Hardware

bargeldloses bezahlen liegt seit jeher im Trend, immer mehr Firmen öffnen sich und bieten die Zahlung per NFC an. Besonders in Schwellenländern ist das Handy und das Smartphone bereits so weit gekommen ein Safe für all das Geld zu sein, was man so besitzt. Nun schwappt es also auch auf uns rüber.

Dabei sind alle heutigen Herangehensweisen für Smartphone-Zahlungen eher semi-optimal. Keiner macht sich Gedanken um Sicherheit, die etwas mehr über die Übliche TAN per SMS herausgeht.

Kontaktloses zahlen mit Bankkarten ist grundsätzlich bis 20€ pro Transaktion möglich. Ohne PIN, ohne alles, nur eine Karte in Reichweite eines Lesegeräts. Das gefährliche daran: Es liegt am Lesegerät, wie weit es lesen kann. Normale Kassenterminals können nur im Bereich von wenigen Zentimetern lesen, allerdings ist es ohne große Probleme möglich zumindest ein stationäres Lesegerät für den Bereich von knapp 5 Metern z.B. hinter einer Außenwand eines Gebäudes aufzubauen. Dieses kann dann alle „vorbeilaufenden“ Bankkarten innerhalb von Geldbörsen lesen und vorausgesetzt man ist als Händler bei einer Bank registriert, von jeder dieser Karten on-the-fly 20€ abbuchen.
Das geht so lange gut, bis der Bank das auffällt. Von der Bank kann das dann zurückgefordert werden und schließlich begeht der Angreifer damit auch eine Straftat, aber bis dahin ist ein Angreifer der es ernst meint mitsamt Geld längst über alle Berge.

Die Herangehensweise von Android Pay ist noch ein wenig haarsträubender. Schaut man sich aktuelle Stimmerkennungssoftware an (Auch die vom Marktführer Nuance) versteht man, dass es hier noch lange nicht weit genug ist um über normale Mikrofone feststellen zu können, wer da gerade spricht. Google kündigte damals an, dass die Zahlung per „Ich bezahle mit Google“ in Verbindung eines anwesenden Smartphones geregelt wird.
Hat der Besitzer nun eine durchschnittliche Stimme dürfte es ausreichen von hinten ein „Ich zahle mit Google“ zugerufen zu bekommen um bereits beliebige Summen zu verlieren.
Zumindest ich sehe die bisher angekündigte Zahlweise von Android Pay als nicht brauchbar an, sofern diese nicht z.B. über einen Foto-Vergleich zwischen Kassierer und Käufer und einem anwesenden Smartphone, welches sich per Bluetooth oder NFC authentifizieren kann abgesichert ist.

Ein wenig praktikabler will es MasterCard angehen. Zahlung per Gesichtserkennung wurde angekündigt. Allerdings ist so ziemlich jedes bisherige System auf Fotos von eben jener Person anfällig und so ist auch dort möglich eben jene Authentifizierung maschinen-glaubhaft zu fälschen.

Was ist denn nun sicherer und trotzdem bequem?

Die Faustregel hierbei ist leider – ist es sicher ist es unbequem, wenn es bequem sein soll ist es unsicher. Die Menschheit ist bequem und so wird die Unsicherheit und damit das Risiko in Kauf genommen. So schnell wird sich das auch nicht ändern.
Allerdings gibt es einige sichere Authentifizierungsmethoden, die eigentlich auch jeder bereits kennt. Türen sind längst per Fingerprint gesichert, wenn es mehr sein soll kommt auch noch ein Iris-Scan, Zahlencode oder eben ein One-Time-Password dazu.
All dies kann man nicht im Hinblick auf bargeldlose Zahlungen anwenden. Dazu wird es unbequem und daher macht es auch keiner.
One-time-passwords gehen allerdings relativ schnell und können entweder lokal auf dem Smartphone oder sicherheitshalber besser über extra Karten oder Geräte generiert werden.
Ein Vorreiter dazu ist mal wieder Google, mit dem Google Authenticator bekommt unser Google Account (und viele andere auch) etwas besseren Schutz als unsere Onlineüberweisungen per SMS-Code. Wer es noch sicherer Will muss sich einen FIDO U2F Authentifizierungskey bestellen. Dieser generiert als extra Gerät zum Anstecken an den PC Codes, die vorher nirgends über irgendwelche Kommunikationsleitungen liefen und somit sicherer sind als jede SMS oder App auf einem mit dem Netz verbundenen Telefon.

OTPs könnten auch in neuem Smartphone-Zahlungsverkehr eingesetzt werden. Zusätzlich zu der NFC-Verbindung mit dem Smartphone müsste dann die Kassiererin einen Code eingeben, der nur für den einen Moment und nur für die eine Zahlung eingegeben werden muss, der lokal auf dem Handy erstellt wurde, oder besser auf einem extra Gerät ohne jede Netzverbindung erstellt wurde.
Damit wären Zahlungen per Smartphone bedeutend sicherer als die bargeldlose Zahlung mit Bankkarten durch vorbeilaufen oder die Ansätze mit Google Pay.
Anscheinend ist dies aber schon zu viel des Guten und die Masse will ihre Bequemlichkeit nicht in diesem Minimalmaß aufgeben. Schade eigentlich…