Hinweis: Hier erläutern wir die Risiken beim mobilen Bezahlen per NFC. Wenn Sie wissen möchten, wie das Bezahlen per NFC funktioniert, welche Apps es gibt und welche Banken mitmachen, dann lesen Sie unseren Beitrag Bezahlen mit dem Handy: So funktioniert die NFC-Technik.
Diebstahl
Wer sein Handy zur Bankkarte umfunktioniert, sollte selbstverständlich gut darauf aufpassen. Wird das Handy geklaut, kann der Dieb damit bis zu 25 Euro oder - bei einigen Anbietern - sogar bis zu 50 Euro ohne Eingabe der PIN einkaufen.
Bei manchen Apps lässt sich einstellen, dass die PIN bei jedem Bezahlvorgang eingegeben werden muss, aber nicht bei allen. Google Pay beispielsweise erlaubt einen Einkauf bis zu 25 Euro grundsätzlich auch bei gesperrtem Handybildschirm.
Spätestens jetzt bietet sich die Aktivierung der Ortungsfunktion für das eigene Gerät an. Geht das Handy verloren, kann man übers Internet nachvollziehen, wo es sich befindet.
Bildschirmsperre
Bekommt jemand Ihr Handy entsperrt in die Finger, kann er bei einigen Anbietern, darunter Google Pay, bis zum Limit der hinterlegten Bankkarte bezahlen. Wenn Sie einen Bezahldienst nutzen, sollten Sie daher unbedingt eine sichere Bildschirmsperre einrichten, die nur Sie kennen.
Haftung
Wie bei Bankkarten haften Sie auch beim Diebstahl Ihres Handys für unrechtmäßige Transaktionen bis zu 50 Euro bis zu dem Zeitpunkt, an dem Sie den Diebstahl bei Ihrer Bank oder der Kreditkarten-Hotline melden.
Teurer kann es werden, wenn Sie sich grob fahrlässig verhalten, wenn Sie zum Beispiel Ihr Handy herumliegen lassen und die PIN für die Bildschirmsperre auf einen Zettel geschrieben und aufs Handy geklebt haben. Was noch alles darunter fällt, lesen Sie am besten in den AGB ihrer Bank nach.
Heimlich auslesen
Können die Bezahldaten heimlich aus dem Handy ausgelesen werden? Bei NFC-Kreditkarten ist das leicht möglich – mit der Android-App NFC Tools können Sie ganz einfach testen, welche Informationen Ihre Karte preisgibt. Unter Umständen ist das die Kreditkartennummer und das Ablaufdatum, manchmal auch Ihr Name.
Hier schneidet die NFC-Sicherheit auf dem Smartphone deutlich besser ab. Denn dort sind entweder gar keine Kartendaten auf dem Handy selbst gespeichert oder sie sind auf einem sicheren Element abgelegt, so dass ein heimliches Auslesen von außen sehr schwierig ist.
Heimliche Überweisung auslösen
Da manchen Anbietern Überweisungen bis 25 Euro ohne Entsperren des Gerätes möglich sind, könnte man theoretisch mit einem tragbaren Bezahl-Terminal einfach im Vorbeigehen Überweisungen veranlassen.
Genau das hatten Redakteure des Computermagazins c't erfolgreich demonstriert. Aber: Das gestohlene Geld muss auf einem Konto einer anerkannten Bank landen. Der Dieb wäre damit leicht identifizierbar. In der kriminellen Praxis also keine sehr erfolgsversprechende Masche.
Schadprogramme
Anders als eine Kreditkarte kann ein Smartphone selbst unsicher werden, wenn mit einem Schadprogramm infiziert ist. Wenn sich so ein Schadprogramm entsprechende Zugriffsrechte verschafft, kann es die Sicherheitsmechanismen jeder anderen App ausschalten. Wer sein Handy als Geldbörse benutzt, sollte sich daher besonders vor Schadprogrammen schützen.
Echte Erfahrungswerte darüber, wie angreifbar NFC-Apps sind, fehlen noch weitgehend. Auf jeden Fall gilt: Wenn Sie mit Ihrem Smartphone Geldgeschäfte machen, sollten Sie einige grundlegende Sicherheitsregeln beachten.
Sicherheitslücke Android-Beam
Anfang Oktober 2019 ist eine Sicherheitslücke bekannt geworden, dank der über die NFC-App "Android Beam" heimlich Apps auf Geräte mit Android 8, 9 und 10 installiert werden können. Ein manipuliertes Bezahlterminal, an das man sein Handy hält, könnte so ein Schadprogramm installieren. Wer das Sicherheitsupdate von Oktober 2019 hat, ist geschützt.
Wenn Sie das Update nicht erhalten, sollten Sie der App "Android Beam" die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren.
Datenschutz beim mobilen Bezahlen
Wer per App bezahlt, teilt seine Kaufhistorie dem Anbieter der App mit. Zusätzlich zur Bank, dem Bezahldienstleister und sonstigen Beteiligten, erfährt also noch eine weitere Firma, wofür man sein Geld ausgibt.
So sind beispielsweise an der Zahlungsabwicklung mit der App der Supermarktkette Netto sowohl das Unternehmen Valuephone, die Deutsche Post als auch die eigene Hausbank und die Handelsbank von Netto beteiligt (Stand 2015).
Solche Nutzungsdaten werden von den Unternehmen gewinnbringend eingesetzt. So schlachtet Google die Kaufhistorie seiner KundInnen hemmungslos aus und reicht sämtliche Daten auch an Tochterfirmen weiter.
Apps, die vom eigenen Kreditinstitut herausgegeben werden, haben hier einen klaren Vorteil. Banken leben in der Regel nicht vom Geschäft mit Nutzerprofilen und was man kauft, erfährt die eigene Bank sowieso.
Hier kann das Bezahlen per App sogar einen Privatsphärevorteil bringen. Denn anders als beim Bezahlvorgang mit Kreditkarte werden beim Bezahlen per App nicht die Kreditkartendaten, sondern nur ein einmaliges Token übertragen. Zumindest der Händler und der Dienstleister, der das NFC-Terminal bereitstellt, erfahren somit nichts über einen.