Monat: Dezember 2018

Apple Pay: Wie sicher sind meine Daten?

Eine gefühlte Ewigkeit (mindestens!) mussten wir warten, nun kommen auch deutsche iPhone- und Apple-Watch-Besitzer in den Genuss bargeldlosen Bezahlens: Apple Pay ist in Deutschland gestartet. Aber ist mein Geld in der digitalen Geldbörse auch sicher?

Was ist Apple Pay?

Die Idee Apples, Kreditkarten in Rente zu schicken. Tim Cook erklärte bei der Vorstellung 2014, dass das System altbacken, überholt und unsicher sei. Seh ich auch so. Als jemand, dem während eines Aufenthalts in den USA schon die Kreditkarten „geskimmt“, also kopiert wurden, um damit unter falschem Namen Geld abzuheben, kann ich das nur bestätigen.

Wie funktioniert Apple Pay?

Bei Apple Pay hinterlegt der Nutzer die relevanten Daten – also Kreditkartennummer und CVV-Nummer – in der Wallet-App auf dem iPhone und der Apple Watch. Das funktioniert entweder über das Eintippen oder Abfotografieren der Karte oder das Hinzufügen einer Karte, die bereits mit iTunes verbunden ist. So musste ich in meinem Fall zur Bestätigung nur erneut die CVV-Nummer eintippen. Die Bezahlung erfolgt dann über Terminals an Kassensystemen, die NFC unterstützen. Also nahezu an allen modernen Bezahlterminals, die auch schon kontaktloses Bezahlen per Girocard oder Kreditkarte oder Google Pay ermöglichen. Der Kunde muss lediglich das Smartphone mit dem Finger auf Touch ID (oder bei neueren iPhones mittels Face ID auf das Smartphone blicken) gedrückt in die Nähe des Terminals halten, bis die Transaktion bestätigt wurden. Auf der Apple Watch klickt man zweimal auf die breite Taste, um einen Bezahlvorgang zu starten. Der ist in der Regel deutlich schneller abgewickelt als mit einer Karte. Apple Pay funktioniert darüber hinaus auch in Apps. Dann lassen sich anstatt der Eingabe von Passwörtern Transaktionen per Fingerabdruckscan autorisieren. In Konkurrenz zu PayPal und Co. ist auch die Bezahlung via Apple Pay im Web möglich. Unterstützt ein Händler den Standard, lassen sich Transaktionen ohne das Anlegen von Benutzerkonten per Fingerabdruck autorisieren.

Wie sicher ist Apple Pay?

Die wohl wichtigste Frage. Schließlich geht es ums Geld. Die kurze Antwort: sehr sicher. Die längere Antwort: Apple hat hard- und softwareseitig etliche Mechanismen eingesetzt, um den Bezahlvorgang sowohl zu anonymisieren, als auch sicher gegen Hackerangriffe zu machen. Hervorzuheben sind das sogenannte Secure Element und der NFC-Controller. Das Secure Element ist ein Mikrochip, der industrieweit zur Speicherung sensibler Daten genutzt wird. Er kommuniziert über den NFC-Controller im Gerät mit dem Bezahlterminal. Beim Bezahlen kommuniziert das Terminal über den NFC-Controller direkt mit dem Secure Element. Diese Komponenten haben eine Hardware-Verbindung, weswegen iOS (also das iPhone-Betriebssystem) keinen Zugriff auf den Bezahlprozess hat. Der Nutzer startet ihn lediglich durch einen Fingerabdruckscan oder die Eingabe des Passcodes. Wer sich im Detail mit dem Thema Sicherheit bei Apple Pay beschäftigen möchte, dem sei die Lektüre des folgenden, sehr ausführlichen Artikels zum Thema empfohlen. Wichtigste Erkenntnis: Beim Bezahlen werden keine Kreditkartendaten übertragen, sondern letzten Endes nur Schlüssel hardwaretechnisch abgeglichen zwischen Secure Element und Bank bzw. Händler. Somit können auch keine Kreditkartendaten ausgespäht werden. Selbst wenn ein ebenfalls notwendiger Transaktionscode ausgespäht würde, ist der nicht mehr nutzbar, da pro Transaktion ein neuer Code generiert wird.

Welche Daten speichert Apple?

Nicht zu vergessen sind die Apple-Pay-Server. Sie dienen dazu, übergreifend für die Transaktion die Schlüssel zu vergleichen, die auf dem iPhone bzw. der Apple Watch für den Bezahlvorgang generiert wurden und mit einem dem Apple-Pay-Server bekannten Schlüssel verschlüsselt wurden. Dieser gleicht diese Schlüssel wiederum mit dem des Händlers ab. Ist alles korrekt, gibt es das Okay zurück an das iPhone bzw. die Apple Watch, von wo aus die App wiederum die Zahlungsinformationen an den Server des Händlers weiterleitet. Kreditkartendaten werden nicht auf Apples Servern gespeichert, dafür aber anonymisiert Informationen zum Zeitpunkt und Ort der Transaktion. Theoretisch könnte Apple auch den Zahlbetrag auslesen, macht das aber nach eigenen Angaben nicht.

Was passiert, wenn ich mein iPhone oder die Apple Watch verliere oder sie gestohlen werden?

Solange ihr nicht auch noch euer Gesicht und Hände verliert, kann der Dieb das iPhone zwar als Türstopper nutzen, aber nicht in eurem Namen bezahlen. Beim Bezahlen über die Apple Watch ist zudem die Verwendung eines Entsperr-Codes Pflicht, den der Dieb kennen müsste. Aktiviert sowieso immer brav die „Find my iPhone“-Funktion, damit ihr eure Devices bei Verlust oder Diebstahl auch aus der Ferne sperren könnnt.

Was müssen Händler wissen?

Vorrangig hängt die Unterstützung für Apple Pay davon ab, ob das verwendete Bezahlterminal aktuelle, kabellose Bezahlstandards beherrscht. Wenn zudem Zahlungen über Mastercard, Visa, American Express und weitere Anbieter unterstützt werden, ist die Wahrscheinlichkeit sehr hoch, dass sich Apple Pay zügig freischalten lässt. Weitere Informationen zum Thema Haftbarkeit und Buchhaltung hält Apple auf einer eigens eingerichteten Seite Informationen für Händler vor – derzeit noch auf Englisch. Zusätzliche Gebühren erhebt Apple übrigens nicht.