre Daten auslesen können. Was es damit auf sich hat und wie Sie sich dagegen schützen können, lesen Sie in den nächsten Abschnitten.

Wie sicher ist die kontaktlose Zahlung?

NFC ist ein inzwischen häufig eingesetzter Standard in unserem digitalen Alltag. Dabei kommen immer wieder Sicherheitsbedenken auf. Wir haben Antworten zu den obligatorischen Sicherheitsrisiken der kontaktlosen Zahlung für Sie zusammengestellt:

Können Dritte mit manipulierten Lesegeräten eine Zahlung vom Handy oder der Karte aus der Hosen- bzw. Handtasche tätigen?
Können Kriminelle über ein manipuliertes Lesegerät die Kartendaten auslesen und diese anschließend in Onlineshops nutzen?
Mein Smartphone wurde geklaut, was tun?
Können Doppelbuchungen erfolgen?

Können Dritte mit manipulierten Lesegeräten eine Zahlung vom Handy oder der Karte aus der Hosen- bzw. Handtasche tätigen?

Theoretisch kann man mit einem manipulierten Lesegerät Daten von Ihrer EC-Karte oder dem Smartphone auslesen. Durch Geräte in der Öffentlichkeit oder im dichten Gedränge in der Fußgängerzone – rein theoretisch besteht die Gefahr, dass Dritte illegal Beträge abbuchen können. Dem steht aber in der Praxis Folgendes gegenüber: Der Täter müsste Ihnen sehr nahe kommen (der Abstand muss vier Zentimeter oder weniger betragen) und darüber Bescheid wissen, dass Sie überhaupt NFC-fähige Karten besitzen. Zudem müsste Ihr Gerät entsperrt und die Bezahl-App geöffnet sein. Der Aufwand ist hier größer als das letztendlich ergaunerte Geld – eine einfache Kosten-Nutzen-Rechnung. Daher ist diese Art von Diebstahl in der Praxis - trotz der teilweise medial vermittelten Angst - recht selten vorgekommen.

Sollte es dem Täter dennoch gelingen, Abbuchungen von Smartphone oder der Karte zu machen, sind Abbuchungen über eine ID digital nachverfolgbar. Ein weiterer Sicherheitsschutz für Sie: Girocard-Zahlungen per Smartphone lassen sich nur auf deutsche Geschäftskonten transferieren. Es ist unwahrscheinlich, dass Täter für diesen Aufwand ein Konto auf falschen Namen ohne Prüfung erstellen können.

Tipp: Interessieren Sie sich dafür, wie in der Theorie der Diebstahl funktionieren würde, empfehlen wir Ihnen folgenden c't-Artikel inklusive Video: So leicht lässt sich Geld beim kontaktlosen Bezahlen abfischen.

Können Kriminelle über ein manipuliertes Lesegerät die Kartendaten auslesen und diese anschließend in Onlineshops nutzen?

Die kurze Antwort: Nein. Speichern Sie Ihre Kreditkarte in einer Bezahl-App, wird nicht die Original-Kartennummer auf dem Smartphone gespeichert. Daher kann jemand auch nicht mit einem manipulierten Lesegerät die echten Daten Ihrer Visa- oder Mastercard auslesen. Beim Zahlungsvorgang wird von Ihrem Smartphone ein sogenannter Token und "Single Use Key" (Mastercard) respektive "Limited Use Key" (Visa) an das Terminal übermittelt. Das Token ist eine Art Pseudo-Kreditkartennummer.

Während der Zahlungsabwicklung prüfen das Zahlungsnetzwerk und Ihre Bank Token und Use Key und ordnen sie Ihrer "echten" Karte und Person zu. Stimmen die Angaben, bekommt der Verkäufer eine Freigabe sowie eine Transaktion-ID. Liest ein Krimineller nun Ihren Token aus, kann er damit nicht in Onlineshops bezahlen. Ihm fehlt darüber hinaus auch Ihr Name. Demnach müssen Sie hier keine Sorge haben, dass Dritte ihre Kartendaten auslesen.

Mein Smartphone wurde geklaut, was tun?

Hier ist Ihre Handlungsschnelligkeit gefragt: Rufen Sie Ihre Bank an und lassen Sie die gestohlenen Karten sperren. Bei deutschen Banken geht das fast immer über die kostenlose Nummer (+49) 116 116 des Sperr-Notrufs e.V.. Haben Sie Ihre Karte verloren und Ihr Smartphone noch zur Hand, können meistens die Karten direkt über Ihre Banking-App gesperrt werden.

Öffnet der Kriminelle die Bezahl-App (die zudem meistens noch PIN-geschützt ist) erhält dieser von Ihrer Kreditkarte höchstens die letzten vier Ziffern ohne die CVC- oder CVV-Nummer. Sieht er die IBAN Ihrer Girocard ein, befähigt ihn das allerdings auch nur zu einer Lastschrift, welche zurückgebucht werden kann.

Können Doppelbuchungen erfolgen?

Sobald am Bezahlterminal die Transaktion erfolgreich abschlossen ist, müsste der Händler eine neue Transaktion erst neu aktivieren. Hierfür müssten Sie erneut Smartphone oder Karte an das Lesegerät halten. Eine Doppelbuchung ist also nicht möglich.

Welche Sicherheitsvorkehrungen können Sie treffen?

Möchten Sie datensparsam zahlen, ist Bargeld immer noch die beste Option. Beim Zahlen mit der Karte fallen aber erheblich weniger Daten an als etwa beim Bezahlen mit Apple Pay oder Google Pay. Ihnen sollte stets bewusst sein, dass Sie den Anbietern dieser Services hier Daten über Ihr Einkaufsverhalten mitteilen.

Haben Sie Sorge vor einem Diebstahl Ihrer persönlichen Daten, haben wir folgende Tipps für Sie:

Informieren Sie Ihre Bank, dass Sie das kontaktlose Bezahlen deaktivieren möchten. Notfalls begründen Sie das und verlangen eine neue Karte, die nicht NFC-fähig ist.
Deaktivieren Sie – wenn nicht benötigt – die NFC-Funktion auf Ihrem Smartphone. So ist es gar nicht mehr möglich, dass kontaktlos via manipulierten Gerät Ihre Daten ausgelesen werden können.
Holen Sie sich spezielle RFID-Blocking-Hüllen oder Portemonnaies, die das Auslesen Ihrer Daten von unbefugten Dritten verhindern.

(mimi)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}