Hintergrund

Mit dem Handy bezahlen dank NFC

NFC

Mit dem Smartphone kann man nicht nur im Internet einkaufen, sondern auch an vielen Supermarktkassen direkt bezahlen. Zum Deutschlandstart von Google Pay erklären wir, wie die Technik NFC funktioniert, welche Anbieter es gibt und wo die Risiken liegen.

Aktualisiert am
Autor
Schlagworte
Android Pay · Apple Pay · Banking · Mobiles Bezahlen · NFC · Wallet
Drucken

Veröffentlicht am

Auf einen Blick

NFC setzt sich durch

„Mit dem Handy bezahlen“ – dabei denken viele Nutzer an Online-Shoppen mit dem Smartphone, also an Einkaufen bei Amazon, Zalando und Co. Mit dem Smartphone kann man inzwischen aber auch in vielen Geschäften direkt an der Kasse bezahlen.

Die Technik, die sich dafür derzeit durchsetzt, nennt sich NFC (Near Field Communication, deutsch etwa: Nahfeldkommunikation). Mit NFC lassen sich Daten über eine kurze Strecke von etwa vier Zentimetern kontaktlos zwischen zwei Geräten oder auch zwischen einem Gerät und einer Karte übertragen.

Seit 2015 werden in Deutschland die Kassen von Geschäften, die die Kreditkarten Mastercard oder Visa akzeptieren, mit NFC-Lesegeräten ausgestattet. Geschäfte, in denen Sie per NFC bezahlen können, erkennen Sie an diesem Symbol.

Derzeit sind mehr als 100.000 Kassen NFC-fähig – bei Aldi, Lidl, Rewe und vielen anderen großen Einkaufsketten.

Kreditkarten sind inzwischen zum großen Teil NFC-fähig, aber auch manche EC-Karten sind bereits mit der Technik ausgestattet. An NFC-Kassen muss man dann zum Bezahlen nur die Karte an das Lesegerät halten. Bei Kreditkarten ist bis zu einem Betrag von 25 Euro keine PIN nötig. Visa hat die Grenze mittlerweile auf 50 Euro erhöht.

So wird Ihr Handy zur Geldbörse

Das Bezahlen mit einem NFC-fähigen Handy funktioniert im Prinzip wie das Bezahlen mit der NFC-Kredit- oder EC-Karte. Sie brauchen dafür eine App, die den Bezahlprozess per NFC an der Kasse durchführt. Diese App müssen Sie dann irgendwie mit Geld befüllen. Dafür gibt es mehrere Möglichkeiten:

  • Guthabenkarten: Können Sie zum Beispiel für Google Pay in der Drogerie kaufen und dann einen Code in die App eingeben.
  • Kreditkarten: In allen Apps können Sie Kreditkartendaten hinterlegen. Damit funktioniert die App dann genauso wie eine Kreditkarte.
  • Debitkarte/Lastschrift: In einigen Apps ist es möglich, eine Debitkarte zu hinterlegen oder per Lastschrift Guthaben in die App zu transferieren. Dies ist nur empfehlenswert, wenn die App von ihrer eigenen Bank stammt.

Halten Sie nun Ihr Handy an die Kasse, tut es so, als wäre es selbst eine Kreditkarte.

Passende Apps: Boon, Glase, Google Pay

Die drei bekanntesten Apps dieser Art, die auch in Deutschland funktionieren, sind Google Pay, Boon von Wirecard Card Solutions Ltd.(UK) und Glase (früher SEQR) vom schwedischen Unternehmen Glase FinTech AB.

Boon gibt es derzeit in Deutschland nur für Android, für iOS ist eine App vorhanden, aber nicht im deutschen App-Store verfügbar. Mit einem Trick kann man sie aber trotzdem schon nutzen. Glase gibt es für Android und iOS.

Die Nutzung von Boon ist kostenpflichtig. Glase/SEQR ist kostenlos, nur bei grenzüberschreitenden Überweisungen können Kosten anfallen. Glase gibt aber in der Datenschutzerklärung an, dass Nutzerdaten für Werbezwecke verwendet werden.

Google Pay ist in Deutschland erst seit dem 26. Juli 2018 verfügbar. Um den Dienst nutzen zu können, brauchen Sie die Google-Pay-App und eine passende Kreditkarte. Allerdings können bisher nur Nutzer mit einer Kreditkarte von boon (Wirecard), comdirect, der Commerzbank oder N26 können mit Google Pay per NFC an der Ladenkasse zahlen. Alle anderen können den Dienst zum Bezahlen im Online-Handel nutzen.

Kooperationen mit LBBW und Revolut sollen bald folgen. Zur ganzen Liste der teilnehmenden Banken geht es hier.

Alle drei Apps stellen Mindestanforderung an die Sicherheit Ihres Betriebssystems und Ihres Geräts. Einige No-Name-Hersteller und alte Android-Versionen (4.4 und älter) werden nicht unterstützt.

Nutzer von Apple-Geräten müssen sich in Sachen NFC-Bezahlung noch etwas gedulden. Apple hat angekündigt, den eigenen Bezahldienst Apple Pay noch 2018 in Deutschland frei zu schalten.

Kann mein Handy NFC?

Nur Smartphones, die einen NFC-Chip haben, können NFC-Apps nutzen. So ein Chip gehört inzwischen zur Standard-Ausstattung. Um herauszufinden, ob Ihr Smartphone NFC-fähig ist, gehen Sie in die Einstellungen des Geräts und suchen Sie nach dem Punkt „NFC“.

Bei manchen Anbietern können Sie Ihr Smartphone auch nachträglich mit einem NFC-Sticker aufrüsten. Die sogenannte NFC-SIM-Karte, die Sie für manche Dienste benötigen, enthält hingegen keinen NFC-Chip. Diese SIM-Karte bringt lediglich einen besonders gesicherten Speicherchip mit, in dem Bezahldaten, zum Beispiel die Kreditkartennummer, sicher abgelegt werden können. Ein NFC-fähiges Handy oder einen Sticker brauchen Sie also trotzdem.

Manche Apps arbeiten ohne solch einen Sicherheitsspeicher. In diesem Fall werden überhaupt keine Bezahldaten auf dem Handy gespeichert, sondern nur auf einen speziell gesicherten Server des Anbieters.

Zum Bezahlen überträgt das Handy die nötigen Daten dann vom Server des Anbieters. Die eigentliche Kreditkartennummer wird dabei nicht verwendet, sondern nur ein daraus abgeleiteter Begriff, ein sogenanntes Token.

NFC-fähige iPhones haben standardmäßig einen eingebauten Sicherheitsspeicher, brauchen also keine besondere SIM-Karte.

Bezahl-Apps für bestimmte Kundenkreise

Die österreichischen Sparkassen und die Erste Bank bieten mit der BankCard Mobil eine App an, mit der das Smartphone ihrer Kunden zur Bankcard wird. Sie ist allerdings nur für Kunden nutzbar, die einen Mobilfunkvertrag bei T-Online, A1, Drei oder Tele.ring haben.

Seit April 2017 bieten auch die Deutsche Bank und die Postbank für ihre Kunden eine NFC-Bezahloption per App an. Die Apps heißen Deutsche Bank Mobile und Postbank Finanzassistent.

Ende Juli 2018 haben schließlich auch die deutschen Sparkassen mit Mobiles Bezahlen – Ihre digitale Geldbörse eine NFC-App für Android-Geräte vorgelegt. Im August 2018 folgten die Volks- und Raiffeisenbanken mit einer neuen Funktion für „Mobiles Bezahlen“ innerhalb ihrer VR-Banking-App.

Viele andere Bezahl-Apps, die in den letzten Jahren vor allem von Mobilfunkanbietern herausgebracht wurden, sind inzwischen wieder eingestellt. Dazu gehören die Vodafone Wallet, Mpass (Telefonica, Telecom, Vodafone), die BASE Wallet, die 02 Wallet und MyWallet (Telekom).

Einige Einzelhandelsketten haben ihre eigenen Bezahl-Apps entwickelt, die nicht mit NFC funktionieren. Zum Beispiel bieten die Supermärkte Netto, EDEKA und Galeria Kaufhof eigene Apps an. Hinter allen dreien steht die Firma Valuephone GmbH, die den Bezahlvorgang abwickelt.

Wie sicher ist Bezahlen per NFC-App?

Diebstahl: Wer sein Handy zur Kreditkarte umfunktioniert, sollte selbstverständlich gut darauf aufpassen. Wird das Handy geklaut, kann der Dieb – je nach Einstellung – für bis zu 25 Euro und bei bestimmten Anbietern bis zu 50 Euro ohne PIN einkaufen. Denn bis zu diesem Betrag kann man zumindest mit Google Pay zahlen, ohne das Handy zu entsperren.

Auch eine Ortungsfunktion bietet sich spätestens jetzt an. Dann kann man bei einem Verlust das Gerät zumindest noch orten.

Bildschirmsperre: Bekommt jemand Ihr Handy ungesperrt in die Finger, kann er zumindest mit Google Pay bis zum Kartenlimit bezahlen. Wenn Sie den Dienst nutzen sollten Sie daher unbedingt eine sichere Displaysperre einrichten, die nur Sie kennen.

Haftung: Wie bei der Kreditkarte haften Sie auch hier für unrechtmäßige Transaktionen bis zu 50 Euro bis zu dem Zeitpunkt, an dem Sie den Diebstahl bei Ihrer Bank oder der Kreditkarten-Hotline melden. Teurer kann es werden, wenn Sie sich grob fahrlässig verhalten, wenn Sie zum Beispiel Ihr Handy herumliegen lassen und die PIN für die Displaysperre auf einen Zettel auf das Handy geklebt haben. Was noch alles darunter fällt, lesen Sie am besten in den AGB nach.

Heimlich auslesen: Können die Bezahldaten heimlich aus dem Handy ausgelesen werden? Bei NFC-Kreditkarten ist das leicht möglich – mit der Android-App NFC Tools können Sie ganz einfach testen, welche Informationen Ihre Karte preisgibt. Nicht selten ist das die Kreditkartennummer und das Ablaufdatum, manchmal auch Ihr Name.

Hier schneiden die NFC-Apps auf dem Smartphone deutlich besser ab. Denn dort sind entweder gar keine Kreditkartendaten auf dem Handy selbst gespeichert oder sie sind auf einem sicheren Element abgelegt, so dass ein heimliches Auslesen von außen sehr schwierig ist.

Heimliche Überweisung veranlassen: Da zumindest bei Google Pay Überweisungen bis 25 Euro ohne Entsperren des Gerätes möglich sind, könnte man theoretisch mit einem tragbaren Bezahlterminal einfach im Vorbeigehen Überweisungen veranlassen. Genau das hatten Redakteure des Computermagazins c´t erfolgreich demonstriert. Aber: Das gestohlene Geld muss auf einem Konto einer anerkannten Bank landen. Der Dieb wäre damit leicht identifizierbar.

Schadprogramme: Anders als eine Kreditkarte kann ein Smartphone selbst unsicher werden, wenn es zum Beispiel mit einem Trojaner infiziert ist. Wenn sich so ein Schadprogramm entsprechende Zugriffsrechte verschafft, kann es die Sicherheitsmechanismen jeder anderen App ausschalten. Wer sein Handy als Geldbörse benutzt, sollte sich daher besonders vor Schadprogrammen schützen.

Echte Erfahrungswerte darüber, wie angreifbar NFC-Apps sind, fehlen noch weitgehend. Auf jeden Fall gilt: Wenn Sie mit Ihrem Smartphone Geldgeschäfte machen, sollten Sie einige grundlegende Sicherheitsregeln beachten.

Datenschutz beim mobilen Bezahlen

Wer per App bezahlt, teilt seine Kaufhistorie dem Anbieter der App mit. Zusätzlich zur Bank, dem Bezahldienstleister und sonstigen beteiligten, erfährt also noch eine weitere Firma, wofür man sein Geld ausgibt. So sind beispielsweise an der Zahlungsabwicklung mit der Netto-App sowohl das Unternehmen Valuephone, die Deutsche Post als auch die eigene Hausbank und die Handelsbank von Netto beteiligt.

Solche Nutzungsdaten werden von den Unternehmen gewinnbringend eingesetzt. So nutzt die erwähnte App Glase/SEQR die Einkaufshistorie seiner Kunden, um zielgerichtete Werbung von Dritten zu schalten. Auch Google schlachtet die Kaufhistorie seiner KundInnen aus und reicht sämtliche Daten auch an Tochterfirmen weiter.

Apps, die vom eigenen Kreditinstitut herausgegeben werden, haben hier einen klaren Vorteil. Banken leben in der Regel nicht vom Geschäft mit Nutzerprofilen und was man kauft, erfährt die eigene Bank nun mal sowiso. Hier kann das Bezahlen per App sogar einen Privatsphäre-Vorteil bringen. Denn anders als beim Bezahlvorgang mit Kreditkarte werden beim Bezahlen per App nicht die Kreditkartendaten, sondern nur ein einmaliges Token übertragen. Zumindest der Händler und der Dienstleister, der das NFC-Terminal bereitstellt, erfahren somit schon mal nichts über einen.

Trotzdem gilt: Anonym bleibt man nach wie vor nur mit Bargeld.


Mehr zum Thema auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!