Bezahlen mit dem Smartphone

Immer die Updates aufspielen

d'Lëtzebuerger Land du 27.04.2018

Heutzutage vergeht kaum eine Woche ohne Meldung über irgendeinen Cyberangriff. Vor zwei Wochen warnten die US-amerikanische und die britische Regierung gemeinsam vor russischen Hackern, die es nicht nur auf kritische Infrastrukturen und Server im Westen, sondern auch auf die Computer von Otto Normalverbraucher abgesehen hätten und auf das „Internet of things“, sofern jemand Teile davon schon zu seiner Haushaltseinrichtung zählt. Gleichzeitig wird immer öfter mit dem Smartphone bezahlt, Banktransaktionen mobil abgewickelt. Zwar ist das Ende des Geldes womöglich nicht schon für 2025 in Sicht, wie vor drei Jahren mehr als die Hälfte aller Briten in einer Umfrage meinten, denn von den großen Währungen werden immer mehr Banknoten gedruckt, aber die Frage stellt sich: Wenn Smartphone und kontaktlose Karten immer beliebter werden im Zahlungsverkehr, wie sicher sind sie?

Dem Cyber Security-Unternehmen Symantec zufolge sind mobile Bezahl-Apps sicher. Das heißt: an und für sich. Vergangene Woche veröffentlichte die Firma einen Bericht, nach dem 99,9 Prozent der mit schädlichem Code befallenen Apps von „Drittanbietern“ stammt. Soll heißen: Wer sich die Apps bei den Smartphone-Herstellern herunterlädt, in Apples App Store oder im Google Play Store für Android, ist schon mal auf der sicheren Seite. Die App aus einer anderen Quelle zu beziehen, zum Beispiel, weil sie dort nichts kostet, ist dagegen riskant.

„Natürlich muss man selber etwas für seine Cyber-Sicherheit tun“, sagt Jacques Klein, wissenschaftlicher Mitarbeiter am Forschungszentrum für IT-Sicherheit (SnT) der Universität Luxemburg. „Sein Portemonnaie einfach herumliegen lässt ja auch niemand.“ Drei Regeln empfiehlt er zu beachten: Erstens, das Betriebssystem auf dem neuesten Stand halten – ob von PC, Tablet oder Smartphone. Zweitens, Updates von Apps aufzuspielen, sobald sie angeboten werden, und drittens keine verdächtigen Links in E-Mails oder Text-Botschaften anklicken und keine dubiosen Dateien öffnen. Eigentlich nichts Spektakuläres, sondern das Einmaleins, das Sicherheitsexperten seit vielen Jahren schon empfehlen.

Denn auch wenn eine neue Malware auftaucht, muss ihr meist der Computernutzer die Tür zu seinem Gerät öffnen. Zum Beispiel über einen Link in einer SMS: Eine der neuen Maschen, weiß Klein, besteht im Kapern von Rechenleistung zum Bitcoin-Mining. Bitcoins zu sammeln, verbraucht enorm viel Rechenleistung, und man könnte sagen, an Bitcoins werde man umso reicher, je mehr Leistung man dafür zur Verfügung hat. Deshalb ist Malware in Umlauf, die von Computern, auch von Smartphones, einen kleinen Teil der Rechenkapazität abzweigt und sie dem Betrüger zuarbeiten lässt. Der Nutzer merkt das kaum, so wenig Leistung wird gekapert.

Mit mobilem Zahlungsverkehr hat dieses Beispiel zwar nichts zu tun, verdeutlicht aber, worauf man acht geben sollte. Einfacher wird das nicht, da der Datenverkehr und die datenbezogenen Services zunehmen. Jacques Klein empfiehlt als vierte Regel, „auf die persönlichen Daten aufzupassen“. E-Mail-Adresse oder Telefonnummer allzu freizügig zu hinterlegen, kann dazu führen, dass man Mails und Messages mit riskanten Links empfängt. Doch das ist mittlerweile kaum noch zu vermeiden – wer das wollte, dürfte sich im Grunde gar nicht mehr im Internet umtun. Wie im realen Leben gilt auch im virtuellen: Beklaut werden kann man immer.

Wie das geht, lasse sich in Afrika beobachten, sagt Jacques Klein. Dort hat das mobile Bezahlen in den letzten zehn Jahren einen enormen Aufschwung genommen. Mangels Infrastrukturen – kontoführende Banken zum Beispiel – wird in Afrika nicht nur viel mobil bezahlt, auch Konten existieren oft virtuell. Das vielleicht beste Beispiel dafür ist das vom kenianischen Telekom-Betreiber Safarikom gemeinsam mit Vodafone entwickelte M-Pesa, das virtuelle Kontoführung, Transaktionen und Bezahlvorgänge erlaubt. 2014 wurde über M-Pesa mehr als eine Milliarde Euro bewegt. Doch: Mobil bezahlt wird über einen „SMS Token“, den der Kunde vom eigenen Konto abbucht und beim Bezahlen übergibt. Das sei riskant, sagt Jacques Klein, solche SMS ließen sich abfangen – vor allem, wenn der Mobiltelefonbesitzer seinen Apparat billig Secondhand erworben hat und auf ihm ein Betriebssystem läuft, für das es schon längst keine Sicherheits-Updates mehr gibt.

In Europa sind die Sorgen andere. Auch, weil SMS Token zum Bezahlen nicht benutzt werden. Stattdessen machten schon vor fünf Jahren Meldungen von Apps die Runde, mit denen ein Betrüger per Smartphone die Daten kontaktloser Kreditkarten auslesen könne: Die Sensoren für Near Field Communication (NFC), die in Smartphones eingebaut sind, erlauben nicht nur das Smartphone als elektronisches Portemonnaie zu nutzen sowie die Kommunikation mit anderen Smartphones, sondern auch mit den RFID-Chips in kontaktlosen Karten. An Orten, wo viele Menschen zusammenkommen, etwa auf Bahnsteigen von U-Bahnhaltestellen, könne ein scheinbar unbeabsichtigtes Anrempeln in Wirklichkeit der Versuch eines Betrügers gewesen sein, einer fremden Kreditkarte nahe genug zu kommen.

Grund zur Sorge? Eher nicht, meint Jacques Klein. „Kontaktloses Bezahlen ist ein Service, und Banken, die solche Karten anbieten, sind gegen die Folgen von Datenklau versichert.“ Entstehe einem Karteninhaber ein Schaden, werde der erstattet, „und ich zumindest habe noch nicht davon gehört, dass es Probleme mit diesen Karten gegeben hat“. Aber auch in diesem Fall gilt: Hundertprozentige Sicherheit ist nicht zu haben.

Peter Feist
© 2018 d’Lëtzebuerger Land