Zahlen mit dem Handy: Wie sicher ist Google Wallet?

Letzte Woche stellte der Suchmaschinenriese seinen neuen Bezahldienst vor. ZDNet erklärt die technischen Grundlagen von RFID sowie NFC und untersucht Sicherheits- und Datenschutzaspekte von Google Wallet.

Wer ein Android-Handy mit NFC-Schnittstelle besitzt, etwa das Google Nexus S, kann noch diesen Sommer über den Dienst Google Wallet damit bezahlen. Das funktioniert an allen PayPass-Terminals, die man in den USA bereits häufig findet. Ferner ist eine Mastercard von der Citibank nötig. Wer keine hat, kann auch eine aufladbare Prepaid-Karte nutzen, die Google vertreibt.

Man kann zwar nicht davon sprechen, dass PayPass in den USA bereits großflächig oder sogar flächendeckend ausgerollt ist, dennoch ist es ein etabliertes System. Bisher nutzt man dazu eine Mastercard, die neben Magnetstreifen und Kontaktchip auch einen RFID-Chip besitzt.

Daran erkennt man, dass RFID und NFC offensichtlich mehr Gemeinsamkeiten haben, als allgemein bekannt ist. Grundsätzlich sind Kontaktchip, RFID und NFC sehr generische Begriffe. Allerdings haben sich Standards durchgesetzt.

So versteht man beispielsweise, wenn von einem Kontaktchip oder einer Chipkarte im engeren Sinne die Rede ist, darunter meist Chipkarten nach den ISO-7816-Standards. Beispiele dafür sind SIM-Karten für Handys sowie Chips auf EC- sowie Kredit- und Geldkarten.

Alle diese Chipkarten können mit denselben Lesegeräten verwendet werden. Sie benutzen stets dasselbe Basisprotokoll nach ISO 7816 Teil 3. In den darüber liegenden Protokollschichten unterscheiden sie sich jedoch zum Teil erheblich.

Bei den RFID-Technologien hat sich inzwischen ein Standard auf der Frequenz 13,56 MHz durchgesetzt. Oberhalb der elektromagnetischen Ebene benutzen die RFID-Karten jedoch dieselben Protokolle wie Chipkarten nach ISO 7816. Chipkarten und RFID-Karten verhalten sich in etwa zueinander wie LAN und WLAN. Die physische Ebene ist anders, die Softwareprotokolle sind jedoch identisch.

So hätte man beispielsweise den neuen Personalausweis (nPA) problemlos statt mit einer RFID-Schnittstelle auch mit einer Chipkontakt-Schnittstelle ausstatten können. Das hatten viele Datenschützer gefordert, um einen Datenklau aus der Hosentasche schon auf der elektromagnetischen Ebene zu unterbinden.

Der Unterschied zwischen RFID und NFC ist wesentlich geringer, als es oft in den Medien dargestellt wird. Die NFC-Schnittstellen, wie sie in einigen Handys bereits eingebaut sind, funken ebenfalls bei 13,56 MHz und nutzen die Softwareprotokolle von ISO 7816. Da die Softwaresteuerung jedoch vom Handy gemanagt wird, lassen sich weitaus komplexere Anwendungen darüber realisieren, als mit einer RFID-Karte.

Einfache RFID-Karten können lediglich eine ID übertragen – meistens eine Nummer. Sie werden häufig in Zutrittssystemen eingesetzt, etwa um ein Tiefgaragentor oder den Eingang zu Büroräumen zu öffnen.

Dabei ist das Lesegerät mit dem Zutrittssystem verbunden. Es entscheidet, ob die Karte mit einer bestimmten ID das Türschloss öffnet oder nicht. Sämtliche "Intelligenz", beispielsweise, ob mit einer Karte ein Raum nur bestimmten Zeit betreten werden darf, ist im Zutrittssystem realisiert.

Intelligentere RFID-Karten sind mit einer CPU ausgestattet und bieten die Möglichkeit, dass man sogar eine begrenzte Menge an Daten speichern kann. Das gilt etwa für den nPA. Wenn er ein sogenanntes hoheitliches Zertifikat erhält, über das etwa die Einwohnermeldeämter verfügen, lässt sich beispielsweise die Adresse ändern. Der Besitzer, der nur seine PIN kennt, darf das nicht.

Die Limitierung von Chip- und RFID-Karten besteht in ihrer begrenzten Speicherkapazität und darin, dass in der Regel eine Software fest installiert ist, die nur für einen bestimmten Einsatzzweck geeignet ist, etwa als Geld- und EC-Karte, als UMTS-SIM-Karte oder zum Öffnen der Tür zum Hotelzimmer.

Ein NFC-Chip im Handy hat den Vorteil, dass man sich die benötigte Software einfach als App herunterladen kann. Die Low-Level-Kommunikation ist ansonsten identisch mit RFID-Karten im 13,56-MHz-Bereich.

So wäre es beispielsweise denkbar, dass ein Hotelgast mit NFC-Handy keine RFID-Zutrittskarte mehr bekommt, sondern eine vom Hotel bereitgestellte App herunterlädt und mit seinem Handy für die Dauer des Aufenthalts seine Zimmertür öffnen kann. Das Hotel muss die Lesegeräte an den Türen dafür nicht austauschen. Probleme bekommt der Gast nur, wenn er feststellt, dass sein Akku leer ist und sich das Ladegerät im Zimmer befindet.

Um möglichst kompatibel mit bestehenden RFID-Karten zu bleiben, unterscheidet man drei Arten von NFC-Kommunikation. Im Reader/Write Mode ist das Handy aktiv und kann genutzt werden, um mit einer passiven RFID-Karte ohne eigene Stromversorgung zu kommunizieren. So lässt sich das NFC-Handy beispielsweise als Lesegerät für den neuen Personalausweis nutzen, jedenfalls unter der Voraussetzung, dass die AusweisApp auf gängige Handybetriebssysteme angepasst wird.

Im Card Emulation Mode verhält sich das NFC-Handy wie eine passive RFID-Karte und kann theoretisch alle RFID-Karten emulieren, sofern man die richtige App installiert hat. Bestehende RFID-Anwendungen, etwa Zutrittssysteme müssen dafür weder hard- noch softwaremäßig geändert werden.

Im Peer-to-Peer Mode (P2P Mode) sind sowohl das Handy als auch die Gegenstelle aktiv und tauschen nach Belieben Daten aus. Anwendungen, die für den P2P Mode konzipiert sind, funktionieren nur mit NFC-Handys und können nicht mittels RFID-Karte realisiert werden.

Der P2P Mode ist vor allem für die Kommunikation zweier Handys untereinander gedacht, etwa zum Austausch von Kontaktdaten. Würde man eine Aktiv-Passiv-Konfiguration verwenden, müssten sich die Besitzer vorher verständigen, wer Lesegerät und wer RFID-Karte emuliert.

Sicherheit beim Bezahlen mit dem Handy

Wenn man sich das PayPass-Demovideo auf der Mastercard-Website anschaut, sieht man, dass zum Bezahlen mit einer Mastercard mit RFID-Chip weder eine Unterschrift noch eine PIN-Eingabe erforderlich ist. Wird die Karte gestohlen, kann der Dieb bis zur Kartensperre damit einkaufen gehen.

Wer mit Google Wallet am PayPass-Terminal bezahlt, muss hingegen eine PIN eingeben. Vorausgesetzt, dass Google die PIN-Eingabe technisch sauber gelöst hat, das heißt Online-Überprüfung der PIN mit SSL-Verschlüsselung, ist man beim Verlust des Handys besser gegen Missbrauch geschützt, als beim Zahlen per RFID-Karte.

Die Daten der Kredit- oder Prepaid-Karte werden bei NFC-Handys im sogenannten "Secure Element" abgelegt. Damit sind sie angeblich sicher vor unbefugter Benutzung. Auch hier nennt Google keine Details. Man erfährt nur, dass das "Secure Element" nicht ins Filesystem von Android eingebunden ist. Nur autorisierte Apps wie Google Wallet hätten darauf Zugriff. Hier stellt sich aber die Frage, ob diese Sicherheit bei einem gerooteten Handy mit entsperrtem Bootloader nicht ausgehebelt ist.

Google empfiehlt jedenfalls dringend, sobald man den Verlust bemerkt hat, den Wallet-Dienst inklusive der zugehörigen Kreditkarte zu sperren. Das deutet daraufhin, dass man die Kartendaten mit ein paar Hardware-Tricks auslesen kann.

Spioniert Google das Einkaufsverhalten aus?

Abgesehen von der Sicherheit, denkt man bei dem Namen Google automatisch an den Begriff "Datenkrake". Es stellt sich die Frage, ob Google das Einkaufsverhalten seiner Nutzer speichert und auswertet oder nicht. Zusammen mit anderen Daten, die Google von einem typischen Android-Nutzer kennt, sind das wertvolle Marketing-Informationen.

In seiner FAQ drückt sich Google eher schwammig aus: „Google Wallet erhält derzeit keine Daten, welche Produkte Sie kaufen", heißt es dort. Was unter "derzeit" zu verstehen ist, bleibt offen.

Weiter stellt Google klar, dass jede Transaktion mit Datum und Uhrzeit gespeichert wird. Optional kann der Nutzer bestimmen, dass der Ort ebenfalls gespeichert wird. Diese sogenannte Transaction History kann der Nutzer jederzeit löschen.

Das muss aber nicht bedeuten, dass Google diese Daten wirklich löscht, es kann auch heißen, dass er sie nur selbst nicht mehr einsehen kann. Denn allein schon aus Gründen einer möglichen Beweissicherung muss Google alle Transaktionen zumindest für einen gewissen Zeitraum aufheben.

Ferner sollte man bedenken, dass die Daten der Nutzer beim Zahlen mit EC- und Kreditkarte ohnehin systematisch ausgewertet werden. Meist kommt das erst raus, wenn eine Datenkrake Daten verliert, wie jüngst bei der Firma Epsilon. Diese sammelt die Kreditkartenaktionen im Auftrag verschiedener namhafter Banken und brüstet sich damit, 8,6 Milliarden Kartentransaktionen von Endkunden zu besitzen. Ob man mit Google Wallet oder einer klassischen Kreditkarte bezahlt, dürfte nicht viel Unterschied machen.

Fazit

Google Wallet ist mit Sicherheit eine Anwendung, die NFC dazu verhelfen kann, eine allgemein akzeptierte Technologie zu werden. Voraussetzung dafür ist, dass wesentlich mehr Smartphones mit NFC ausgestattet werden.

Haben sich entsprechende Smartphones erst einmal etabliert, kommen sicher weitere Anwendungen hinzu, etwa Türöffner in Hotels oder ticketlose öffentliche Tiefgaragen. Im Gegensatz zu RFID-Karten, die nur für einen bestimmten Einsatzzweck geeignet sind, muss man auf das Handy nur eine neue App laden.

Bei der Sicherheit und beim Datenschutz lässt Google aber derzeit noch viele Fragen offen. Hier könnte es nicht schaden, mehr Transparenz zu zeigen und die Sicherheitsmaßnahmen besser zu erläutern sowie die Datenschutzrichtlinien vollständig offen zu legen.

Themenseiten: Android, Google, Hacker, Handy, Mobile, Security-Analysen, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zahlen mit dem Handy: Wie sicher ist Google Wallet?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *