Ratgeber

Wie sicher ist Bezahlen per NFC?

Ein Artikel von , veröffentlicht am 26.01.2019, bearbeitet am10.11.2019
Bild: Pixabay CC0 / Gellinger

Kontaktloses Bezahlen an der Kasse funktioniert fast überall – per Bankkarte oder per Handy. In manchen Punkten ist eine NFC-App sogar sicherer als eine EC- oder Kreditkarte. In unserem Ratgeber erfahren Sie, worauf Sie beim Bezahlen mit dem Handy achten sollten.

Hinweis: Hier erläutern wir die Risiken beim mobilen Bezahlen per NFC. Wenn Sie wissen möchten, wie das Bezahlen per NFC funktioniert, welche Apps es gibt und welche Banken mitmachen, dann lesen Sie unseren Beitrag Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Diebstahl

Wer sein Handy zur Bankkarte umfunktioniert, sollte selbstverständlich gut darauf aufpassen. Wird das Handy geklaut, kann der Dieb damit bis zu 25 Euro oder - bei einigen Anbietern - sogar bis zu 50 Euro ohne Eingabe der PIN einkaufen.

Bei manchen Apps lässt sich einstellen, dass die PIN bei jedem Bezahlvorgang eingegeben werden muss, aber nicht bei allen. Google Pay beispielsweise erlaubt einen Einkauf bis zu 25 Euro grundsätzlich auch bei gesperrtem Handybildschirm.

Spätestens jetzt bietet sich die Aktivierung der Ortungsfunktion für das eigene Gerät an. Geht das Handy verloren, kann man übers Internet nachvollziehen, wo es sich befindet. 

Wie Sie Ihr Gerät für den Verlustfall sichern, erklären wir hier für Android-Geräte und hier für iPhones und iPads.

Bildschirmsperre

Bekommt jemand Ihr Handy entsperrt in die Finger, kann er bei einigen Anbietern, darunter Google Pay, bis zum Limit der hinterlegten Bankkarte bezahlen. Wenn Sie einen Bezahldienst nutzen, sollten Sie daher unbedingt eine sichere Bildschirmsperre einrichten, die nur Sie kennen.

Haftung

Wie bei Bankkarten haften Sie auch beim Diebstahl Ihres Handys für unrechtmäßige Transaktionen bis zu 50 Euro bis zu dem Zeitpunkt, an dem Sie den Diebstahl bei Ihrer Bank oder der Kreditkarten-Hotline melden.

Teurer kann es werden, wenn Sie sich grob fahrlässig verhalten, wenn Sie zum Beispiel Ihr Handy herumliegen lassen und die PIN für die Bildschirmsperre auf einen Zettel geschrieben und aufs Handy geklebt haben. Was noch alles darunter fällt, lesen Sie am besten in den AGB ihrer Bank nach.

Heimlich auslesen

Können die Bezahldaten heimlich aus dem Handy ausgelesen werden? Bei NFC-Kreditkarten ist das leicht möglich – mit der Android-App NFC Tools können Sie ganz einfach testen, welche Informationen Ihre Karte preisgibt. Unter Umständen ist das die Kreditkartennummer und das Ablaufdatum, manchmal auch Ihr Name.

Hier schneidet die NFC-Sicherheit auf dem Smartphone deutlich besser ab. Denn dort sind entweder gar keine Kartendaten auf dem Handy selbst gespeichert oder sie sind auf einem sicheren Element abgelegt, so dass ein heimliches Auslesen von außen sehr schwierig ist.

Heimliche Überweisung auslösen

Da manchen Anbietern Überweisungen bis 25 Euro ohne Entsperren des Gerätes möglich sind, könnte man theoretisch mit einem tragbaren Bezahl-Terminal einfach im Vorbeigehen Überweisungen veranlassen.

Genau das hatten Redakteure des Computermagazins c't erfolgreich demonstriert. Aber: Das gestohlene Geld muss auf einem Konto einer anerkannten Bank landen. Der Dieb wäre damit leicht identifizierbar. In der kriminellen Praxis also keine sehr erfolgsversprechende Masche.

Schadprogramme

Anders als eine Kreditkarte kann ein Smartphone selbst unsicher werden, wenn mit einem Schadprogramm infiziert ist. Wenn sich so ein Schadprogramm entsprechende Zugriffsrechte verschafft, kann es die Sicherheitsmechanismen jeder anderen App ausschalten. Wer sein Handy als Geldbörse benutzt, sollte sich daher besonders vor Schadprogrammen schützen.

Echte Erfahrungswerte darüber, wie angreifbar NFC-Apps sind, fehlen noch weitgehend. Auf jeden Fall gilt: Wenn Sie mit Ihrem Smartphone Geldgeschäfte machen, sollten Sie einige grundlegende Sicherheitsregeln beachten.

Weitere Tipps, wie Sie Ihr Smartphone vor den meisten Gefahren leicht schützen können, geben wir in unserer Checkliste: Basissicherung Android und unserer Checkliste: iPhone und iPad im Alltag sichern.

Sicherheitslücke Android-Beam

Anfang Oktober 2019 ist eine Sicherheitslücke bekannt geworden, dank der über die NFC-App "Android Beam" heimlich Apps auf Geräte mit Android 8, 9 und 10 installiert werden können. Ein manipuliertes Bezahlterminal, an das man sein Handy hält, könnte so ein Schadprogramm installieren. Wer das Sicherheitsupdate von Oktober 2019 hat, ist geschützt.

Wenn Sie das Update nicht erhalten, sollten Sie der App "Android Beam" die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren.

Wie Sie das entsprechende Menü finden, erklären wir im Beitrag Android-Berechtigungen anzeigen und verwalten.

Datenschutz beim mobilen Bezahlen

Wer per App bezahlt, teilt seine Kaufhistorie dem Anbieter der App mit. Zusätzlich zur Bank, dem Bezahldienstleister und sonstigen Beteiligten, erfährt also noch eine weitere Firma, wofür man sein Geld ausgibt.

So sind beispielsweise an der Zahlungsabwicklung mit der App der Supermarktkette Netto sowohl das Unternehmen Valuephone, die Deutsche Post als auch die eigene Hausbank und die Handelsbank von Netto beteiligt (Stand 2015).

Solche Nutzungsdaten werden von den Unternehmen gewinnbringend eingesetzt. So schlachtet Google die Kaufhistorie seiner KundInnen hemmungslos aus und reicht sämtliche Daten auch an Tochterfirmen weiter.

Apps, die vom eigenen Kreditinstitut herausgegeben werden, haben hier einen klaren Vorteil. Banken leben in der Regel nicht vom Geschäft mit Nutzerprofilen und was man kauft, erfährt die eigene Bank sowieso.

Hier kann das Bezahlen per App sogar einen Privatsphärevorteil bringen. Denn anders als beim Bezahlvorgang mit Kreditkarte werden beim Bezahlen per App nicht die Kreditkartendaten, sondern nur ein einmaliges Token übertragen. Zumindest der Händler und der Dienstleister, der das NFC-Terminal bereitstellt, erfahren somit nichts über einen.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Corona-Warn-App: Nutzen oder nicht?

Die Idee hinter der neuen Corona-Warn-App: Wer positiv auf Covid-19 getestet wurde, kann dies melden und so andere Nutzer*innen warnen. Im Vorfeld wurde der Datenschutz heiß diskutiert - wie schneidet die App nun ab?

Ansehen Ratgeber 

Android Go – aktuelles Android für preisgünstige Geräte

Mit Android Go werden preisgünstige Smartphones sicherer. Die abgespeckte Variante des Betriebssystems Android 8 läuft auf Geräten mit wenig leistungsfähiger Hardware, die vorher meist nur mit veralteten Android-Versionen zu haben waren. Wir erklären die Stärken und Schwächen der Android-Sparversion.

Mehr Ratgeber 

Geheime Kommandozentrale: Google Play-Dienste

Die App Google Play-Dienste ist das Herzstück des Android-Betriebssystems von Google. Ohne sie läuft nichts, dabei fordert sie weitreichenden Zugriff aufs Smartphone. Was das für Ihre Daten bedeutet, erfahren Sie hier.

Mehr Ratgeber 

Gefälschte Profile und die SMS-TAN

Manche Leistungen kann man im Internet per Mobilfunknummer bezahlen – sie werden dann auf die Handyrechnung gesetzt. Das machen sich Betrüger*innen zunutze. Als falsche Freund*innen erschleichen sie sich Ihre Telefonnummer und den Bestätigungs-Code und kaufen auf Ihre Kosten ein.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz