Ratgeber

Wie sicher ist Bezahlen per NFC?

Ein Artikel von , veröffentlicht am 26.01.2019, bearbeitet am10.11.2019
Bild: Pixabay CC0 / Gellinger

Kontaktloses Bezahlen an der Kasse funktioniert fast überall – per Bankkarte oder per Handy. In manchen Punkten ist eine NFC-App sogar sicherer als eine EC- oder Kreditkarte. In unserem Ratgeber erfahren Sie, worauf Sie beim Bezahlen mit dem Handy achten sollten.

Hinweis: Hier erläutern wir die Risiken beim mobilen Bezahlen per NFC. Wenn Sie wissen möchten, wie das Bezahlen per NFC funktioniert, welche Apps es gibt und welche Banken mitmachen, dann lesen Sie unseren Beitrag Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Diebstahl

Wer sein Handy zur Bankkarte umfunktioniert, sollte selbstverständlich gut darauf aufpassen. Wird das Handy geklaut, kann der Dieb damit bis zu 25 Euro oder - bei einigen Anbietern - sogar bis zu 50 Euro ohne Eingabe der PIN einkaufen.

Bei manchen Apps lässt sich einstellen, dass die PIN bei jedem Bezahlvorgang eingegeben werden muss, aber nicht bei allen. Google Pay beispielsweise erlaubt einen Einkauf bis zu 25 Euro grundsätzlich auch bei gesperrtem Handybildschirm.

Spätestens jetzt bietet sich die Aktivierung der Ortungsfunktion für das eigene Gerät an. Geht das Handy verloren, kann man übers Internet nachvollziehen, wo es sich befindet. 

Wie Sie Ihr Gerät für den Verlustfall sichern, erklären wir hier für Android-Geräte und hier für iPhones und iPads.

Bildschirmsperre

Bekommt jemand Ihr Handy entsperrt in die Finger, kann er bei einigen Anbietern, darunter Google Pay, bis zum Limit der hinterlegten Bankkarte bezahlen. Wenn Sie einen Bezahldienst nutzen, sollten Sie daher unbedingt eine sichere Bildschirmsperre einrichten, die nur Sie kennen.

Haftung

Wie bei Bankkarten haften Sie auch beim Diebstahl Ihres Handys für unrechtmäßige Transaktionen bis zu 50 Euro bis zu dem Zeitpunkt, an dem Sie den Diebstahl bei Ihrer Bank oder der Kreditkarten-Hotline melden.

Teurer kann es werden, wenn Sie sich grob fahrlässig verhalten, wenn Sie zum Beispiel Ihr Handy herumliegen lassen und die PIN für die Bildschirmsperre auf einen Zettel geschrieben und aufs Handy geklebt haben. Was noch alles darunter fällt, lesen Sie am besten in den AGB ihrer Bank nach.

Heimlich auslesen

Können die Bezahldaten heimlich aus dem Handy ausgelesen werden? Bei NFC-Kreditkarten ist das leicht möglich – mit der Android-App NFC Tools können Sie ganz einfach testen, welche Informationen Ihre Karte preisgibt. Unter Umständen ist das die Kreditkartennummer und das Ablaufdatum, manchmal auch Ihr Name.

Hier schneidet die NFC-Sicherheit auf dem Smartphone deutlich besser ab. Denn dort sind entweder gar keine Kartendaten auf dem Handy selbst gespeichert oder sie sind auf einem sicheren Element abgelegt, so dass ein heimliches Auslesen von außen sehr schwierig ist.

Heimliche Überweisung auslösen

Da manchen Anbietern Überweisungen bis 25 Euro ohne Entsperren des Gerätes möglich sind, könnte man theoretisch mit einem tragbaren Bezahl-Terminal einfach im Vorbeigehen Überweisungen veranlassen.

Genau das hatten Redakteure des Computermagazins c't erfolgreich demonstriert. Aber: Das gestohlene Geld muss auf einem Konto einer anerkannten Bank landen. Der Dieb wäre damit leicht identifizierbar. In der kriminellen Praxis also keine sehr erfolgsversprechende Masche.

Schadprogramme

Anders als eine Kreditkarte kann ein Smartphone selbst unsicher werden, wenn mit einem Schadprogramm infiziert ist. Wenn sich so ein Schadprogramm entsprechende Zugriffsrechte verschafft, kann es die Sicherheitsmechanismen jeder anderen App ausschalten. Wer sein Handy als Geldbörse benutzt, sollte sich daher besonders vor Schadprogrammen schützen.

Echte Erfahrungswerte darüber, wie angreifbar NFC-Apps sind, fehlen noch weitgehend. Auf jeden Fall gilt: Wenn Sie mit Ihrem Smartphone Geldgeschäfte machen, sollten Sie einige grundlegende Sicherheitsregeln beachten.

Weitere Tipps, wie Sie Ihr Smartphone vor den meisten Gefahren leicht schützen können, geben wir in unserer Checkliste: Basissicherung Android und unserer Checkliste: iPhone und iPad im Alltag sichern.

Sicherheitslücke Android-Beam

Anfang Oktober 2019 ist eine Sicherheitslücke bekannt geworden, dank der über die NFC-App "Android Beam" heimlich Apps auf Geräte mit Android 8, 9 und 10 installiert werden können. Ein manipuliertes Bezahlterminal, an das man sein Handy hält, könnte so ein Schadprogramm installieren. Wer das Sicherheitsupdate von Oktober 2019 hat, ist geschützt.

Wenn Sie das Update nicht erhalten, sollten Sie der App "Android Beam" die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren.

Wie Sie das entsprechende Menü finden, erklären wir im Beitrag Android-Berechtigungen anzeigen und verwalten.

Datenschutz beim mobilen Bezahlen

Wer per App bezahlt, teilt seine Kaufhistorie dem Anbieter der App mit. Zusätzlich zur Bank, dem Bezahldienstleister und sonstigen Beteiligten, erfährt also noch eine weitere Firma, wofür man sein Geld ausgibt.

So sind beispielsweise an der Zahlungsabwicklung mit der App der Supermarktkette Netto sowohl das Unternehmen Valuephone, die Deutsche Post als auch die eigene Hausbank und die Handelsbank von Netto beteiligt (Stand 2015).

Solche Nutzungsdaten werden von den Unternehmen gewinnbringend eingesetzt. So schlachtet Google die Kaufhistorie seiner KundInnen hemmungslos aus und reicht sämtliche Daten auch an Tochterfirmen weiter.

Apps, die vom eigenen Kreditinstitut herausgegeben werden, haben hier einen klaren Vorteil. Banken leben in der Regel nicht vom Geschäft mit Nutzerprofilen und was man kauft, erfährt die eigene Bank sowieso.

Hier kann das Bezahlen per App sogar einen Privatsphärevorteil bringen. Denn anders als beim Bezahlvorgang mit Kreditkarte werden beim Bezahlen per App nicht die Kreditkartendaten, sondern nur ein einmaliges Token übertragen. Zumindest der Händler und der Dienstleister, der das NFC-Terminal bereitstellt, erfahren somit nichts über einen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Google Pay: Wenn, dann mit dieser Einstellung

Wir können von Google Pay nur abraten. Wer den Bezahldienst aber nutzt, sollte unbedingt von einer Widerspruchsmöglichkeit Gebrauch machen. Im Google-Zahlungscenter können Sie den Datenaustausch mit Dritten verbieten. Wir zeigen, wie es geht.

Ansehen
YouTube-Video 

Fotodaten entfernen mit „Scrambled Exif“ (Android)

Viele Smartphone-Kameras hinterlegen automatisch Metadaten in Fotos: zum Beispiel den Standort, Geräteinformationen und manchmal auch Daten zur Nutzerin. Wer nicht möchte, dass andere diese Daten auslesen können, kann sie mit einem Fingertipp entfernen.

Ansehen
Ratgeber 

Opt-out: Telefonnummer-Weitergabe bei WhatsApp widersprechen

Die aktuellen AGB von WhatsApp verbindet die Telefonnummern und Nutzungsdaten der WhatsApp-Nutzer mit Unternehmen, die über Facebook für Kunden direkt erreichbar sind. Wer seine Daten nicht teilen möchte, sollte der Weitergabe widersprechen.

Mehr
Ratgeber 

Anleitung: App aus apk-Datei installieren (ab Android 8)

Üblicherweise kommen neue Apps per Google Play-Store oder über einen anderen App-Store auf das Smartphone. Manchmal ist es aber nötig, eine App manuell zu installieren. Wie das ab Android 8 (Oreo) funktioniert, zeigen wir hier.

Mehr