Wie sicher ist NFC?

In den Medien wird des Öfteren darüber berichtet, dass NFC nicht sicher sei und von Hackern manipuliert werden kann. Jüngstes Beispiel sind Meldungen über die erfolgreiche Abbuchung hoher Geldbeträge von kontaktlosen Kreditkarten durch ein Forscherteam aus Großbritannien. Wenngleich das Ergebnis unter Laborbedingungen erzielt wurde, so zeigt es wieder einmal, dass keine Technologie zu 100 Prozent sicher ist. Doch wie (un-)sicher ist NFC nun wirklich und wie steht es um das tatsächliche Gefahrenpotenzial im Bereich Mobile Payment?

Im Vergleich zu vielen anderen Kommunikationstechnologien ist NFC technisch sehr sicher. Zum einen liegt dies an der kurzen Funkreichweite von wenigen Zentimetern, zum anderen an der Peer-to-Peer-Architektur (im Vergleich zu WLAN oder Bluetooth, die sich gleichzeitig mit vielen verschiedenen Geräten verbinden lassen). Zudem erfolgt auch bei NFC die Übertragung sensibler Daten verschlüsselt; auf dem Smartphone beispielsweise durch das Single Wire Protocol.

Mit diesem Wissen allein lässt sich allerdings noch keine Risikobewertung vornehmen. Denn ferner muss unterschieden werden, ob es bei dem (potentiellen) Security Issue um NFC als Funktechnologie geht, oder ob vielmehr die Systemumgebung kompromittiert wurde. Gemeint sind dabei die Debit- bzw. Kreditkarte (stets mit einem eigenen Chip-Rechenwerk ausgestattet) oder das Smartphone als kleiner, mobiler Computer.

Um nun zu einer technisch wie konzeptionell sicheren Bezahl-Lösung zu gelangen, existieren mindestens zwei grundlegende Optionen: Entweder werden Schlüssel & Schloss beim Kunden gesichert (also die Kreditkarte, das Handy, der Kassenterminal etc.), oder die Zahlungsströme werden im Hintergrund permanent elektronisch auf Unregelmäßigkeiten hin überprüft. Bei NFC Mobile Payment ist – zumeist – beides der Fall. Demgegenüber ist der in den USA noch weit verbreitete Magnetstreifen auf Kreditkarten alles andere als State of the Art. Auf eine flächendeckende Umrüstung der Geldautomaten und POS-Terminals wurde bislang jedoch aus Kostengründen verzichtet und Sicherheitsupdates lassen sich hier ohnehin nicht so einfach aufspielen, wie im Mobilfunk auf ein NFC-Smartphone.

Bislang hat also keine der in den Medien kommunizierten, vermeintlichen NFC-Sicherheitslücken dazu geführt, dass der Verbraucher einem signifikant höherem Betrugsrisiko beim kontaktlosen Bezahlen ausgesetzt ist. Zu erkennen ist dies auch an den unveränderten Fraud-Rückstellungen der Zahlungsverkehrsdienstleister für Länder, in denen NFC bereits häufig zum Einsatz kommt. Allerdings haben es bislang viele Payment-Anbieter vergessen, ihre Kundschaft umfassend über das Vorhandensein und den sicheren Umgang mit NFC zu informieren. Schlussendlich wird genau dieser Aspekt mehr Zeit und Geld kosten, als das technische Wettrüsten zwischen Anbieter und Angreifer.

Mehr Informationen zu NFC auf CNM-Hannover und C-NET.

Wie sicher ist NFC? - Quelle: Flickr, Perspecsys Photos, CC BY-SA 2.0

Wie sicher ist NFC? – Quelle: Flickr, Perspecsys Photos, CC BY-SA 2.0

Advertisements

2 Antworten zu “Wie sicher ist NFC?

  1. Entschuldigt, aber was in diesem Artikel steht ist zum Großteil leider falsch oder irreführend.

    Was zum Beispiel Verschlüsselung mit dem Single Wire Protokol zu tun haben soll erschließt sich nicht. SWP ist nur die kurze Verbindung zwischen NFC Controller und dem Secure Element. Verschlüsselt wird dort nichts, das kann man in der Spezifikation von ETSI direkt nachlesen. Es wäre auch Quatsch da diese Verbindung unkritisch ist.

    Auch müssen Transaktionsdaten nicht zwingend über die SWP Leitung gehen.

  2. Herr Pipenbrinck hat mit seiner Aussage zum Single Wire Protocol (SWP) vollkommen Recht. Allerdings kann das SWP durchaus als Teil einer Gesamtsicherheitsstrategie verstanden werden, da es in bestimmten, UICC-basierten Payment Schemes z.B. für den Austausch von Zahlungsverkehrsdaten auf dem Handset zum Einsatz kommt. Weitere Informationen sowie eine Übersicht der SWP-fähigen Mobiltelefone sind hier zu finden: http://www.gsma.com/digitalcommerce/nfc-in-digital-commerce/nfc-handset-models

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s