Kontaktloses Bezahlen | BSI
Kontaktloses Bezahlen kann man einerseits mit einer Karte –
mit einer Girokarte oder Kreditkarte.
Man erkennt, ob diese Karte zur kontaktlosen Zahlung geeignet ist,
wenn man darauf die nach rechts gerichteten NFC-Wellen erkennt.
Das sieht ähnlich aus wie das WLAN-Logo.
NFC steht für "near field communication", also Nahfeldkommunikation.
Dabei kann man die Karte einfach ans Zahlterminal dran halten,
anstatt sie da rein zu stecken.
Alternativ kann man auch mit dem Smartphone, Tablet oder einer Smartwatch kontaktlos bezahlen –
da gibt es verschiedene Anbieter, die App-Lösungen bereitstellen,
mit denen die Karte digital im Handy abgebildet werden kann
und zur Bezahlung vorgehalten wird.
Kontaktloses Bezahlen ist nicht unsicherer als klassische Kartenzahlung.
Das gilt sowohl für den Zahlungsvorgang als auch für sonstige Situationen.
Einerseits gelten für die Karte als auch das Smartphone
die bisher genannten physikalischen Beschränkungen.
Das heißt: Ein Angreifer muss schon sehr nahe an sein Opfer heran,
um überhaupt Kartendaten abgreifen zu können.
Man kann natürlich in der Theorie sich vorstellen,
dass in einer U-Bahn oder in der Fußgängerzone
jemand mit einem NFC-fähigen Lesegerät unterwegs ist und
Kartendaten von seinen Opfern abgreift oder Zahlungen initiiert.
Dies ist jedoch nur in der Theorie möglich,
da sich bereits zwei NFC-fähige Chipkarten
wie der Personalausweis oder die Bankkarte gegenseitig so stören,
dass kein Kommunikationskanal errichtet werden kann.
Das BSI empfiehlt außerdem die NFC-Funktionalität des Smartphones auszuschalten,
wenn man das gerade nicht zum Zahlen benutzt,
sodass dieser Angriffsvektor geschlossen ist.
Das Smartphone oder das Tablet hat auch eine
weitere Sicherheitsfunktionalität, die das Bezahlen sicher macht:
Es werden nämlich nicht die originären Kartendaten übertragen,
sondern nur ein sogenannter Token und ein Kryptoschlüssel.
Das Zahlungsnetzwerk, beispielsweise Visa oder Mastercard,
übersetzt diesen Token dann in die richtigen Karten-Zahlungsdaten,
sodass nur dieses Netzwerk und die eigene Bank diese Kartendaten kennen.