Ratgeber

Wie sicher ist Bezahlen per NFC?

Ein Artikel von , veröffentlicht am 26.01.2019, bearbeitet am10.11.2019
Bild: Pixabay CC0 / Gellinger

Kontaktloses Bezahlen an der Kasse funktioniert fast überall – per Bankkarte oder per Handy. In manchen Punkten ist eine NFC-App sogar sicherer als eine EC- oder Kreditkarte. In unserem Ratgeber erfahren Sie, worauf Sie beim Bezahlen mit dem Handy achten sollten.

Hinweis: Hier erläutern wir die möglichen Risiken beim mobilen Bezahlen per NFC (Sicherheit). Wenn Sie wissen möchten, wie das Bezahlen per NFC funktioniert, welche Apps es gibt und welche Banken teilnehmen, dann empfehlen wir unseren Beitrag Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Diebstahl

Wer sein Handy zur Bankkarte umfunktioniert, sollte selbstverständlich gut darauf aufpassen. Wird das Handy geklaut, kann der Dieb damit bis zu 25 Euro oder - bei einigen Anbietern - sogar bis zu 50 Euro ohne Eingabe der PIN einkaufen.

Bei manchen Apps lässt sich einstellen, dass die PIN bei jedem Bezahlvorgang eingegeben werden muss, aber nicht bei allen. Google Pay beispielsweise erlaubt einen Einkauf bis zu 25 Euro grundsätzlich auch bei gesperrtem Handybildschirm.

Spätestens jetzt bietet sich die Aktivierung der Ortungsfunktion für das eigene Gerät an. Geht das Handy verloren, kann man übers Internet nachvollziehen, wo es sich befindet. 

Wie Sie Ihr Gerät für den Verlustfall sichern, erklären wir hier für Android-Geräte und hier für iPhones und iPads.

Bildschirmsperre

Bekommt jemand Ihr Handy entsperrt in die Finger, kann er bei einigen Anbietern, darunter Google Pay, bis zum Limit der hinterlegten Bankkarte bezahlen. Wenn Sie einen Bezahldienst nutzen, sollten Sie daher unbedingt eine sichere Bildschirmsperre einrichten, die nur Sie kennen.

Haftung

Wie bei Bankkarten haften Sie auch beim Diebstahl Ihres Handys für unrechtmäßige Transaktionen bis zu 50 Euro bis zu dem Zeitpunkt, an dem Sie den Diebstahl bei Ihrer Bank oder der Kreditkarten-Hotline melden.

Teurer kann es werden, wenn Sie sich grob fahrlässig verhalten, wenn Sie zum Beispiel Ihr Handy herumliegen lassen und die PIN für die Bildschirmsperre auf einen Zettel geschrieben und aufs Handy geklebt haben. Was noch alles darunter fällt, lesen Sie am besten in den AGB ihrer Bank nach.

Heimlich auslesen

Können die Bezahldaten heimlich aus dem Handy ausgelesen werden? Bei NFC-Kreditkarten ist das leicht möglich – mit der Android-App NFC Tools können Sie ganz einfach testen, welche Informationen Ihre Karte preisgibt. Unter Umständen ist das die Kreditkartennummer und das Ablaufdatum, manchmal auch Ihr Name.

Hier schneidet die NFC-Sicherheit auf dem Smartphone deutlich besser ab. Denn dort sind entweder gar keine Kartendaten auf dem Handy selbst gespeichert oder sie sind auf einem sicheren Element abgelegt, so dass ein heimliches Auslesen von außen sehr schwierig ist.

Heimliche Überweisung auslösen

Da manchen Anbietern Überweisungen bis 25 Euro ohne Entsperren des Gerätes möglich sind, könnte man theoretisch mit einem tragbaren Bezahl-Terminal einfach im Vorbeigehen Überweisungen veranlassen.

Genau das hatten Redakteure des Computermagazins c't erfolgreich demonstriert. Aber: Das gestohlene Geld muss auf einem Konto einer anerkannten Bank landen. Der Dieb wäre damit leicht identifizierbar. In der kriminellen Praxis also keine sehr erfolgsversprechende Masche.

Schadprogramme

Anders als eine Kreditkarte kann ein Smartphone selbst unsicher werden, wenn mit einem Schadprogramm infiziert ist. Wenn sich so ein Schadprogramm entsprechende Zugriffsrechte verschafft, kann es die Sicherheitsmechanismen jeder anderen App ausschalten. Wer sein Handy als Geldbörse benutzt, sollte sich daher besonders vor Schadprogrammen schützen.

Echte Erfahrungswerte darüber, wie angreifbar NFC-Apps sind, fehlen noch weitgehend. Auf jeden Fall gilt: Wenn Sie mit Ihrem Smartphone Geldgeschäfte machen, sollten Sie einige grundlegende Sicherheitsregeln beachten.

Weitere Tipps, wie Sie Ihr Smartphone vor den meisten Gefahren leicht schützen können, geben wir in unserer Checkliste: Basissicherung Android und unserer Checkliste: iPhone und iPad im Alltag sichern.

Sicherheitslücke Android-Beam

Anfang Oktober 2019 ist eine Sicherheitslücke bekannt geworden, dank der über die NFC-App "Android Beam" heimlich Apps auf Geräte mit Android 8, 9 und 10 installiert werden können. Ein manipuliertes Bezahlterminal, an das man sein Handy hält, könnte so ein Schadprogramm installieren. Wer das Sicherheitsupdate von Oktober 2019 hat, ist geschützt.

Wenn Sie das Update nicht erhalten, sollten Sie der App "Android Beam" die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren.

Wie Sie das entsprechende Menü finden, erklären wir im Beitrag Android-Berechtigungen anzeigen und verwalten.

Datenschutz beim mobilen Bezahlen

Wer per App bezahlt, teilt seine Kaufhistorie dem Anbieter der App mit. Zusätzlich zur Bank, dem Bezahldienstleister und sonstigen Beteiligten, erfährt also noch eine weitere Firma, wofür man sein Geld ausgibt.

So sind beispielsweise an der Zahlungsabwicklung mit der App der Supermarktkette Netto sowohl das Unternehmen Valuephone, die Deutsche Post als auch die eigene Hausbank und die Handelsbank von Netto beteiligt (Stand 2015).

Solche Nutzungsdaten werden von den Unternehmen gewinnbringend eingesetzt. So schlachtet Google die Kaufhistorie seiner KundInnen hemmungslos aus und reicht sämtliche Daten auch an Tochterfirmen weiter.

Apps, die vom eigenen Kreditinstitut herausgegeben werden, haben hier einen klaren Vorteil. Banken leben in der Regel nicht vom Geschäft mit Nutzerprofilen und was man kauft, erfährt die eigene Bank sowieso.

Hier kann das Bezahlen per App sogar einen Privatsphärevorteil bringen. Denn anders als beim Bezahlvorgang mit Kreditkarte werden beim Bezahlen per App nicht die Kreditkartendaten, sondern nur ein einmaliges Token übertragen. Zumindest der Händler und der Dienstleister, der das NFC-Terminal bereitstellt, erfahren somit nichts über einen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Checkliste 

Checkliste: Handy weg – was tun? (Android)

Ihr Smartphone oder Tablet wurde gestohlen oder ist verloren gegangen? Mit unserer Checkliste können Sie jetzt den Schaden begrenzen. Verbundene Online-Konten lassen sich über den Computer sperren, eventuell können Sie Ihr Gerät auch orten.

Mehr
Kinder und Jugendliche 

„Im Internet läuft etwas schief“ – Essay von James Bridle

Der britische Blogger James Bridle sorgte im November mit seinem aufwühlenden Essay über gewaltsame Kindervideos auf YouTube für Aufsehen in der Netzwelt. Wir liefern die deutsche Übersetzung.

Mehr
YouTube-Video 

Android 8 (Oreo): Update-Problem gelöst

Bei Android 8 (Oreo) hat Anbieter Google sich auf Verbesserungen bei Sicherheit und Datenschutz konzentriert. Die neue Version löst damit auch endlich ein altes Android-Problem: Updates des Betriebssystems sind jetzt einfacher möglich. Warum es erst jetzt soweit war, erfahren Sie im Video.

Ansehen
App-Test 

App-Test Schlaftracker „Sleep as Android“: Vorbildlich

Bei dem beliebten Schlaf-Tracker "Sleep as Android" gibt es in Sachen Privatsphäre nichts zu meckern - aufgezeichnete Schlafprotokolle und Geräusche bleiben lokal auf dem Gerät. Trotzdem überzeugt sie mit großem Funktionsumfang. Unser Fazit: empfehlenswert.

Mehr