c’t erklärt Mobile Pay
Wie sicher ist Bezahlen mit Uhr und Smartphone?

Hannover, 9. April 2021 – Mit dem Handy oder der smarten Uhr zu bezahlen ist praktisch. Allerdings öffnet diese Bezahlart auch potenzielle Türen für Datensammler. Europas größtes IT- und Tech-Magazin c’t zeigt in Ausgabe 9/21, warum man mit dem Smartphone oder der Uhr besser gegen Diebstahl und Betrug geschützt ist als mit Bargeld oder Plastik-Bezahlkarten. Dennoch sollte man den gewünschten Dienst mit Bedacht wählen.

Die Übertragung einer Bank- oder Kreditkarte auf das Mobilgerät ist nicht nur bequem, sondern hat auch handfeste Vorteile. „Eine Plastikkarte kann ein Dieb grundsätzlich zum Bezahlen missbrauchen, sobald er sie in der Hand hält“, erklärt c’t-Redakteur Markus Montz. „Zwar kann ein Dieb mit einem geklauten Smartphone im Laden im schlimmsten Fall bis zu fünfmal Kleinbeträge bis 50 Euro bezahlen. Allerdings kann er das Smartphone nicht für Online-Zahlungen verwenden, während das mit der Karte durchaus möglich ist.“

Beim mobilen Bezahlen per NFC gibt es laut Montz noch einen Trumpf: „Auf dem eigenen Gerät befinden sich nie die realen Kartendaten.“ Hält der Kunde das Smartphone oder die Smartwatch an das Bezahlterminal, wird lediglich eine Pseudo-Kartennummer (Token) plus Kryptoschlüssel an die Händlerbank übertragen. Deren Server schickt das Token an das jeweilige Zahlungsnetzwerk, das es in die echte Kartennummer übersetzen lässt und an die Kundenbank übergibt. Diese Sicherheitsarchitektur ist auch der Grund, weshalb NFC-Bezahl-Apps nicht auf gerooteten Geräten laufen und aus den offiziellen Stores kommen müssen. Nur so können die Akteure im Bezahlnetzwerk mit Sicherheit davon ausgehen, dass Gerät und App nicht kompromittiert sind.

Individuelle Bezahldaten sind ein geldwerter Schatz. Mit ihrer Hilfe lässt sich Werbung mit geringem Aufwand stark personalisieren. „Apple weist in seiner Datenschutzerklärung ausdrücklich darauf hin, keine Bezahldaten auszuwerten. Das Unternehmen verdient stattdessen am Interbankenentgelt mit", erklärt Montz. „Google hingegen verzichtet auf eine Beteiligung an den Händlerentgelten und erlaubt sich, bestimmte Daten zu nutzen. So weiß das Unternehmen, wie viel Geld ein Nutzer wann bei welchem Händler ausgegeben hat, aber nicht wofür.“ Samsung verfolgt ein ähnliches Geschäftsmodell wie Apple und teilt sich das Entgelt mit seinem Finanzpartner Solarisbank.

Bei Fitbit Pay, Garmin Pay und Swatch Pay findet eine Auswertung der Einkaufsdaten zu Werbezwecken nicht statt. „Die aktuell relativ datensparsamen Lösungen sind aber nur eine Momentaufnahme“, gibt Montz zu bedenken. Es wäre durchaus im Interesse von Payment-Anbietern, die Bezahldaten mit anderen Daten – zum Beispiel zum Online-Shopping – zu verknüpfen und gewinnbringend zu vermarkten.

Für die Redaktionen: Gerne stellen wir Ihnen die Artikelstrecke kostenlos zur Rezension zur Verfügung.