Apple Pay: zwischen sicherer Bezahlung und Akzeptanzproblemen

Durch seine Sicherheitsmaßnahmen könnte das NFC-basierte Zahlungssystem Apple Pay den Missbrauch reduzieren. Der Erfolg ist allerdings nicht sicher.

In den letzten Jahren waren vermehrt Einzelhandelsketten Opfer von massivem Datenmissbrauch. Dieser resultierte hauptsächlich aus veralteten Zahlungsverarbeitungssystemen, die durch RAM-Scraping Malware wie Backoff angegriffen werden konnten.

Der Technologie-Riese Apple bewirbt sein mobiles Zahlungssystem Apple Pay als einen sichereren Weg einzukaufen. Aber kann es tatsächlich die Flut von Kartenmissbräuchen eindämmen?

Das mit iOS 8 zur Verfügung gestellte Apple Pay ist sicherlich kein komplett neues Angebot, aber es könnte das erste mobile Zahlungssystem werden, das in der Lage ist, Anziehungskraft auf Käufer und Verkäufer auszuüben. Google Wallet wurde im September 2011 eingeführt und von den Mobilfunkanbietern sofort attackiert, die letztlich ihr eigenes NFC-basiertes Zahlungssystem unter dem Namen Isis Wallet (mittlerweile Softcard) anboten. Anbieter wie Square und PayPal haben ähnliche Angebote auf den Markt gebracht, konnten jedoch keine ausreichende Verbreitung erreichen.

Apple selbst war zuvor damit gescheitert, seine Bluetooth-basierte Zahlungsplattform iBeacon zu einem Erfolg zu machen. Aber Apple Pay, das auf der Near-Field-Communication-Technologie (NFC) basiert, hat bereits jetzt eine größere Verbreitung (in den USA) unter Kreditkartengesellschaften und Einzelhändlern erreicht als jedes vorherige Projekt. Visa, MasterCard und American Express sind mit an Bord, darüber hinaus die Bank of America, Wells Fargo sowie hunderttausende Geschäfte und Läden. In Deutschland wird Apple Pay aktuell noch nicht angeboten. Allerdings steht der Konzern mit mehreren Banken und Zahlungsdienstleistern in Kontakt, so dass es noch dieses Jahr eingeführt werden könnte.

Viele stellen sich allerdings die Frage, ob Apple Pay tatsächlich so schnell von der Masse der Konsumenten akzeptiert wird, wie es der Technologie-Riese aus Cupertino hofft. Ein erstes Warnsignal ist, dass mit Wal-Mart der weltgrößte Einzelhändler auf der Liste von Apples Partnernetzwerk vermisst wird. Viele Einzelhändler verfügen außerdem zurzeit nicht über die notwendigen Kassensysteme und die NFC-Technologie, um Apple Pay unterstützen zu können. Dazu kommt, dass das System nur mit der aktuellsten Apple-Smartphone-Generation (iPhone 6 und iPhone 6 Plus), den neuesten iPads (iPad Air 2 und iPad mini 3) sowie der Apple Watch funktioniert.

Sicherheit als Alleinstellungsmerkmal von Apple Pay

Apple bewirbt sein mobiles Zahlungssystem neben der vielversprechenden Verbreitung auch mit dem Versprechen, eine größere Sicherheit als die Mitbewerber zu erreichen.

Zum einen verspricht Apple, dass keinerlei Kartendetails auf dem Endgerät des Anwenders oder den Servern des Anbieters gespeichert werden. Das steht im Kontrast zu Google Wallet, das voraussetzt, dass die Daten der genutzten Kreditkarte auf den Servern von Google hinterlegt werden. Die Apple-Geräte sollen dagegen lediglich als Zwischenspeicher bei der mobilen Zahlung fungieren und lediglich eine Geräte-Kontonummer in Form eines Token erhalten, welche den Benutzer in die Lage versetzt, die Zahlung auszuführen.

Diese Geräte-Kontonummer wird im sogenannten Secure Element gespeichert. Dabei handelt es sich um eine für Apple-Geräte neue Funktion, die jedoch schon lange bei anderen SIM-basierten Smartphones existiert. Diese ermöglicht die Ver- und Entschlüsselung sensibler Daten in einem abgeschlossenen Bereich. Die Abhängigkeit von Apple Pay vom Secure Element führt dazu, dass derzeit nur die neuen iPhone- und iPad-Modelle sowie die Apple Watch Zugriff auf diese neuen Zahlungsarten haben.

Laut Apples iOS-Security-Guide wird für eine erfolgreiche Zahlung nicht nur ein transaktionsspezifischer dynamischer Sicherheitscode benötigt, der nur dem betreffenden Zahlungssystem und dem Kartenaussteller bekannt ist, sondern auch eine Authentifizierung des Benutzers mittels des Fingerabdruck-Systems Touch ID, das in den neuesten Apple-Geräten integriert ist.

„Sicherheit und der Schutz der Privatsphäre bilden den Kern von Apple Pay“, so Eddy Cue, Senior Vice President Internet Software und Services bei Apple, in einer Stellungnahme. „Wenn Sie Apple Pay in einem Laden, einem Restaurant oder einem anderen Geschäft verwenden, wird der Kassierer weder ihren Namen, ihre Kreditkartennummer noch ihren Sicherheitscode sehen, was hilft, einen möglichen Missbrauch zu reduzieren.“

Hält die Sicherheit von Apple Pay, was sie verspricht?

Während man voraussetzen kann, dass Apple von der Sicherheit seiner eigenen Zahlungsplattform überzeugt ist, haben mittlerweile auch viele Sicherheitsexperten die Bemühungen des Unternehmens positiv bewertet.

Aaron Cherington, Senior Analyst der auf Bedrohungserkennung spezialisierten Firma FireEye, schreibt in einem Blog-Beitrag, dass NFC-basierte Systeme von Natur aus sicherer seien als solche, die typische Kredit- und sonstige Zahlungskarten verwenden. Als Grund nennt er, dass bei jedem einzelnen Kauf eine neue Nummernfolge generiert wird. Daraus folgt, dass übliche Angriffstechniken wie das Abschöpfen von Magnetstreifendaten bei diesem Verfahren nutzlos sind, da diese bei dem Zahlungsvorgang keine Rolle spielen.

Das gleiche gilt für Malware, die es auf die Kassenterminals abgesehen hat, und von denen in letzter Zeit eine Vielzahl von Einzelhändlern betroffen war, so Cherington. Da diese Kassensysteme nicht mehr für die Speicherung der Kartendaten verantwortlich sind, werden dort nicht einmal mehr verschlüsselte Daten abgelegt. Er fügt hinzu, dass sich Hacker zwar mit Hilfe einer kleinen Antenne in die Kommunikation zwischen dem Mobilfunkgerät und dem NFC-Lesegerät einklinken könnten. Aber durch die Nutzung der Token-basierten Gerätekontonummer anstelle einer Kartennummer wäre ein solcher Angriff auf das Apple-System sinnlos.

„Selbst wenn es einem Betrüger gelingen sollte, in das Netzwerk des Händlers einzudringen, macht der Ansatz, nur Einmal-Schlüssel zu verwenden, die gewonnen Informationen quasi nutzlos für diese Zwecke“, so Cherington. „Es scheint, dass Apple Pay und ähnliche NFC-basierte mobile Zahlungssysteme im Allgemeinen eine höhere Sicherheit gegenüber dem klassischen Zahlungsmittelmissbrauch im Handel bieten.“

In einem Blog-Beitrag teilt Avivah Litan, Analystin bei Gartner, Cheringtons Einschätzung, dass die Nutzung von Tokens anstelle von Kartennummern den Zahlungsvorgang sicherer macht. Angreifer würden sich nicht die Mühe machen, einen Token zu stehlen, der nicht wiederverwendet werden kann. Apples Entscheidung für die Nutzung von Tokens könnte auch die Belastung für Händler verringern, die Karten akzeptieren, so Litan. Da Tokens gemäß der PCI-DSS-Vorschriften etwas anderes sind als Kreditkartennummern, würde das möglicherweise auch den Umfang einer PCI-Überprüfung reduzieren.

Litan weist darauf hin, dass Apple Pay nur dann langfristig Erfolg haben kann, wenn die Händler das Zahlungssystem auch akzeptieren. Zieht man in Betracht, dass Android weiterhin weltweit stärker Marktanteile gewinnt als iOS, werden ihrer Meinung nach die meisten Geschäfte darauf setzen, die Sicherheit ihrer Zahlungsterminals durch die Einführung moderner Point-to-Point-Verschlüsselung zu optimieren, es sei denn Google schafft es, die Verbreitung seines NFC-basierten Wallet-Angebots zu verbessern.

„Apple kann natürlich von diesem Sicherheitsbedürfnis profitieren und den Verkäufern und Konsumenten höhere Sicherheit bei der Zahlung bieten“ so Litan in ihrem Blog-Artikel. „Aber dabei geht es lediglich um einen Bruchteil der Käuferbasis, während der überwiegende Teil erst noch geschützt werden muss. Apple wird mehr als Sicherheitsfunktionen anbieten müssen, um eine umfassende Akzeptanz zu erreichen. Meiner Meinung nach sind niedrige Gebühren der Schlüssel zum Erfolg von Apple Pay.“

Letztlich muss Apple auch klären, ob die aktuell aufgetauchte Xara-Sicherheitslücke Einfluss auf Apple Pay hat. Erst wenn alle Sicherheitsbedenken beseitigt sind, kann Apple Pay Zahlungsabläufe vereinfachen und ein Erfolg werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Erfahren Sie mehr über Security-Token und Smart-Card-Technologie

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close