Bezahlen per NFC, für "Near Field Communication", bedeutet, dass man an der Kasse kleinere Beträge per Funk bezahlen kann, ohne PIN oder Unterschrift. Wie das funktioniert, habe ich mir gestern in einem Berliner Kaufhaus angesehen, das solche Funk-Bezahlung bereits akzeptiert. Eine Mitarbeiterin der Deutschen Kreditbank kaufte sich eine Tafel Schokolade. Sie benutzte dazu allerdings nicht die jetzt von den Sparkassen angekündigte Technik, sondern eine mit einem Funkchip aufgerüstete Kreditkarte mit der NFC-Technik PayPass:
"Hallo! Wir würden gern mit PayPass bezahlen." - "Die Kreditkarte sieht aber ganz normal aus." - "Die sieht ganz normal aus. Hier hinten ist das PayPass-Zeichen, an der man die Funktion auf der Karte erkennt. Das ist das Lesegerät. So, jetzt hält man einfach die Karte dran und das ist schon der komplette Bezahlvorgang. Ein Piep, Kassenzettel, keine Unterschrift bei Beträgen bis zu 25 Euro."
Einfach Karte vors Lesegerät halten, fertig. 1,50 für eine Zeitung am Bahnhof sind so schneller bezahlt als mit PIN oder Unterschrift. Das ist bequem, schnell und Pilotversuche haben gezeigt, dass viele Läden mehr Umsatz machen dürften. Kreditkarten mit dieser Funktechnik zum Bezahlen von Beträgen bis 25 Euro sind in Deutschland seit gut vier Jahren auf dem Markt. MasterCard hat bis heute hierzulande 1,2 Millionen dieser Kreditkarten verteilt - von einem Boom des kontaktlosen Bezahlens kann man da noch nicht sprechen. Das wollen die Banken und Sparkassen jetzt ändern: Am Mittwoch wollen sie ein eigenes System fürs Bezahlen per Funk vorstellen. Allein die Sparkassen wollen bis Ende des Jahres 16 Millionen EC-Karten mit Funkchip ausgeben, Ende 2013 sollen dann alle 30 Millionen Sparkassenkunden mit ihren Karten kleine Beträge kontaktlos bezahlen können. Auch die privaten Banken wollen solche Karten ausgeben. Das wäre also schon mal eine ganz andere Verbreitung als bei der Konkurrenz von den Kreditkarten-Unternehmen. Einen Nachteil haben die Sparkassenkarten gegenüber den funkenden Kreditkarten allerdings erstmal: Bei den funkenden Kreditkarten wird das Geld wie gewohnt direkt vom Konto abgebucht und man kann so auch jede Zahlung nachvollziehen. Die funkende Sparkassen-Karte setzt auf die Geldkarten-Funktion auf, man muss die Karte also erst mit Geld aufladen, um dieses dann per Funk im Laden ausgeben zu können. Dieses Aufladen der Geldkarte macht heute schon kaum jemand. Auch gilt: Die funkende Girokarte der Banken ist wie Bargeld. Verliert man die Karte, ist das auf ihr gespeicherte Geld weg. Um die funkende Girokarte zu einem Erfolg zu machen, erklärt die Sparkassensprecherin Michaela Roth, werde es eine automatische Auflademöglichkeit direkt in den Läden geben:
"Wenn ich bezahle und bei diesem Bezahlvorgang rutscht der Betrag auf der Karte unter, sagen wir mal, fünf Euro, dann wird die Karte beim gleichen Vorgang mit 30 Euro wieder aufgeladen oder 50 oder 20 Euro, je nachdem, was ich vereinbare, und somit ist wieder ausreichend Guthaben auf der Karte, um schnell und bequem bezahlen zu können."
Wie aber ist das mit der Sicherheit? Banken und Kreditinstitute sagen: Das Bezahlen per Funk sei sicher. Aber bei den Kreditkarten wurden eine Zeit lang Kreditkartenummer und Gültigkeit unverschlüsselt gefunkt. Das sei jetzt behoben, sagte ein MasterCard-Sprecher. Zudem sei die Karten nur aus wenigen Zentimeter Entfernung auszulesen. Der renommierte Hacker und Sicherheitsforscher Harald Welte schrieb mir in einer Mail, aus den Funk-Technik-Bausteinen, die die Sparkassen für ihre EC-Karten verwenden wollen, könne man sehr sichere und sehr unsichere Systeme bauen, das hänge wie so oft von der konkreten technischen Umsetzung ab. Doch auch die eher sicheren Systeme seien prinzipiell anfällig für sogenannte Relay-Angriffe: Dabei hält ein Angreifer im Bus oder in der U-Bahn ein Lesegerät an eine fremde Handtasche, in der eine EC-Karte mit Funkchip steckt. Er überträgt diese Daten per Mobilfunk zu einem zweiten Angreifer, der dann im Laden mit einer geklonten Karte bezahlt. Der MasterCard-Sprecher sagte, so einen Angriff habe es auf das PayPass-System der Kreditkarten noch nicht geben. Sicherheitsforscher Welte schreibt: "Ich freue mich darauf, diesen Angriff mit dem Sparkassen-System auszuprobieren."
"Hallo! Wir würden gern mit PayPass bezahlen." - "Die Kreditkarte sieht aber ganz normal aus." - "Die sieht ganz normal aus. Hier hinten ist das PayPass-Zeichen, an der man die Funktion auf der Karte erkennt. Das ist das Lesegerät. So, jetzt hält man einfach die Karte dran und das ist schon der komplette Bezahlvorgang. Ein Piep, Kassenzettel, keine Unterschrift bei Beträgen bis zu 25 Euro."
Einfach Karte vors Lesegerät halten, fertig. 1,50 für eine Zeitung am Bahnhof sind so schneller bezahlt als mit PIN oder Unterschrift. Das ist bequem, schnell und Pilotversuche haben gezeigt, dass viele Läden mehr Umsatz machen dürften. Kreditkarten mit dieser Funktechnik zum Bezahlen von Beträgen bis 25 Euro sind in Deutschland seit gut vier Jahren auf dem Markt. MasterCard hat bis heute hierzulande 1,2 Millionen dieser Kreditkarten verteilt - von einem Boom des kontaktlosen Bezahlens kann man da noch nicht sprechen. Das wollen die Banken und Sparkassen jetzt ändern: Am Mittwoch wollen sie ein eigenes System fürs Bezahlen per Funk vorstellen. Allein die Sparkassen wollen bis Ende des Jahres 16 Millionen EC-Karten mit Funkchip ausgeben, Ende 2013 sollen dann alle 30 Millionen Sparkassenkunden mit ihren Karten kleine Beträge kontaktlos bezahlen können. Auch die privaten Banken wollen solche Karten ausgeben. Das wäre also schon mal eine ganz andere Verbreitung als bei der Konkurrenz von den Kreditkarten-Unternehmen. Einen Nachteil haben die Sparkassenkarten gegenüber den funkenden Kreditkarten allerdings erstmal: Bei den funkenden Kreditkarten wird das Geld wie gewohnt direkt vom Konto abgebucht und man kann so auch jede Zahlung nachvollziehen. Die funkende Sparkassen-Karte setzt auf die Geldkarten-Funktion auf, man muss die Karte also erst mit Geld aufladen, um dieses dann per Funk im Laden ausgeben zu können. Dieses Aufladen der Geldkarte macht heute schon kaum jemand. Auch gilt: Die funkende Girokarte der Banken ist wie Bargeld. Verliert man die Karte, ist das auf ihr gespeicherte Geld weg. Um die funkende Girokarte zu einem Erfolg zu machen, erklärt die Sparkassensprecherin Michaela Roth, werde es eine automatische Auflademöglichkeit direkt in den Läden geben:
"Wenn ich bezahle und bei diesem Bezahlvorgang rutscht der Betrag auf der Karte unter, sagen wir mal, fünf Euro, dann wird die Karte beim gleichen Vorgang mit 30 Euro wieder aufgeladen oder 50 oder 20 Euro, je nachdem, was ich vereinbare, und somit ist wieder ausreichend Guthaben auf der Karte, um schnell und bequem bezahlen zu können."
Wie aber ist das mit der Sicherheit? Banken und Kreditinstitute sagen: Das Bezahlen per Funk sei sicher. Aber bei den Kreditkarten wurden eine Zeit lang Kreditkartenummer und Gültigkeit unverschlüsselt gefunkt. Das sei jetzt behoben, sagte ein MasterCard-Sprecher. Zudem sei die Karten nur aus wenigen Zentimeter Entfernung auszulesen. Der renommierte Hacker und Sicherheitsforscher Harald Welte schrieb mir in einer Mail, aus den Funk-Technik-Bausteinen, die die Sparkassen für ihre EC-Karten verwenden wollen, könne man sehr sichere und sehr unsichere Systeme bauen, das hänge wie so oft von der konkreten technischen Umsetzung ab. Doch auch die eher sicheren Systeme seien prinzipiell anfällig für sogenannte Relay-Angriffe: Dabei hält ein Angreifer im Bus oder in der U-Bahn ein Lesegerät an eine fremde Handtasche, in der eine EC-Karte mit Funkchip steckt. Er überträgt diese Daten per Mobilfunk zu einem zweiten Angreifer, der dann im Laden mit einer geklonten Karte bezahlt. Der MasterCard-Sprecher sagte, so einen Angriff habe es auf das PayPass-System der Kreditkarten noch nicht geben. Sicherheitsforscher Welte schreibt: "Ich freue mich darauf, diesen Angriff mit dem Sparkassen-System auszuprobieren."