DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Near Field Com­mu­ni­cation (NFC)

Ist Bargeld an der Supermarktkasse dank NFC bald überflüssig?

NFC ist eine drahtlose Über­tra­gungs­technik, die man auch zum schnellen und bequemen Bezahlen nutzen kann. Was ist aus Sicht der Sicherheit und des Daten­schutzes zu beachten?

Die NFC-Technik bezeichnet die Mög­lichkeit, dass zwei Geräte ohne mit­ein­ander in direktem Kontakt zu stehen, Infor­ma­tionen aus­tau­schen können. Es reicht, wenn die beiden Geräte nahe anein­ander gehalten werden – etwas weniger als zehn Zentimeter.

Anwen­dungs­mög­lich­keiten von NFC
Handys oder Smart­phones mit NFC-Technik können dazu benutzt werden, bar­geldlos und ohne weitere aktive Authen­ti­fi­zierung des Käufers, Fahr­scheine zu kaufen oder an der Super­markt­kasse zu bezahlen. Statt PIN und Unter­schrift reicht es, das Smart­Phone, das mit dem ent­spre­chenden NFC-Chip aus­ge­rüstet ist, nahe genug an das Lese­gerät zu halten. Der Käufer muss nur noch mit einem Knopf­druck die Zahlung bestätigen.

Vorteil daran: Für viele ist das Smart­Phone aus dem Alltag nicht mehr weg­zu­denken. Und neben der bar­geld­losen Zahlung könnten die Anwender auch wei­teren Komfort hinzu bekommen. Super­markt­tech­nisch gesprochen: Gut­schein und Treue­punkte direkt aufs Handy! Oder: All­er­giker bekommen Infos zum Einkauf mit­ge­liefert, z.B. Sind Nüsse in dem Lebens­mittel enthalten?

Besonders in Ländern, in denen die Kre­dit­karte gerne und oft als Zah­lungs­mittel benutzt wird, ist die Nach­frage nach der NFC-Technik  hoch. Jeder, der schon mal in New York Kaffee bei Star­bucks gekauft hat, kann sicher bestä­tigen, dass dort die Kre­dit­karte kom­plett anders ein­ge­setzt wird, als wir das in Deutschland gewohnt sind. Aber das nur nebenbei…

In Deutschland bietet momentan die Spar­kasse  über diese Technik an, Bei­träge bis zu 20 Euro zu bezahlen.

Neben dem Bezahlen bietet NFC weitere Mög­lich­keiten, z.B.

  • Digitale Ein­tritts­karte bei Großveranstaltungen
  • Versand von Informationen
  • Öffnen von Schranken in Parkhäusern

Auch die Deutsche Bahn testet die Anwendung der NFC-Technik als Ticket, bzw. Zahlungssystem.

Wie funk­tio­niert NFC?
Dahinter steckt die Daten­über­tragung über ein elek­tro­ma­gne­ti­sches Feld. Erkennt das Smart­phone mit NFC-Funktion das elek­tro­ma­gne­tische Feld eines Lesers, beginnt die auto­ma­tische Daten­über­tragung. Der Chip im Smart­phone sendet Daten an den Leser. Die Daten­über­tragung erfolgt ver­schlüsselt über Funk auf einer bestimmten Fre­quenz, wobei die Ver­schlüs­selung von der Anwendung mit­ge­liefert werden muss (mehr dazu).

Sicherheit & Daten­schutz bei NFC

  • Zunächst bietet die geringe Distanz, innerhalb derer NFC funk­tio­niert schon mal ein gewisses Maß an Sicherheit. Das bedeutet, dass es zum einen viel leichter ist, mit­hilfe z.B. der GPS-Funktion den Standort des Handys und somit des Anwenders zu ermitteln und zum anderen, dass durch die geringe Feld­stärke nur sehr nahe Signale abgehört werden können – möglich ist es aber (Quelle: Com­pu­terbild). Daten­schützer sehen dies aber kri­tisch, denn es ist nicht klar, ob Infor­ma­tionen aus dem Zah­lungs­verkehr genutzt werden sollen, um Nut­zer­profile zu erstellen (Quelle: Die Zeit).
  • Der nächste Sicher­heits­me­cha­nismus lautet Ver­schlüs­selung. Die bieten Chip­her­steller z.B. gleich auf den NFC-Bau­­steinen mit an (Quelle: tom´s hardware).
  • Ein wei­terer Sicher­heits- und Daten­schutz­bau­stein lautet Trennung: Durch die Trennung von NFC-Chip und den wei­teren Han­dy­kom­po­nenten wird ver­hindert, dass mög­liche Angreifer über den Chip Zugriff auf Daten haben, die auf dem Smart­phone gespei­chert sind. Ähn­liches gilt auch für die Ablage: Nicht alle für die Trans­aktion wich­tigen Daten werden auf dem NFC-Chip abgelegt. Somit wäre ein Aus­lesen und Ent­schlüsseln nicht von Erfolg gekrönt, weil die aus­ge­le­senen Daten nicht voll­ständig wären. Bei höheren Geld­be­trägen (ab 20, bzw. 25 Euro) ist außerdem eine weitere Authen­ti­sierung nötig: Ent­weder PIN oder Unterschrift.
  • Und zu guter Letzt der Sicher­heits­bau­stein Aus­schalten: Der Sicher­heits­ex­perte Philipp Mohr  emp­fiehlt, „den Timeout in der Bezahl-App­li­­kation nach jeder Trans­aktion her­unter zu setzen“ und den „Anmel­de­bild­schirm auf Ihrem Smart­phone zu akti­vieren. Dadurch wird gleich­zeitig der NFC-Chip deak­ti­viert, wenn das mobile Telefon nicht benutzt wird“ (Quelle: com-magazin). Zusätz­lichen Schutz bieten außerdem Han­dy­ta­schen mit Metall­ab­schirmung oder 🙂 Alufolie.

Worst Case
Was pas­siert aber, wenn das Handy ver­loren geht? Das bemerkt man sta­tis­tisch durch­schnittlich innerhalb von 18 Minuten und hat dann die Mög­lichkeit, den Zugang zum NFC-Konto zu sperren, sodass keine wei­teren Zah­lungen mehr möglich sind. Zum Ver­gleich: Den Verlust des Porte­mon­naies bemerkt man durch­schnittlich nach 4 Stunden…  Das Handy und die darauf gespei­cherten Daten sind aller­dings weg und das ist schade und lästig.

Das Handy könnte aber auch geklaut werden. Für größere Geld­be­träge ist eine PIN nötig; aber Kleinvieh macht auch Mist und so gibt es natürlich auch ein Trans­ak­ti­ons­limit in Summe. Generell gilt auch hier: Sofort das Konto sperren! Die Haftung über­nimmt der NCF-Chip-Inhaber übrigens nur begrenzt, meist bis zur maxi­malen Höhe von 150 Euro (Quelle: Andro­idPIT).

Böse­wichte könnten aber auch ver­suchen, über NFC Schad­software zu ver­teilen. Z.B. indem statt Infos zu einer Sehens­wür­digkeit Viren an das Handy gesendet werden. „Dazu genügt es, den Ori­­ginal-Chip abzu­schirmen und mit einem infi­zierten Klebe-Tag zu ver­sehen“ (Quelle: Com­pu­terbild). Oder es wäre möglich, dass Schäd­linge durch unachtsame Instal­la­tionen auf das Smart­phone gelangen und ver­suchen, an Zugangs­daten zur Bezahl­an­wendung zu kommen. „Selbst wenn ein Dieb Zugang hierzu hätte, erfordern Trans­ak­tionen eine Auto­ri­sierung durch dahinter lie­gende Sicher­heits­systeme“ (Quelle: Andro­idPIT), ganz zu schweigen von der unvoll­stän­digen Ablage der Transaktionsdaten.

Fazit
Für Unter­nehmen bietet NFC viele inter­es­sante Aspekte: Hotels können den vir­tu­ellen Schlüssel fürs Zimmer aufs Handy schicken, Kon­zert­ver­an­stalter Ein­tritts­karten und von Sehens­wür­dig­keiten können auto­ma­tisch Infor­ma­tionen an die Tou­risten gebracht werden – ohne Audio­guide oder Frem­den­führer. Kleinere Geld­be­träge können an der Super­markt­kasse, im Restaurant oder Café schnell bezahlt werden. Basis all dessen ist Ver­trauen. Und wenn Unter­nehmen das Ver­trauen ihrer Kunden haben, sehe ich per­sönlich die Mög­lichkeit, dieses Ver­trauen auch – soweit sinnvoll und nötig – auf die NFC-Technik zu übertragen.

Oder was meinen Sie?

Bild:  © Thorben Wengert / pixelio.de

2 Kommentare zu Near Field Communication (NFC)

  • Peter Sued sagt:

    NFC Sicherheit aus einem anderen Blick­winkel
    Die fan­tas­ti­schen Mög­lich­keiten von NFC und die zuneh­mende Ver­breitung der Tech­no­logie kommen aber nicht ohne Schat­ten­seiten (http://www.t‑online.de/computer/sicherheit/id_71655704/nfc-sicherheitsluecke-smartphones-koennen-kreditkarten-leerraeumen.html). So könnten mit Hilfe von NFC-fähigen Smart­phones RFID-basierte Daten gelesen, kopiert und miss­braucht werden. Und der Eigen­tümer würde den Daten­verlust erst merken wenn es schon zu spät ist. Dabei sind die Kre­dit­karten nur die Spitze des Eis­berges. Viel kri­ti­scher scheinen mir RFID-basierte Zugangs­kon­trollen, wie sie von vielen Unter­nehmen ein­ge­setzt werden. Wie leicht können Kri­mi­nelle, quasi im Vor­bei­gehen, die Zugangs­daten eines Betriebs­aus­weises aus­lesen, auf eine neue Karte schreiben und sich so Zugang zum Unter­nehmen ver­schaffen? Zwar gibt es soge­nannte RFID Blocker (z.B. auf Ebay günstig zu haben), in die die betref­fenden Karten gesteckt werden um sie vor unbe­rech­tigtem Aus­lesen zu schützen, aber kaum einer nutzt so etwas. 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Johanna Brückner, DATEV eG

Johanna Brückner ist Diplom-Sozi­al­wirtin und seit seit 2009 bei der DATEV eG tätig. Seit 2010 betreut sie bei der DATEV die Kom­mu­ni­kation an die Ziel­gruppe Unternehmen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.