+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Mobiles Bezahlen: Smartphones sind löchrige Geldbörsen!

Mit dem Handy zu bezahlen, klingt verlockend: Kein schweres Portemonnaie voller Münzen mehr, und das Mobiltelefon ist sowieso immer dabei. Weniger verlockend ist aber, dass das Bezahlen mit dem Handy mit so manchem Risiko verbunden ist.

Smartphone statt Geld

Ob am Parkschein-Automaten, im Bistro oder an der Supermarkt-Kasse: In vielen Städten und Geschäften finden Sie bereits die Möglichkeit, beim Bezahlen Ihren Geldbeutel stecken zu lassen und stattdessen Ihr Smartphone zu zücken. Um mit Ihrem Mobiltelefon zu bezahlen, stehen je nach Smartphone, Geschäft oder Parkuhr verschiedene Möglichkeiten zur Verfügung: SMS-Dienste, mittels QR-Code (Quick Response Code) oder über die NFC-Schnittstelle (Near Field Communication). Weitere Bezahlfunktionen für Smartphones stehen in den Startlöchern.

Nicht nur Geld wird gestohlen

Auf den ersten Blick ist die Zahlung mit dem Handy ein echter Gewinn: Das Bezahlen wird einfacher und flexibler, Wechselgeld gibt es keines, denn man zahlt immer passend. Auch die Gefahr, die Geldbörse an der Kasse zu vergessen, besteht nicht mehr. Aber Vorsicht: Auch Smartphones gehen verloren und sind ein beliebtes Diebesgut. Laut einer Meldung der Polizei wurden allein letztes Jahr in Deutschland über 235.000 Smartphones als gestohlen gemeldet.

Mobiles Bezahlen kann riskant werden

Genau betrachtet ist das Bezahlen mit dem Handy bisher weder einfacher noch sicherer als die Nutzung der guten, alten Geldbörse. Im Gegenteil. In vielen Fällen ist ein Smartphone weitaus löchriger als ein alter Geldbeutel: So können mobile Bezahl-Apps Schwachstellen haben wie andere Smartphone-Apps auch.

Manipulierte Apps könnten Bezahldaten an Unbefugte weiterleiten. Die zweidimensio-nalen Strichcodes (QR-Codes) lassen sich für versteckte Angriffe missbrauchen, so dass ein Einscannen der Barcodes zu einer manipulierten Internetseite führt und nicht zum echten Bezahlvorgang. Die Bezahlung über die NFC-Schnittstelle des Smartphones könnte belauscht und manipuliert werden. Und: SMS-Nachrichten, die zur Bezahlung verwendet werden, sind in aller Regel nicht verschlüsselt.

Mobiles Bezahlen will gut überlegt sein

Auch wenn es immer neue Smartphone-Funktionen für das mobile Bezahlen gibt, sollten Sie sich nicht vorschnell gegen Ihre Geldbörse entscheiden. Viele Lösungen für das mobile Bezahlen können die Forderungen der Datenschützer im Bereich „Sicheres Bezahlen“ noch nicht erfüllen. Die Liste der Eigenschaften, die eine datenschutzgerechte, sichere Bezahllösung auf dem Smartphone haben sollte, ist lang. Die Lösung der Wahl sollte vor allem

  • das unberechtigte Auslesen von Daten über die NFC-Schnittstelle verhindern,
  • anonyme oder pseudonyme Bezahlmöglichkeiten vorsehen,
  • Transparenz bieten, welche personenbezogenen Daten im Fall der Nutzung übertragen werden sollen,
  • es dem Nutzer ermöglichen, über die Preis-gabe bestimmter personenbezogener Daten zu entscheiden,
  • keine lokalen Nutzungsspuren auf dem Smartphone erzeugen, die der Anwender nicht selbst löschen kann,
  • lokale Daten sicher verschlüsseln,
  • die Datenübertragung komplett verschlüsseln und
  • eine mobile App nutzen, die hohe Sicherheitskriterien erfüllt.

Wissen Sie, worauf Sie vor dem Bezahlen mit dem Handy achten müssen?

Frage: Das Bezahlen mit dem Smartphone erspart den Einsatz der Kreditkarte und ist in der Regel anonym. Stimmt das?

  1. Ja, denn nur bei der Zahlung mit der Kreditkarte werden personenbezogene Daten übermittelt.
  2. Nein. Zum einen sind mobile Bezahlfunktionen meist auf kleinere Geldbeträge beschränkt, und zum anderen ist nicht ohne Weiteres klar, welche Daten beim mobilen Bezahlen übertragen werden.

Lösung: Die Antwort 2. ist richtig. Welche Daten das Smartphone zum Beispiel an das Kassensystem übertragen soll, müssen Sie immer zuerst hinterfragen. Es kann durchaus sein, dass auch Nutzerangaben übermittelt werden.

Frage: Eine mobile Bezahllösung von einem seriösen Anbieter verdient Ihr Vertrauen. Oder etwa nicht?

  1. Ich kann nicht ohne Weiteres davon ausgehen, dass eine App sicher ist. Das gilt auch für Bezahl-Apps.
  2. Natürlich. Mobiles Bezahlen ist so sicher wie die Nutzung eines Geldautomaten.

Lösung: Die Antwort 1. ist richtig. Leider gibt es auch Schwachstellen in solchen Apps, die für das Bezahlen und andere kritische Vorgänge genutzt werden. Datendiebe könnten versuchen, die Bezahldaten zu stehlen oder zu manipulieren.

Seien Sie kritisch

Wenn also die Werbung für ein neues Smartphone oder das Angebot eines Dienstleisters verspricht, dass Sie ab sofort kein Kleingeld mehr brauchen, sondern nur noch Ihr Handy, sollten Sie zuerst klären, wer das mobile Bezahlverfahren überhaupt akzeptiert, wie die Datensicherheit gewährleistet wird und was mit Ihren personenbezogenen Daten bei Nutzung der Zahlfunktion passiert. Solange es hier keine zufriedenstellenden Antworten gibt, ist die schwere Brieftasche nicht die schlechtere, sondern sogar die bessere Wahl. Schließlich ist das anonyme Bezahlen mit Münzen kein Problem, bei einer Handy-Zahlung oftmals schon.

Sabine Thomas ist Diplomkauffrau und DEKRA zertifizierte Datenschutzbeauftragte der Ing.-Büro Dr. Plesnik GmbH. Sie vertritt Herrn Dr. Walter Plesnik als Assistentin der Geschäftsführung und ist mit der Personalleitung beauftragt.