Jetzt mit AndroidPIT und Vodafone eins von drei Huawei P8 direkt zum Verkaufsstart gewinnen

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren
Verfasst von:

So sicher ist NFC - Wie werden unsere Daten bei NFC geschützt?

Verfasst von: Fabien Roehlinger — 05.12.2011

Eins sollte uns allen klar sein: NFC wird kommen. Und zwar so richtig. Ich bin mir sogar sicher, dass wir in wenigen Jahren einen Großteil unserer Zahlungen mit Bargeld durch NFC ersetzen werden. Wie bei fast jeder neuen Technologie, die im vergangenen Jahrzehnt auf den Markt kam, kann man eine große Verunsicherung bei vielen Menschen spüren. Es geistern viele Mythen durch die Köpfe, Foren und Stammtische. "Da ist doch mein Geld nicht mehr wirklich sicher" oder "Was ist, wenn ein Virus in meinem Telefon sitzt und meine Daten stiehlt?" sind nur zwei von vielen Ängsten oder Vorurteilen, die bei vielen Menschen vorhanden sind. Dabei ist NFC eine sehr sichere Technologie, die kaum missbraucht werden kann.

Es herrscht noch viel Unsicherheit NFC betreffend. Das liegt wahrscheinlich an der Tatsache, dass der Begriff für viele Menschen gefühlt über Nacht aufgetaucht ist. Echte Erklärungen wie NFC vor allem in Punkto Sicherheit funktioniert, liest man leider in der Presse zu selten. Entsprechend ranken sich nun auch einige Mythen um die neue Technologie. Wir haben hier einige der wichtigsten Fragen zur Sicherheit und dem Datenschutz im Umgang mit NFC aufgelistet und - hoffentlich - beantwortet.

Wie funktioniert NFC?
NFC ist die Abkürzung für Near Field Communication. Die Technologie dahinter ist die Radio Frequency Identification, oder kurz RFID. Der Chip funkt bestimmte Informationen zu einem Lesegerät, die dort dann weiterverarbeitet werden können. Dabei braucht der Transponder bzw. Chip keine, oder nur sehr wenig Energie. Als "Energiespender" fungieren wahlweise das Handset oder aber das PayPass Terminal. Wie der Name NFC schon sagt, erfolgt der Datenaustausch über eine sehr kurze Distanz.

Wofür wird NFC eingesetzt?
Derzeit wird die Near Field Communication vor allem mit Bezahltransaktionen in Verbindung gebracht. Das dürfte wahrscheinlich auch eines der wichtigsten Features der nächsten Jahre werden. Dennoch kann der neue Standard sehr viel mehr als nur ein Substitut für Bargeld werden. Bei allen Prozessen, die eine (genaue) Authentifizierung einer Person erfordern, wird NFC zum Einsatz kommen können. Es ist denkbar, dass man bald ein Hotelzimmer online bucht und man den Schlüssel für das Hotelzimmer direkt over the air auf das Telefon zugeschickt bekommt. Oder eben auch ein Konzertticket, Schlüssel für einen Leihwagen, usw.

Hier dürften sich bald viele neue Geschäftsmodelle rund um NFC entwickeln.

Sitzen NFC-Chips nur in Telefonen?
Aktuell wird NFC vorallem mit Bezahlkarten (wie Kredit-oder Debitkarten) in Verbindung gebracht, die NFC können. Dabei könnten entsprechende Chips auch in Aufklebern, Schlüsselanhängern oder Ähnlichem sein. Zukünftig wird man NFC aber viel stärker in Mobiltelefonen vorfinden, denn Telefone machen besonders viel Sinn. Zum Einen gibt es eine mobile Internetverbindung, über die man beispielsweise auch die Konzerttickets, Hotelzimmerschlüssel, usw. zugeschickt bekommen kann. Übrigens: Zur Bezahlung selber braucht man keine Internetverbindung!

Ist das Bezahlen mit NFC denn sicher?
Erstmal: Eine hundertprozentige Sicherheit kann es natürlich nicht geben. Dennoch sorgen die Anbieter von NFC-Anwendungen dafür, dass beim Bezahlen zunächst einmal die gleichen Sicherheitsmaßnahmen greifen wie bei herkömmlichen Kartenzahlungen. Wenn NFC beim Mobiltelefon im Einsatz zum Bezahlen kommt greifen zusätzlich noch weitere Sicherheitsmechanismen, die kontaktloses Bezahlen – wie bspw. mit MasterCard PayPass, sicherer machen sollen. Es gibt verschiedene Sicherheitsmechanismen, die in den ganzen Prozess eingebettet sind. Wichtig ist schon mal die Tatsache, dass auf dem PayPass-Chip nicht der Name des Kartenhalters gespeichert ist. Das ist schon mal ein grundlegendes Entscheidungskriterium zur handelsüblichen Kreditkarte. Außerdem schickt das Terminal der Kasse ein Signal an den NFC-Chip, das sicherstellt, dass sowohl Chip und Terminal die gleiche Transaktion bearbeiten.

Als Sicherheitsmerkmal wird übrigens das CVC3 als derzeit sicherste Authentifizierungsmethode und Kryptogramm verwendet. Der hier verwendete Code ist dynamisch - ganz im Gegensatz zu den aktuell fixen CVC1-Codes auf den Kreditkarten. Der CVC3-Algorithmus basiert auf einer 112-Bit-Verschlüsselung. Um es einfach zu machen: Das sollte reichen!

Übrigens: ab einem Betrag von 25 Euro wird noch _zusätzlich_ eine PIN verwendet. Dennoch wird von den Kartenherausgebern per Zufallsgenerator auch bei Beträgen von unter 25 Euro hin-und wieder einmal die PIN-Eingabe oder die Unterscrift verlangt und das Risiko für die Bank wird durch ein sogenannte offline-Limit begrenzt, wodurch auch ein potentieller Finder der Karte oder Dieb nicht unbegrenzt einkaufen kann. Aber auch eine Kontaktlos-Bezahlung unter Eingabe von PIN und Unterschrift ist immer noch schneller als eine herkömmliche Bezahlung.

Können Betrüger elektronisch meine Informationen auf dem Chip klauen, um dann eine Kopie des Chips/Karte anzufertigen?
Vieles ist weiter oben bereits angedeutet. Aber um es noch einmal klar zu sagen: Nein, das ist nicht möglich. Der Chip ist fest verbaut - entweder in eine Karte, oder aber in das Telefon. Die Informationen sind über das Kryptogramm geschützt und auch die weiteren Informationen, die übermittel werde, reichen nicht aus, um eine Kartenfälschung oder eine betrügerische Transaktion zu erzeugen. verschlüsselt.

Selbst wenn es gelänge die Informationen zu stehlen und zu entschlüsseln, wäre es - wie gesagt - sinnlos diese Informationen auf einen Magnetstreifen zu kopieren, weil sie per se für weitere Transaktionen nicht genutzt werden können. Das ist einer der Vorteile von NFC: ein simples Kopieren eines Magnetstreifens wie es beim Skimming am Automaten erfolgt, ist nicht mehr möglich.

Können schädliche Apps meine NFC- oder andere Daten auf meinem Telefon klauen, um dann Zahlungen durchzuführen?
Der NFC-Chip hat keinen Zugriff auf irgendwelche Daten auf dem Telefon. Schädlinge, wie Viren oder Trojaner, die durch unachtsame Installationen auf das Telefon gelangen können, sind theoretisch denkbar. Es wäre möglich, dass diese versuchen an die Daten des Chips zu gelangen. Was allerdings maximal denkbar wäre, ist, dass ein Virus sich so in das System pflanzt, dass Eure selbstgewählte Zugangspasswort zur Bezahlapplikation abgefragt wird. Und selbst wenn ein Dieb Zugang hierzu hätte, erfordern Transaktionen eine Autorisierung durch dahinter liegende Sicherheitssysteme. Sicherheitshalber erwähne ich an dieser Stelle erneut, dass nicht alle Informationen auf dem Chip gespeichert sind. Sprich: Sie wären für einen Betrüger wertlos!

Die Antwort ist also: Betrüger könnten über Viren oder Trojaner an gewisse Informationen auf dem Telefon kommen. Allerdings kommen sie nicht an die Transaktionsdaten, denn diese werden in einem separaten Sicherheitselement gespeichert.

Was passiert wenn mein Telefon geklaut wird? Kann dann jemand mein Bankkonto plündern?
Grundsätzlich gilt natürlich: Wenn man bestohlen wird, entsteht auch ein Schaden. Allerdings sind die Ängste, bei einem Diebstahl des Telefons wäre dann auch das Bankkonto leer, unbegründet. Wie bei der handelsüblichen Kreditkarte auch, kann man bei einem Diebstahl den Zugang zum Konto sofort sperren lassen. Mit anderen Worten: Bemerkt man den Diebstahl und lässt den Zugang zum Konto sperren, können mit diesem NFC-Chip wenige Minuten später keine Zahlungen mehr getätigt werden. Die PayPass-Terminals sind in der Regel über fixed line mit dem MasterCard Authorisierungssystem mit dem Internet verbunden und fragen vorher nach, ob eine Zahlung autorisiert wird. Der Dieb müsste das Wallet Passwort kennen. Beträge über 25 Euro sind zusätzlich mit einer PIN gesichert. Ein Dieb könnte also keinen großen Schaden anrichten, da er lediglich Transaktionen bis zu dieser Summe tätigen kann - und dies nicht unbegrenzt, da es auch ein sogenantes offline-Transaktionslimit gibt und die Transaktionen durch das Autorisierungssystem überwacht werden..

Und außerdem: Auch bei einem NFC-Chip haftet der Inhaber nur begrenzt. Das heißt nur für grobe Fahrlässigkeit und zumeist bis zur maximalen Höhe von 150 Euro.

Der Verlust eines Geldbeutels dürfte in diesem Zusammenhang wesentlich schmerzvoller sein. Das Bargeld darin ist definitiv weg. Keine Bank würde für einen solchen Diebstahl aufkommen. Alle Karten müssten neu bestellt werden. Mit einem Google Wallet Account reicht es sich einfach mit einem neuen Chip einzuloggen. Die Karten sind dann automatisch wieder vorhanden.

Ach ja, selbst wenn diese Statistik Trivialwissen ist: Ein Mensch braucht rund 4 Stunden um zu bemerken, dass seine Geldbörse verschwunden ist. Es dauert aber nur rund 18 Minuten den Verlust eines Telefons festzustellen. Auch hier ist also mehr Sicherheit gegeben.

Kann ich nicht mehr bezahlen, wenn mein Akku leer ist?
Du bist im Restaurant, hast gut gegessen, willst mit Deinem Telefon bezahlen und der Akku ist leer. Musst Du jetzt spülen? Gott sei Dank nicht. Der NFC-Chip braucht nur eine sehr geringe elektrische Ladung, um mit dem Terminal kommunizieren zu können. Selbst wenn der Akku des Telefons leer ist und man nicht mehr telefonieren kann - bezahlen geht noch! Und zwar bis zu zehn Mal. Erst dann streikt auch der NFC-Chip im Telefon mangels weiterer Energiezufuhr.

Verliere ich meine Privatsphäre mit NFC, weil ich gläsern werde?
Viele Menschen haben Angst. Dass es Bewegungsprotokolle von uns gibt. Dass man es Unternehmen gibt, die in dieser Sekunde wissen was man gerade tut. Und ob man lieber den blauen oder den schwarzen Mantel kaufen möchte. Es gibt sogar Leute, die haben Angst davor, dass ihr Haus in Internet-Karten zu erkennen ist.

Ich will diese Angst nicht klein reden. Dennoch beruht die Unsicherheit nicht selten auf falschen Informationen oder Vorstellungen, was Unternehmen mit den Daten anstellen. Fakt ist: Wer unter keinen Umständen digital verfolgbar sein möchte, sollte komplett auf NFC verzichten. Allerdings aber auch auf Smartphones und Kreditkarten. Überhaupt kann man dann schlecht dazu raten das Internet zu verwenden. Theoretisch lässt sich natürlich relativ viel rückverfolgen.

Auf der anderen Seite sind viele (sicherlich nicht alle!) Bedenken tatsächlich theoretischer Natur. Solange man nicht gerade ein gesuchter Verbrecher ist, wird sich keine Behörde und auch kein Unternehmen für diese Daten interessieren.


NFC kommt. Und NFC wird auch vieles verändern. Man sollte sich von daher durchaus Gedanken machen und kritisch sein. Panik ist aber nicht angebracht. Wie man an PayPass sehen kann, wurde im letzten Jahrzehnt sehr viel geforscht und vieles für eine starke Sicherheit getan. Die Vorteile der neuen Technologie überwiegen. Das zumindest ist meine Sichtweise auf die Dinge. Ich wäre froh, wenn ich mit nur einem Device viele verschiedene Dinge, wie Türen öffnen, Dinge bezahlen oder Eintrittskarten via Internet erhalten, erledigen könnte. Die zugrundeliegenden Sicherheitsmechanismen bei NFC helfen dabei, dass unsere bisherigen Standards deutlich aufgewertet werden. Wenn ich heute meinen Schlüssel verlieren, könnte theoretisch jeder damit in mein Haus eindringen. Ist mein Handy weg, auf dem mein Haustürschlüssel gespeichert ist, kann ich diesen in Sekundenschnelle sperren lassen und mir einen Neuen digital besorgen. Und das ohne, dass ich ein teures neues Türschloss einbauen lassen muss.

Schlechte Zeiten also für den Schlüsseldienst... Schöne neue Zeit!

 

 

Weitere Storys zum Thema:

 NFC in SIM-Karten wird zum weltweiten Standard

Hier seht Ihr die erste Google-Wallet Transaktion

44 Kommentare

Neuen Kommentar schreiben:
  • Klaus S. 07.12.2011 Link zum Kommentar

    Super - danke für die vielen Infos rund um die Sicherheit (hatte ich mir doch tatsächlich in nem Kommentar vor einiger Zeit gewünscht).

    Das mit der Geldkarte und dem Prepaid-Guthaben hatte ich schon gehört und als interessante Lösung empfunden.

    Bei anderen Varianten verstehe ich allerdings auch noch nicht so genau wie der Zugriff auf meine Finanzmittel erfolgen soll.

    Für die Kreditkarte brauche ich dafür ja schließlich auch ein separates "Konto" bei einem entsprechenden Finanzdienstleister...

    0
  • Fabien Roehlinger
    • HALL OF FAME
    06.12.2011 Link zum Kommentar

    Das kannte ich noch nicht. Vielen Dank für die Info. Aber wir brauchen natürlich auch APIs von den ganz Großen, bei denen die Entwickler auch Sales-Support erhalten - so wie beim App Store damals bei Apple.

    0
  • Fabien Roehlinger
    • HALL OF FAME
    06.12.2011 Link zum Kommentar

    Was mich nicht wundern würde, wenn es bald offene Schnittstellen (APIs) für die verschiedenen NFC-Systeme geben würde. Auf diese Weise könnten, so wie bei den Apps auch, eine Reihe von Geschäftsmodellen entwickelt werden.

    0
  • Tobias W. 06.12.2011 Link zum Kommentar

    Danke für den Beitrag!
    Ich freu mich schon drauf mit meinem Telefon mein Auto zu Starten oder meine Haustür zu öffnen und natürlich zu bezahlen! Find ich großartig das man demnächst auf Schlüssel und Geldbörse verzichten kann! ;)

    0
  • André M Bajorat 06.12.2011 Link zum Kommentar

    Fabien - zunächst danke für den Bericht. Gut erläutert.
    Vielleicht sollte man noc hinzufügen, dass in Deutschland zunächst die Geldkarte nfc tauglich gemacht wird. Das bedeutet, dass das Missbrauchsrisiko weiter sinkt, da es sich um ein prepaid Guthaben handelt und dieses auf 200 Euro beschränkt ist.

    0
  • Andreas Fischer 06.12.2011 Link zum Kommentar

    toller Beitrag! vielleicht interessiert es noch nicht so viele Leute, weil erst wenige nfc in ihrem handy haben. und es so gut wie noch keine Anwendungen gibt.
    Als erstes wird wohl erstmal Android Beam kommen.

    0
  • Fabien Roehlinger
    • HALL OF FAME
    06.12.2011 Link zum Kommentar

    @Bart: Vielen Dank für das Lob. Das freut mich sehr, wenngleich ich mich dann immer wundere, warum dieser Artikel kaum Views im Vergleich zum Artikel danach hat, bei dem ich kurz darauf hinweise, dass es bei amazon ein Telefon billiger gibt. Schluchz!

    @my2cent: Der NFC-Chip hat nicht Zugriff auf alle Daten. Es können GEWISSE Daten empfangen werden. Die Daten, die für die Zahlung notwendig sind, sind aber a) verschlüsselt und b) auch nicht im vollen Umfang vorhanden. Damit können per se keine Kopien dieses Chips angefertigt werden.

    Weiter oben schreibe ich zur PIN-Eingabe, dass man sie auch über das Terminal eingeben kann.

    0
  • my2cent 06.12.2011 Link zum Kommentar

    Da sind aber doch einige Widersprüche in dem Beitrag, oder??

    Einerseits schreibst du, der NFC-Chip hat keinen Zugriff auf Handy-Daten, andererseits soll er auch "Schlüssel" und "Eintrittskarten" per Mail erhalten, dazu müsste er (bzw. seine APP) doch Zugriff auf Handydaten haben.

    Zum anderen schreibst du, das bezahlen mit leerem Akku geht, oben weiter aber schreibst du, dass man zum bezahlen zwecks Sicherheit auch Wallet-PW und ggf. Pin eingeben muss, wie mache ich das aber ohne laufendes Handy? In das Terminal bestimmt nicht, das wäre ja wieder unsicher.

    Durchsetzen wird sich NFC alleine deswegen weil einige deutsche Banken/Sparkassen sich jetzt der Sache annehmen und NFC auf die eC-Karten bringen wollen.

    0
  • B@rt 06.12.2011 Link zum Kommentar

    @Fabien: Sehr guter Blog! Mein RFID-Prof hätte es in der Kürze auch kaum besser darstellen können

    0
  • Fabien Roehlinger
    • HALL OF FAME
    06.12.2011 Link zum Kommentar

    Ich persönlich glaube, dass die Infrastruktur schneller wachsen wird, als gedacht. Die Telekommunikationsunternehmen wittern hier eine Chance. Sie dürfen diesmal nicht einfach zusehen, dass Google oder Andere das Feld bestellen. Ich denke, dass T-Com und Co. durchaus im kommenden Jahr einige Offensiven starten werden, um das Ganze zu forcieren.

    0
  • MaHu 06.12.2011 Link zum Kommentar

    und weiter geht die lobbyarbeit...

    0
  • typischAndy 06.12.2011 Link zum Kommentar

    Finde diese Technik sehr interessant, da sie einem das Leben deutlich erleichtern kann.

    Gibt es irgendwo eine Seite, auf der man sehen kann, wo man in seiner Umgebung das schon nutzen kann? Mit meinem Handy funktioniert sowieso nicht, wäre aber gut zu wissen...

    0
  • Horst 05.12.2011 Link zum Kommentar

    Guter Blog! Ich bin ja auch für alles offen und habe ein NFC-Handy - und nun...?

    0
  • Simon V 05.12.2011 Link zum Kommentar

    Toller Blog!

    0
  • Sven R. 05.12.2011 Link zum Kommentar

    ...mit IOS 5 kann man ja nicht mal eine mp3-Datei als Klingelton einstellen, ohne dass man vorher sein iPhone mit ITunes verbunden hat und diese mp3 damit für das iPhone als Klingelton kompatibel macht(und die behaupten Android ist zu kompliziert für den Normaluser...lächerlich APPLE) und die wollen NFC natürlich am besten als Standard nur für iPhones möglich machen bzw. durchsetzen...diese Ignoranten...ich hoffe, dass sich hier dieses Mal Android in Szene setzt...

    0
  • Matthias M. 05.12.2011 Link zum Kommentar

    @Fabien – hoppla, den Bereich "weitere Artikel" überlese ich meistens … Asche auf mein Haupt! ;)

    @Samuel – es sind ja glücklicherweise nur Optionen, die man hat. Man kann ja weiterhin sowohl Brötchen als auch Autos mit Bargeld bezahlen. :)

    0
  • Samuel Raabe 05.12.2011 Link zum Kommentar

    Sicherheit hin oder her, die zunehmende Virtualisierung des Geldes gibt mir trotzdem iwie zu Denken...
    Dennoch sehr schöner Blog (:

    0
  • Fabien Roehlinger
    • HALL OF FAME
    05.12.2011 Link zum Kommentar

    Der Artikel ist oben sogar verlinkt :-)

    0
  • Matthias M. 05.12.2011 Link zum Kommentar

    Stichwort Salonfähigkeit: Vor zwei Wochen gab es hier einen Blog zu SIM-Karten mit NFC, da wurden auch SD-Karten mit NFC-Chips erwähnt. Wenn das beides möglich ist, kann man so ziemlich jedes halbwegs aktuelle Handy damit ausstatten. In dem Fall wäre nicht einmal Apple nötig, um da etwas großes ins Rollen zu bringen.

    0
Zeige alle Kommentare