Steht man an der Kasse, soll es meistens ganz schnell gehen. Viele Menschen zahlen heutzutage nur noch selten mit Bargeld, sondern nutzen eher Bank- oder Kreditkarten, denn mittlerweile kann man so ziemlich überall damit bezahlen. Neu hinzugekommen ist die Möglichkeit, dies auch mit dem Smartphone zu tun. Dabei geht es hier nicht um Finanz-Apps verschiedener Banken, die in der Vergangenheit teilweise viele Lücken aufwiesen, sondern um die in das Betriebssystem integrierte Möglichkeit, des Bezahlens. Dafür reicht es meist schon, das Smartphone oder die mit dem Smartphone verbundene (kompatible) Smartwatch an das NFC (Near-Field-Communication) Karten Terminal zu halten und die Transaktion zu bestätigen.

 

Was brauche ich für Apple- oder Google Pay?

Benötigt wird ein Smartphone mit verbauter NFC Technik und eine unterstützte Kredit- bzw. Bankkarte. Die Daten dieser Karte werden dann entweder manuell in die App (Apple- oder Google Pay) eingetragen oder mit der Kamera eingescannt. Außerdem gilt hier: Umso neuer, umso besser. Smartphone Hersteller verbessern regelmäßig die Hardware und Sicherheitstechniken, damit diese Bezahlmethode auch langfristig sicher bleibt.

 

Was macht Apple- und Google Pay so sicher?

Nach Expertenmeinung ist die Bezahlmethode mit dem Smartphone sicherer, als mit einer klassischen Giro- oder Kreditkarte. Dies liegt unter anderem daran, dass die Kreditkartennummern nicht mitgeschnitten werden können. Denn anstelle der Kreditkartennummer, wird eine Art Stellvertreter Nummer übertragen. Dies macht nach einem Mitschnitt der Übertragung, den Missbrauch der Daten unmöglich.

 

Stellvertreter Nummer, was ist das?

Bei Apple wird die Stellvertreter Nummer auch „Geräteaccountnummer“ genannt. Diese ist für jedes Gerät einmalig und wird nach Eingabe der Kartendaten in Apple Pay und der Bearbeitung durch die herausgebende Bank, zusammen mit einem Schlüssel, der es ermöglicht, einmalige dynamische Sicherheitscodes für Transaktionen herzustellen, im Secure-Element gespeichert. Die Geräteaccountnummer kann von Apple nicht entziffert werden.

 

Bei Google nennt sich die Stellvertreter Nummer „Token“. Nach Eingabe der Daten in Google Pay, bekommt Google von der herausgebenden Bank einen Token, der mit einer einmaligen ID versehen und danach verschlüsselt gespeichert wird. Bei einem Bezahlvorgang antwortet Google Pay mit diesem Token und einem Kryptogramm, das als Einmalpasswort dient.

 

Wo werden meine Daten gespeichert?

Bei Apple wird die Kartennummer weder auf dem Gerät, noch auf einem Apple Server gespeichert. Allein das kryptografische Schlüsselmaterial, welches für die Zahlung notwendig ist, wird im eigenen Gerät gesichert. Diese Daten befinden sich auf einem gesicherten Hardware-Baustein, der auch Secure-Element genannt wird. Diese sicherheitsrelevanten Daten verlassen den Baustein nicht, was es besonders vor Angriffen schützt.

 

Google geht einen anderen Weg. Denn Google Pay arbeitet eng mit dem Google Konto zusammen, das heißt, dass Kreditkarten- oder Bankkonto-Daten im Google Konto gespeichert werden. Hat man in der Vergangenheit schon einmal etwas bei Google gekauft oder seine Zahlungsdaten dort hinterlegt, stehen diese bereits in Google Pay zur Verfügung.

 

Wie gebe ich die Transaktion frei?

Bei Apple startet man Apple Pay mit einem zweifachen Klick auf die Seitentaste. Nun kann das Smartphone oder die damit verbundene (kompatible) Smartwatch an das NFC Terminal gehalten werden. Zur Verifikation bei Apple Pay, gibt es verschiedene Möglichkeiten. Besitzt man ein iPhone mit FaceID, reicht es auf das Smartphone zu schauen um die Transaktion freizugeben. Ist in dem iPhone kein FaceID verbaut, steht noch der Fingerabdruck und im Notfall auch der voreingestellte Code, als Authentisierungsmöglichkeit zur Verfügung.

 

Bei Android-Geräten und Beträgen unter 25€ reicht es aus, das Smartphone mit eingeschaltetem Display einfach nah an das NFC Terminal zu halten. Befindet sich der zu bezahlende Betrag darüber, muss das Smartphone entweder mittels Gesichtserkennung, Fingerabdruck oder PIN entsperrt werden, um eine Zahlung zu authentisieren. Alternativ kann auch hier mit einer kompatiblen Smartwatch bezahlt werden.

 

Was passiert, wenn ich keine Internetverbindung habe?

Bei beiden Dienstleistern ist eine Zahlung auch ohne Internetverbindung möglich. Dies liegt unter anderem daran, dass Apple hierfür das kryptografische Schlüsselmaterial nutzt und offline eine Stellvertreter Nummer generiert, die beim Bezahlen übertragen wird und den Einkauf authentisiert. Google hält für den Fall, dass keine Internetverbindung zur Verfügung steht, einige so genannte einmal Tokens bereit, die auf dem Smartphone gespeichert sind.

 

Einmal Tokens können Schwachstelle sein

Eine Schadsoftware könnte rein theoretisch die im Android Smartphones gespeicherten Tokens auslesen und an den Angreifer senden, um sie dann für Zahlungen zu missbrauchen. Solche Fälle sind bislang jedoch nicht bekannt und auch Experten schätzen die Gefahr als eher gering ein.

 

Datenschutz

Laut Apple werden keine Daten des Einkaufs gespeichert. Apple tritt im Fall der Verwendung von Apple Pay nur als Vermittler auf, der lediglich den Datenstrom verschlüsselt.

Anders sieht das bei Google aus. Hier werden nicht nur der Betrag, das Datum und die Uhrzeit der Transaktion, sondern unter anderem auch, wo und was man eingekauft hat, gespeichert. Laut Google werden diese Informationen jedoch nicht für Werbezwecke, sondern nur zur Erstellung einer Rechnung genutzt.

 

Aufgrund der Vielzahl an Vorkehrungen spielen Apple- und Google Pay ganz vorne mit beim Thema Sicherheit.

Die Stellvertreter Nummern sowie die kryptischen und dynamischen Sicherheitscodes lassen die Bank- oder Kreditkarten alt aussehen. Dank dieser Techniken ist es nicht mehr möglich, die Kreditkartennummer beim Bezahlen am Terminal auszulesen und zu missbrauchen.