Studienarbeit Informationstechnologie

Einsatz von mobilen Technologien in (privat)kundenorientierten

Geschäftsprozessen

Das Mobile Business und Mobile Payment-Szenario

aus Sicht des Datenschutzbewussten Anwenders

Aufgabensteller: Prof. Dr. Jörg Puchan

Ersteller: Caroline Brendle

Martin Haueisen

Felix Kastl

Michael Lautz

Veronika Osterlehner

Christoph Untergehrer

II

Das Team

III

Inhaltsverzeichnis

Inhaltsverzeichnis ...................................................................................................... III

Abbildungsverzeichnis ............................................................................................... IV

1 Einführung in Mobile Business und Mobile Payment ........................................... 1

2 Das Mobile Business und Mobile Payment-Szenario aus Sicht des

Datenschutzbewussten Anwenders ............................................................................ 4

2.1 Nutzen und Annehmlichkeiten ....................................................................... 4

2.2 Chancen ........................................................................................................ 6

2.3 Technologien und deren Risiken ................................................................... 7

2.3.1 NFC ........................................................................................................ 7

2.3.2 Beacons ................................................................................................ 13

2.4 Kosten und Mehraufwände .......................................................................... 16

3 Handlungsempfehlung für datenschutzbewusste Anwender .............................. 17

Literaturverzeichnis .................................................................................................... V

IV

Abbildungsverzeichnis

Abbildung 1 Fünf verschiedene Bezahlszenarien (Pousttchi 2005: S.2) .................... 1

Abbildung 2 Befragung zu Nutzung von Mobile-Payment-Angeboten (Statista [1]

2014) .......................................................................................................................... 2

Abbildung 3 Weltweiter Umsatz mit mobile Payment 2010-2012, Prognosen für 2013

und 2017 (Mrd. US-Dollar) (Statista [2] 2014) ............................................................ 2

Abbildung 4 Mobile Payment Readiness Index Deutschland (Mastercard 2014) ....... 3

Abbildung 5 Kundenbefragung: Vorteile Mobile Payment (Ewing et al. 2013: S. 3) ... 5

Abbildung 6 Befragung Mobile Payment im Einzelhandel (Ewing et al. 2013: S. 2) ... 5

Abbildung 7 Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in Mio.)

(Statista [3] 2014) ....................................................................................................... 6

Abbildung 8 NFC Anwendungsfelder (Paganini 2013) .............................................. 8

Abbildung 9 Verbindungen im komplexen mobile paymentUmfeld (PYMTS.com 2013)

................................................................................................................................... 8

Abbildung 10 Anzahl identifizierter mobile Schadsoftware (McAfee Labs 2014, S. 19)

................................................................................................................................... 9

Abbildung 11 Relay Szenario (Thevenon & Savry 2013) .......................................... 11

Abbildung 12 Relay Angriffsszenario mit Malware (eigene Darstellung) .................. 12

1

1 Einführung in Mobile Business und Mobile Payment

Die steigende Verwendung von mobilen Endgeräten eröffnet ein sehr attraktives

Geschäftsfeld für Online-Händler.

Begriffe wie Mobile Business und Mobile Commerce finden dabei immer häufiger

Verwendung, oftmals ohne dass den Kunden die Bedeutung im Detail klar ist und worin

der genaue Unterschied besteht.

Mobile Business meint einen Teilbereich des E-Business, wobei Information,

Kommunikation, Interaktion und Transaktion über mobile Endgeräte erfolgt. Das heißt,

nicht nur Mobile Commerce, also der Kauf und Verkauf von Gütern und

Dienstleistungen fällt unter den Begriff des Mobile Business, sondern auch die

Kommunikation zwischen Käufer und Verkäufer, die Einholung von Informationen,

sowie der letztliche Bezahlvorgang. Darüber hinaus wird das Mobile Learning (mobile

Variante des E-Learnings) zum Geschäftsfeld des Mobile Business gezählt (Bendel

2014). Mobile Business hat sich in Folge der Entwicklung von Smartphones und

Tablets aus dem „stationären“ E-Business entwickelt (ebd.).

Von Mobile Payment hingegen spricht man, wenn der Bezahlvorgang von einem

mobilen Endgerät initiiert wird (Lerner 2013: S.6). Es sind fünf verschiedene

Bezahlszenarien zu unterscheiden, die in der nächsten Abbildung zu sehen sind

(Pousttchi 2005: S.1 f).

Abbildung 1 Fünf verschiedene Bezahlszenarien (Pousttchi 2005: S.2)

Der in Deutschland zurückhaltende Erfolg für Mobile Payment Verfahren zeigt, dass

bisher für die Anwender noch wenig Anreiz zur Nutzung der mobilen Bezahlverfahren

2

besteht. Das liegt daran, dass diese häufig keinen Vorteil oder konkreten Mehrwert

sehen und oftmals auch das Vertrauen in einem datenschutzbewussten Umgang

hinsichtlich Mobile Payment fehlt. Dennoch ist die Anwenderin bzw. Anwender von

einem starken Wandel der Kommunikationsinfrastruktur geprägt, wodurch neue

Vertriebskanäle und Lebensgewohnheiten sich eröffnen und der Einsatz von mobilen

Endgeräten immer mehr ansteigt. Demnach verschwimmen zunehmend die Grenzen

des stationären sowie Online-Geschäftes, sodass Bereiche wie E- oder M-Commerce

sowie Point of Sales immer weiter zusammenwachsen (Thede Consulting 2014: S.6f.).

Dennoch sind Zahlmethoden wie Kredit- oder Debitkarten, Bargeld oder

Rechnungskauf nach wie vor sehr beliebt.

Wie in nebenstehender Grafik zu

sehen ist, geht der Anteil der

Käufer, die auf traditionelle

Weise über Rechnung oder

Kreditkarte bezahlen, stetig

zurück. Demgegenüber steigt

die Anzahl der Personen, die

über Mobile Payment

Dienstleister bezahlen seit 2011

kontinuierlich.

Die Prognose des weltweiten

Umsatzes, der 2017 über Mobile

Payment generiert werden soll

unterstreicht diese Entwicklung.

Schätzungen zufolge ist der

Umsatz in 2017 mehr als viermal

so groß, wie im Jahr 2012.

Abbildung 3 Weltweiter Umsatz mit mobile Payment 2010-2012, Prognosen für 2013 und 2017 (Mrd. US-Dollar) (Statista [2] 2014)

Abbildung 2 Befragung zu Nutzung von Mobile-Payment-Angeboten (Statista [1] 2014)

3

Dieser Blick in die Zukunft zeigt, dass die Wirtschaft Mobile Payment als eines der

meistverwendeten Bezahlszenarien etablieren möchte und auch auf einem guten Weg

dahin ist. Betrachtet man jedoch den von Mastercard erfassten Readiness Index, der

die Bereitschaft für derartige Bezahlverfahren in ganz Deutschland misst, so wird

deutlich, dass noch Handlungsbedarf besteht. Die Bereitschaft der Bundesrepublik

liegt im Durchschnitt bei 31,6 %, wobei insbesondere die Mobile Commerce Clusters1

und die Consumer Readiness zurückliegen.

Abbildung 4 Mobile Payment Readiness Index Deutschland (Mastercard 2014)

Um dieses neue Bezahlverfahren am Markt zu etablieren, müssen Anbieter also die

Bereitschaft der Nutzer steigern und Risiken abbauen. Nur auf diese Weise können

Systeme flächendecken eingeführt und kosteneffizient betrieben werden. Demzufolge

wird der Schwerpunkt der Arbeit auf die am weitesten verbreiteten Systeme für mobiles

Bezahlen – NFC und Beacons – gelegt.

Im Folgenden werden zunächst der Nutzen und die Annehmlichkeiten beleuchtet, die

die Konsumenten durch die Verwendung der Mobile Payment Technologien erfahren.

Demgegenüber werden ebenso die bestehenden Risiken erläutert, um den

Schutzbedarf und Schutzmechanismen zu erkennen. Im letzten Kapitel der Arbeit

werden die konkreten Handlungsempfehlungen für den Mobile Payment Anwender

abschließend zusammengefasst.

1 Zusammenarbeit von Banken, Netzwerkanbietern und Regierung

4

Im zugehörigen Podcast werden exemplarisch ausgewählte

Nutzungsszenarien gezeigt.

https://public.webdav.hm.edu/pub/__oxP_2dae87f285049c7d

2 Das Mobile Business und Mobile Payment-Szenario aus Sicht des

Datenschutzbewussten Anwenders

2.1 Nutzen und Annehmlichkeiten

Die Anbieter mobiler Bezahlverfahren machen sich zahlreiche Gedanken, was für den

Kunden ein direkter Nutzen ist. Verwendet man das Beispiel des Einkaufs im

Einzelhandel, so sind die Vorteile ein schnellerer Prozess durch kurze

Warteschlangen, die immer aktuelle Information, sowie die Einbindung von

Bonusprogrammen und Gutscheinen. Außerdem erfährt der Kunde durch einen Blick

auf sein Smartphone sofort, wo die nächste Filiale seiner Wahl ist.

Bei Untersuchung der Apps von Supermärkten fällt auf, dass Kunden Einkaufslisten

erstellen können, sofort über Zusatzangebote und detaillierte Informationen über das

Produkt erhalten. Dazu zählen Ernährungs- und Kochtipps in Form von

Nährwertangaben, Rezepten und Kochvideos. Personalisiertes Einkaufen durch

maßgeschneiderte Angebote steht dabei im Mittelpunkt und soll ein innovatives

Einkaufserlebnis hervorrufen (Haufe 2014).

Die Verwendung dieser Bezahlverfahren ist orts- und zeitungebunden, Anbieter

preisen mit voller Kostenkontrolle und der Übersicht aller Transaktionen in Echtzeit.

Die tatsächliche Kundenmeinung spricht jedoch eine andere Sprache. In einer

Befragung hat McKinsey herausgefunden, dass es weniger Kunden gibt, die von den

Vorteilen wie Angeboten, Komfort oder das Zuhause lassen der Geldbörse begeistert

sind, als solche, die die Vorteile tatsächlich sehen. Zudem sind diese Zahlen stark

rückläufig, die Euphorie der Kunden nimmt also weiter ab. Eine weitere Erkenntnis der

Befragung ist, dass ein großer Teil (37%) der Kunden zwar sicher ist, dass in den

nächsten Jahren im Einzelhandel mobil bezahlt werden kann, auf der anderen Seite

5

aber nur 7% alle Einkäufe mit mobilen Bezahlverfahren tätigen wollen (Ewing et al.

2013: S. 2f).

Abbildung 5 Kundenbefragung: Vorteile Mobile Payment (Ewing et al. 2013: S. 3)

Abbildung 6 Befragung Mobile Payment im Einzelhandel (Ewing et al. 2013: S. 2)

Diese Zahlen zeigen, dass der Nutzenfaktor nicht trivial ist und somit auch nicht einfach

erklärbar ist (Contius, Martignoni 2003: S. 10).

Zieht man die Theorie des Kano Modells zu Rate, so wird deutlich, dass

Begeisterungsfaktoren mit der Zeit zu Leistungsanforderungen und dann wiederum zu

Hygienefaktoren werden. Diese Entwicklung ist im Negativtrend der

Kundenbegeisterung abzulesen. Aus diesem Grund müssen sich auch Anbieter von

Mobile Payment Lösungen immer wieder neu erfinden, um die Nutzer zu überraschen

und eine Begeisterung bei ihnen auszulösen.

6

2.2 Chancen

Die Anzahl der Smartphone Nutzer in Deutschland nahm in den vergangenen fünf

Jahren stetig zu, was in der folgenden Grafik zu sehen ist. Die weite Verbreitung ist

eine Grundvoraussetzung, um Mobile Payment Angebote flächendeckend

einzuführen. Die Bedeutung des Smartphones als Absatzmarkt wird daher immer

wichtiger, was sogar dazu führt, dass Unternehmen wie PayPal inzwischen umdenken

und Produkte zunächst für mobile Anwendungen und erst danach für das Desktop

entwickeln (Hazan 2014: S. 2).

Abbildung 7 Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in Mio.) (Statista [3] 2014)

Die Adressierung dieser neuen Kundengeneration bietet die Chance, dass Nutzer

intuitiv an die Verwendung neuer Bezahlverfahren herangeführt werden, da sie mit

ihrem Gerät gut vertraut sind.

Nutzt ein Kunde Mobile Payment, sowie Mobile Business, so erfolgt kein Medienbruch

mehr, Kunden kommunizieren mit Verkäufern ausschließlich über mobile Endgeräte.

Das hat zur Folge, dass auch Social Media als Plattform für Unmutsäußerungen an

Bedeutung gewinnt (Hazan 2014: S. 2f). Der Service für Kunden ändert sich, denn

Unternehmen müssen nun schneller reagieren, um einen Reputationsschaden

abzuwenden.

Eine weitere Chance für Kunden ist die Vielfältigkeit der Angebote, die in Zukunft

realisierbar sind. So wird in Zukunft das Handy die Fahrkarte im öffentlichen Verkehr

ersetzen. Der Kunde scannt ein und aus, wodurch er immer den günstigsten Fahrpreis

bezahlt. Mit der sogenannten elektronischen Geldbörse wird man sich ausweisen

7

können, Hotelzimmer öffnen oder auch im Taxi bezahlen. Der Automobilzulieferer

Continental arbeitet an Autoschlössern, die sich mit dem Handy entriegeln lassen, was

für Mobilitätsdienstleister ein attraktiver Mehrwert sein kann (Menn 2013).

Je mehr und je häufiger Kunden Mobile Payment nutzen, desto gewillter sind Anbieter,

die Anwendungen kundenfreundlich zu gestalten. Der größte Nutzen für Kunden ergibt

sich in Zukunft, wenn möglichst viele Anwendungen in einer App kombiniert sind und

so ein universeller Einsatz möglich ist.

Das höchste Vertrauen bezüglich der Abwicklung von Bezahlvorgängen haben

Kunden in ihre Banken, wohingegen die Innovationskraft von Banken als gering

eingeschätzt wird. Können Banken diesen Vertrauensvorschuss nutzen, indem sie zu

den ersten Anbietern von Mobile Payment Angeboten gehören, so ergibt sich daraus

für Kunden die Chance, mobile Transaktionen bei ihrem gewohnten Anbieter zu tätigen

(Ewing et al. 2013: S. 4).

Im nächsten Kapitel werden die Technologien vorgestellt, wobei besonders auf die

spezifischen Risiken und Schutzmechanismen für den Kunden eingegangen wird.

2.3 Technologien und deren Risiken

2.3.1 NFC

Mit der Weiterentwicklung und dem Fortschritt von Mobile Payment Systemen ergeben

sich gleichzeitig auch neue Möglichkeiten für Cyberkriminelle.

Die Hinterlegung von Details zur Identität sowie die Nutzung als digitales

Zahlungsmittel machen NFC basierte Anwendungen zu einem lohnenswerten Ziel für

Angreifer. Durch immer raffiniertere Tools und Taktiken ist es Hackern schon heute

möglich unbemerkt an vertrauliche Informationen zu gelangen.

Die NFC Technologie kann grundsätzlich auf zwei Arten zur Anwendung kommen.

Zum einen als Smartcard, auf der sich ein NFC Chip befindet. Die andere Möglichkeit

ist die Nutzung von NFC fähigen Mobiltelefonen. Der Trend geht dabei zur Nutzung

von Smartphones welche die Smartcards digital abbilden können. Auf diese Weise

wird die Integration verschiedenster Anwendungen auf einem Gerät möglich. Denn

EC- und Kreditkarten, Mitgliedsausweise, Treue- und Bonuskarten, Führerschein,

Personalausweis und Gebäudezugangskarten können mithilfe von NFC einfach

digitalisiert werden. Entsprechend wird das Ganze dann als Mobile Wallet bezeichnet.

8

Abbildung 8 NFC Anwendungsfelder (Paganini 2013)

Das Themenfeld rund um Mobile Wallets kann schnell komplexe Ausmaße annehmen

wie die folgende Grafik verdeutlicht. Ursache sind die Vielzahl beteiligter Parteien,

unterschiedliche technologische Umsetzungsmöglichkeiten und die Masse an

Anwendungsmöglichkeiten, die genutzt werden können.

Abbildung 9 Verbindungen im komplexen mobile paymentUmfeld (PYMTS.com 2013)

Für den gewöhnlichen Anwender ohne tiefgreifendes technisches Hintergrundwissen

besteht die Gefahr, dass er aufgrund der einfachen Anwendbarkeit der Technologie

den Risiken zu wenig oder keine Aufmerksamkeit schenkt.

Die Verwundbarkeit von NFC und RFID Technologien in Mobiltelefonen mussten

Anwender in der Vergangenheit schon schmerzhaft erfahren. Ziel des Angriffs war u.a.

auch die Google Wallet auf Android Systemen (Trend Micro 2014). Dabei wurden die

hinterlegten Kreditkarteninformationen gestohlen um auf Kosten der Eigentümer

Transaktionen durchzuführen.

9

Die Sicherheit ist einer der essentiellen Bausteine um den nachhaltigen Erfolg der NFC

Technologie zu gewährleisten. Nutzer sollten daher die verschiedenen Risiken und

Gefahren kennen um durch ein sicherheitsbewusstes Anwenderverhalten die Vorteile

dieser neuen Technologie ungetrübt nutzen zu können.

2.3.1.1 Risiken und Schutzbedarf

Malware

Mobile Schadsoftware (Malware) ist eine ernsthafte Gefahr für die Nutzer von

Mobiltelefonen. Meist gelangt diese durch die Installation von Applikationen auf die

Geräte. Anbieter von Sicherheitssoftware haben in den letzten Jahren einen rapiden

Anstieg neuer Malware verzeichnet. Die folgende Grafik zeigt die gesamte Anzahl

mobiler Schadsoftware welche sich von 2012 bis 2014 vervielfacht hat.

Abbildung 10 Anzahl identifizierter mobile Schadsoftware (McAfee Labs 2014, S. 19)

Man kann davon ausgehen, dass mit steigenden Nutzerzahlen von NFC basierten

Zahlungsverfahren auch die Angriffe in diesem Bereich überproportional ansteigen

werden. Beispiele aus der Vergangenheit zeigen, dass dabei vor allem Schwachstellen

in der Programmierung ausgenutzt werden.

Der Android Trojaner Waller.A beispielsweise nutzte eine Sicherheitslücke im

Geldüberweisungsprotokoll des Visa QIWI Wallet aus, um Geld zu stehlen (McAfee

Labs 2014, S. 17). Die Schadsoftware tarnt sich dabei als Update für Adobe Flash oder

eine andere legitime App und wird nach der Installation nicht auf dem Hauptbildschirm

angezeigt. Im Hintergrund überprüft die Malware, ob auf dem Gerät ein Konto für eine

digitale Geldbörse eingerichtet und diese gefüllt ist. Sie fängt die Bestätigungsantwort

ab und sendet schließlich das Geld an den Server des Angreifers.

10

Allerdings sind nicht nur Endnutzer mit Mobiltelefonen durch Malware gefährdet.

Mittlerweile wird auch immer häufiger Schadsoftware auf Zahlungsterminals entdeckt.

Der aktuellste Fall betrifft die US-Baumarktkette Home Depot der im November 2014

aufgedeckt wurde. Durch Malware auf den Zahlungsterminals wurden dabei über 56

Mio. Kredit- und EC-Kartendaten gestohlen (Blevins 2014).

Die Aufklärung solcher Zwischenfälle kann die Betroffenen enorme Summen kosten.

Im Fall von Home Depot wurden bereits über 40 Mio. US$ aufgewendet um das

Sicherheitsleck zu untersuchen (Melgarejo 2014).

Abhören

Abhören ist eine passive Attacke bei der die Kommunikation zwischen

Zahlungsterminal und NFC-Gerät (bzw. Smartcard) von einem unbekannten Dritten

aufgezeichnet wird. Die so gewonnenen Daten können dann vom Angreifer

ausgewertet werden um an vertrauliche Informationen zu gelangen. Obwohl die NFC

Kommunikation nur im Nahfeld funktioniert, konnte gezeigt werden, dass diese Art der

Attacke relativ einfach umsetzbar ist. Klassischerweise muss sich der Angreifer hierbei

in unmittelbarer Nähe aufhalten. Auf diese Weise können jedoch keine großen

Datenmengen gewonnen werden da immer nur einzelne Individuen abgehört werden.

Ein Weiterverkauf der Daten ist somit unwahrscheinlich.

Skimming

Skimming ist durch das Ausspähen von Kredit- und EC-Karten bekannt geworden.

Dabei wurden z.B. die Kartenschlitze von Geldautomaten manipuliert um die

Magnetstreifen auszulesen. Auf diese Weise lassen sich illegale Kopien einer Karte

anfertigen mit denen den Eigentümern Geld entwendet werden kann.

Auch bei der kontaktlosen NFC Technologie besteht die Möglichkeit des Skimmings

weiterhin. In gewisser Weise ist das Angriffspotenzial sogar größer geworden. Beim

NFC Skimming wird durch ein Lesegerät des Angreifers die Kommunikation mit der

Smartcard eines Opfers initiiert. In Experimenten wurde herausgefunden, dass die

Entfernung für diese Art der Attacke nach NFC Norm ISO 14443 bis zu 50cm betragen

kann.

Sind die Smartcard Daten im Mobiltelefon hinterlegt, können Kopien auch aus der

Ferne angefertigt werden. Voraussetzung hierfür ist allerdings entsprechende

Schadsoftware auf dem Handy. Skimming ist die Grundlage für die Angriffsszenarien

11

„Man-in-the-Middle“, „Relay“ und „Replay“ die im weiteren Verlauf beschrieben

werden.

Man-in-the-Middle

Bei Man-in-the-Middle Angriffen klinkt sich der Angreifer so in eine

Kommunikationsverbindung ein, dass er in der Mitte zwischen den beiden

Kommunikationsendpunkten sitzt. Die gesendeten Datenpakete der

Kommunikationspartner werden bei dieser Methode vom Sender an den Angreifer

übertragen welcher diese dann an den Endempfänger weiterleitet. Dabei hat der

Angreifer prinzipiell auch die Möglichkeit die Daten zu verändern. Es ist jedoch äußerst

anspruchsvoll, Datenpakete in Echtzeit auf die gewünschte Weise zu verändern.

Ein Spezialfall der Man-in-the-Middle Attacke ist der Relay Angriff. Bei diesem Angriff

werden die Daten lediglich weitergeleitet ohne sie zu verändern.

Relay Attacke

Für einen Relay Angriff braucht man zwei Angreifer-Geräte. Einen sog. Mole welcher

die Aufgabe hat ein legitimes Zahlungsterminal vorzutäuschen und einen Proxy.

Aufgabe des Proxys ist es eine legitime Smartcard vorzutäuschen.

Abbildung 11 Relay Szenario (Thevenon & Savry 2013)

Der Angreifer mit dem Mole positioniert sich in unmittelbarer Nähe zu seinem Opfer

mit der Smartcard. Während die Kommunikation zwischen Mole und Smartcard

aufgebaut wird befindet sich der zweite Angreifer mit dem Proxy an einem

Zahlungsterminal. Über eine drahtlose Internetverbindung zwischen Mole und Proxy

können die jeweiligen Datenpakete der Smartcard und des Zahlungsterminals

ausgetauscht werden. Auf diese Weise wird dem Zahlungsterminal vorgetäuscht, es

würde direkt mit einer legitimen Smartcard kommunizieren. Tatsächlich hat der

Angreifer aber auf Kosten eines Smartcard Eigentümers, der nicht einmal in der Nähe

sein muss, eingekauft.

12

Das gleiche Angriffsszenario ist auch bei Verwendung eines Smartphones möglich.

Wenn dieses mit entsprechender Malware infiziert ist kann ein Angreifer auch ohne

Mole eine Kommunikation zwischen digitaler Smartcard und Zahlungsterminal

herstellen (Paganini 2013).

Abbildung 12 Relay Angriffsszenario mit Malware (eigene Darstellung)

Preplay

Beim Preplay Verfahren wird eine Smartcard durch das Lesegerät eines Angreifers

ausgelesen. Auf diese Weise können genug Informationen gesammelt werden um eine

Kopie der Karte anzufertigen. Das spezielle an dieser Attacke ist, dass nicht nur die

Karte geklont wird, sondern auch die für den Zahlungsvorgang notwendige

Sicherheitsantwort der Smartcard mit abgegriffen wird. Mit der Sicherheitsantwort lässt

sich mindestens eine Zahlung in Höhe vom Limit der Karte durchführen (Bond et al.

2014).Ein Video in dem diese Attacke demonstriert wird findet sich unter hier und hier.

Tracking

Jeder NFC Chip hat eine eindeutige Identifizierungsnummer, die UID, welche jedes

NFC-Lesegerät auslesen kann. Mit dieser unverwechselbaren ID könnten ganze

Bewegungs- und Verhaltensprofilen erstellt werden.

Interessant in diesem Zusammenhang ist die Aussage von Apple. Apple geht dabei so

weit zu sagen, dass Apple Pay weder weiß was man gekauft hat, wo man es gekauft

hat und wieviel gezahlt wurde (Apple Press Info 2014).

NFC-Tags

NFC-Tags sind einfache Speicherchips mit einer geringen Kapazität. Die Tags können

mit bestimmten Funktionalitäten beschreiben werden. Wenn man sich dem Tag bis auf

wenige Zentimeter nähert wird z.B. eine bestimmte Webseite aufgerufen. NFC Tags

in der Öffentlichkeit, beispielsweise auf Postern oder als weiterführende

13

Produktinformation, lassen sich allerdings auch fälschen oder verändern (Cepcik 2013,

S. 30). Liest man solch ein Tag aus, landet man evtl. auf der Seite eines Angreifers die

Malware verbreitet oder persönliche Informationen abgreift (Phishing).

2.3.1.2 Schutzmechanismen und Lösungen

Unter Beachtung folgender Schutzmechanismen können Nutzer der NFC Technologie

die genannten Risiken umgehen. Schadsoftware stellt die größte Bedrohung für Nutzer

von NFC Smartphones dar. Aus diesem Grund ist die Verwendung einer

entsprechenden Antivirensoftware sehr empfehlenswert. Durch regelmäßiges

scannen des Gerätes können unerwünschte Apps, Spyware und andere Bedrohungen

identifiziert werden. Um das Risiko weiter zu senken sollten Apps nur von

vertrauenswürdigen Quellen bezogen werden. Mit der Verwendung von starken

Passwörtern für Mobile Payment Apps und das Smartphone selbst kann man sich vor

unbefugtem Zugriff schützen. Auch sollte das NFC, sofern es nicht in Gebrauch ist,

ausgeschaltet werden. Dies ist nicht bei allen Handys möglich und sollte vor dem Kauf

beachtet werden. Weiterhin ist es ratsam NFC Verbindungen nur verschlüsselt

aufzubauen, da die übertragenen Informationen andernfalls leicht ausgelesen werden

können.

Zum Lesen von Tags kann eine NFC-Reader-App verwendet werden. Diese zeigt dem

Nutzer an welche Informationen sich auf dem Tag befinden. Weiterführende Links

können daraufhin abgelehnt oder zugelassen werden. Der Umgang mit Links ist

grundsätzlich sehr wichtig. Das unbedarfte öffnen von Links, wenn man nicht weiß was

sich dahinter verbirgt, sollte vermieden werden.

Im Falle von Smartcards ist es empfehlenswert eine entsprechende Abschirmlösung

zu verwenden. Das kann zum einen eine Hülle für die Karte selbst sein (z.B. Cryptalloy)

oder ein Geldbeutel aus abschirmendem Material. Grundsätzlich sollte man den

ganzen Geldbeutel auf Lesegeräten platzieren, sondern nur die jeweils benötigte

Karte.

2.3.2 Beacons

2.3.2.1 Erläuterung

Beacons (dt. Leuchtfeuer) verwenden eine neue Datenübertragungstechnologie

namens Bluetooth Low Energy (BLE). BLE hat laut Experten das Potenzial die NFC

Technologie in all deren Funktionen zu ersetzen (Golem, 2014). Auf die Risiken des

14

NFCs wurde bereits detailliert eingegangen. Die BLE-Technik ermöglicht neben allen

Funktionen der NFC-Technologie vor allem eine verbesserte Standorterkennung eines

Smartphone-Users in geschlossenen Räumen und kann damit das Leben grundlegend

verändern. Mit ihr wird versucht das Kaufverhalten der Kunden gezielt zu beeinflussen.

Das Beacon selbst ist vereinfacht gesagt, ein Sender, welcher ständig Informationen

an seine Umgebung aussendet. Daher der Name Leuchtfeuer. Diese Informationen

werden von dem Empfänger-Apps verarbeitet. In Warenhäusern sendet ein Beacon

beispielsweise Informationen aus, die einem Empfängerprogramm mitteilen, wo sich

der Sender lokal befindet.

Der Betreiber eines Einzelhandelsgeschäftes zum Beispiel, welcher Beacons

verwendet, kann das Kartenmaterial seines Ladens den Smartphone App-Entwicklern

zur Verfügung stellen. Mit der dazugehörigen App auf dem Smartphone und den

aufgestellten Beacons wird erkannt, ob und wo genau sich der Nutzer in dem

entsprechenden Laden befindet. Nun können Informationen und Dienste bereitgestellt

werden, sobald der Nutzer sein Smartphone aus der Tasche nimmt. Beacons bieten

Unternehmen eine Möglichkeit, den Kunden im unmittelbaren Moment vor der

Kaufentscheidung zu erreichen(z.B.: „Wir haben auch noch ein passendes

Sonderangebot dazu -> Kasten Bier“). Das Beacon selbst erhält im Gegenzug keine

Informationen, da es lediglich für den Versand bestimmt ist (Oberbeck, 2014).

2.3.2.2 Risiken und Schutzbedarf

Datenschutzrechtlich muss zwischen dem Beacon als Sender und dem

Empfängerprogramm unterschieden werden.

Beacon-Betreiber

Das Beacon dient rein als Sender. „Da die Beacons von einzelnen

Gegenständen gesendet werden, fehlt es regelmäßig an einem Personenbezug im

Sinne von § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG)“ (Oberbeck, 2014). Das

Beacon selbst kann nicht nachvollziehen, welches Gerät welche Daten empfängt, da

der Datenfluss nur einseitig erfolgt.

Empfängerprogramm

Das Smartphone-App empfängt die gesendeten Informationen des Beacons und

15

wertet diese aus. Viele Anwendungen aus den App-Stores müssen zu Beginn mit

einem Nutzerkonto verbunden werden. In diesen Konten werden personenbezogene

Daten gespeichert, welche dann verarbeitet und ausgewertet werden können. Das

Programm bekommt zum Beispiel wie bereits erwähnt, die Information, dass sich der

Nutzer in dem Augenblick in einer bestimmten Filiale aufhält. Da durch die Beacon-

Technologie zusätzlich die genaue Position mit Zeitwerten innerhalb dieser Filiale

bestimmt werden kann, bestehen interessante Werbemöglichkeiten. Es kann das

exakte Bewegungsmuster aufgezeichnet werden. Auch Produkte die länger als andere

betrachtet werden, können erkannt werden. Durch die Nachverfolgung also bekommt

der Ladeninhaber Informationen, was für den Kunden interessant ist, es aber zum

Beispiel nicht zum Kaufabschluss geschafft hat (Beacon an der Kasse wurde nicht

ausgelöst). Um seine Ware dennoch verkauft zu bekommen, können die Informationen

der App für das erneute Bewerben im Internet verwendet werden. Im Idealfall für den

Ladenbetreiber, wird der Nutzer dann auf den Onlineshop gelenkt und zum

Kaufabschluss bewegt. Der Anwender hingegen wurde im Nachhinein durch

geschicktes Marketing so beeinflusst, doch etwas zu kaufen, für was er sich

ursprünglich entgegenentschieden hat. Beacons sind deshalb nicht nur Nutzenstifter,

sondern haben auch das Potential dazu, manchen Konsumenten stärker zu

durchleuchten, als ihm lieb ist. Die Verknüpfung von den verschiedensten Daten und

Informationen kann zur Manipulation des Kaufverhaltens der Menschen führen.

2.3.2.3 Schutzmechanismen und Lösungen

Die Verarbeitung und Auswertung von direkt auf eine Person bezogene Daten

(Nutzerkonto – Standort – Kaufverhalten) ist nach dem deutschen Recht nur mit der

Einwilligung des Nutzers erlaubt. Wird dem Benutzer vor der Installation bewusst

gemacht, welche Daten wie verarbeitet werden, reicht das als gesetzliche

Rechtfertigung aus. In jedem Fall ist der Nutzer aber ausreichend zu informieren. Die

Unternehmen hinter den Apps müssen aufklären, für welche Zwecke die

Standortdaten der Nutzer konkret verwenden werden. Dabei müssen auch

Marketingmaßnahmen benannt werden. Viele Unternehmen setzen hier auf Lücken

und lassen so die nötige Transparenz vermissen (Oberbeck, 2014).

Gesetzliche Schutzregelungen also, die der unkontrollierten Nutzung der via Beacons

gewonnenen Daten entgegenwirken, existieren. Deren Nutzen wird aber eher über-

als unterschätzt. Zum einen ist damit zu rechnen, dass der entsprechende Hinweis in

16

den App-AGB untergebracht wird, wo ihn nahezu alle Nutzer ungelesen wegklicken.

Zum anderen fällt auch die Kontrolle der Nutzung der Daten schwer (Golem, 2014).

Der Nutzer schützt sich in diesem Fall am besten selbst. Er selbst muss mit sich

vereinbaren, ob die Vorteile durch die Nutzung einer bestimmten App, die negativen

Auswirkungen auf die Privatsphäre rechtfertigen.

Der Gesetzgeber muss seine Bürger nicht nur durch theoretische Gesetze schützen,

sondern auch aktiv präventiv aufklären. Im Moment ist das Thema Datenschutz im

alltäglichen Smartphone Gebrauch noch zu omnipräsent. Eine Aufklärung im Sinne

des Datenschutzes und des Werts der eigenen Daten sollte bereits im Kindesalter

erfolgen.

2.4 Kosten und Mehraufwände

Kosten für den datenschutzbewussten Anwender sind nur schwer auszumachen.

Finanzielle Aufwände die ihn direkt betreffen können sind z.B. der Kauf eines

geeigneten Virenscanners. Auch mobile Geräte sind von Angriffen nicht gefeit. Eine

entsprechende Software gibt es in den App-Stores schon ab 0,99€.Um sich vor dem

Auslesen seiner Kreditkartendaten über die NFC-Technologie zu schützen wäre ein

Aluminium-Cover eine Möglichkeit. Diese gibt es bereits für rund 10€ für die

unterschiedlichsten Smartphones.

Jedoch kann sich der Anwender auch durch bestimmte Dinge selbst schützen. Hierzu

gehören z.B.

Nutzungsbedingung vorab lesen

NFC bei Nichtgebrauch ausschalten

NFC mit Secure-Element verwenden

Sperrnummern bereithalten

Nur auf vertrauenswürdige, transparente Apps zurückgreifen

Dies bedeutet zwar einen Mehraufwand für den Nutzer, kann aber vor erheblichen

Schaden schützen.

17

3 Handlungsempfehlung für datenschutzbewusste Anwender

Zusammenfassend kann gesagt werden, dass die Anwender bei Nutzung der

aufgeführten mobilen Bezahlverfahren sich den in den Kapiteln zuvor aufgeführten

datenschutzrechtlichen Risiken bewusst sind und damit hohe Ansprüche bezüglich

Funktionalität und Sicherheitsvorkehrung an den Mobile Payment Markt stellen. Neben

den technischen Schwachstellen führt ebenso die Heterogenität der Mobile Payment

Anbieter zu zusätzlicher Ungewissheit bei den Anwendern (Kreimer, Rodenkirchen

2010: S. 19).

Gesetzliche Grundlagen hinsichtlich Datenschutz und Zahlungssicherheit in

Deutschland und Europa sollen diese zentrale Schwierigkeiten für den Anwender

bestimmen. Dennoch führt es zu der Annahme, dass der Anwender selbstbestimmt

über den Einsatz des Mobile Payments entscheidet und unterschiedliche

Empfehlungen bei der Nutzung mitberücksichtigt. In diesem Sinne versetzt eine

ausreichende Information über das Mobile Payment Verfahren die Anwenderinnen und

Anwender in die Lage, sich über das bestehende Risiko bewusst zu werden und

geeignete Schutzmechanismen einzuleiten. Mit diesen Grund- sowie detaillierten

Informationen erhält der Anwender Angaben zur Funktionsweise des

Bezahlverfahrens, Art der verarbeitenden Daten und beispielsweise auch

Zugriffsrechten bei der Verwendung von Apps, um diese auf das erforderliche Maß zu

beschränken. Darüber hinaus sollte für den Anwender gewährleistet sein, dass die

Datenverarbeitung im Rahmen des Vertragszwecks gehalten und eine Einwilligung

erfordert wird. Dabei ist es ebenso wichtig, dass der Anwender im Falle einer

Einwilligung darauf achtet, dass diese jederzeit für die Zukunft auch widerrufen werden

kann.

Als weitere Empfehlung kann die Legitimation der Registrierung bei Zahlungen

aufgeführt werden, die mit einem mehrstufigem Sicherheitsverfahren ausgestattet sein

sollte. Demzufolge kann beispielsweise der zukünftige Einsatz des elektronischen

Personalausweises eine wichtige Authentifizierungsfunktion übernehmen, sodass eine

gegenseitige Authentifizierung beim Bezahlvorgang sichergestellt werden kann.

Zur technischen Absicherung kontaktloser Bezahlverfahren gibt es zahlreiche

Schutzmechanismen, die in den Kapiteln zuvor erläutert wurden. In diesem Sinne ist

deren Beachtung eine Handlungsempfehlung für datenschutzbewusste

18

Anwenderinnen und Anwender, um auch über technische Mechanismen hinaus

bewusster mit Mobile Payment umzugehen.

Um weitere Risiken vorzubeugen sind daher die Kostenkontrolle sowie die

Transparenz des Anwenders von Bedeutung. Daher sollten in regelmäßigen

Zeitabständen die getätigten Transaktionen vom Anwender überprüft werden, sodass

mit Hilfe von Internetseiten des Dienstanbieters die Entgeltinformationen einsehbar für

den Anwender sind.

Mobile Payment hat zweifelsohne das Potential, den Wandel der Lebensgewohnheiten

des Nutzers zu beeinflussen – allerdings sollte es dem Anwender frei stehen, welche

Daten er über sich preisgeben möchte und welcher Zahlungsvariante er am meisten

vertraut. Letztendlich bleibt abzuwarten, inwieweit die bestehenden

Sicherheitsbedenken der Nutzer ausgeräumt und die für den Nutzer wahrgenommene

Nützlichkeit mit Unterhaltungsfaktor weiter ausgeprägt wird (wi-mobile Dr. Pousttchi

GmbH, 2014: S.6).

V

Literaturverzeichnis

Apple Press Info (9. September 2014): Apple Announces Apple Pay - Transforming

Mobile Paymentswith an Easy, Secure & Private Way to Pay, URL:

http://www.apple.com/pr/library/2014/09/09Apple-Announces-Apple-Pay.html[Abruf

am 10.12.2014]

Bendel (2014): Mobile Business, URL:

http://wirtschaftslexikon.gabler.de/Archiv/498345196/mobile-business-v4.html [Abruf

am 26.11.2014]

Blevins, Brandan (19. September 2014): Home Depot databreach update: 56

millioncardsconfirmedstolen, URL:

http://searchsecurity.techtarget.com/news/2240231011/Home-Depot-data-breach-

update-56-million-cards-confirmed-stolen[Abruf am 7.12.2014]

Bond et al. (2014): Chip andSkim: cloning EMV cardswiththepre-play attack,

University of Cambridge URL: http://de.slideshare.net/bluesme/chip-and-skim-

cloning-emv-cards-with-the-pre-play-attack[Abruf am 1.12.2014]

Cepcik, Stefan (Oktober 2013): Sicherheit von NFC-basierten Anwendungen auf

Smartphone, Hochschule Ulm URL: http://www.hs-

ulm.de/opus/volltexte/2013/125/pdf/Sicherheit_von_NFC_basierten_Anwendungen_a

uf_Smartphone_Betriebssystemen.pdf

Contius, Martignoni(2003): Mobile Payment im Spannungsfeld von Ungewissheit und

Notwendigkeit, URL: http://subs.emis.de/LNI/Proceedings/Proceedings25/GI-

Proceedings.25-5.pdf [Abruf am 29.11.2014]

Emms et al. ( 2013): Financial Cryptographyand Data Security: Risksof Offline Verify

PIN on Contactless Cards, Springer, Berlin Heidelberg

Ewing et al. (2013): From solutions to adoption: The next phase of consumer mobile

payments, URL:

http://www.mckinsey.com/~/media/mckinsey/dotcom/client_service/Financial%20Ser

vices/Latest%20thinking/Payments/MoP17_From_solutions_to_adoption_The_next_

phase_of_consumer_mobile_payments.ashx. [Abruf am 29.11.2014]

VI

Ewing et al. (2014): The keys to driving broad consumer adoption of digital wallets

and mobile payments, McKinsey

Golem. (2014): IT-News für Profis, URL: www.golem.de [Abruf am 03.12.2014]

Haufe (2014): Mobile Payment schafft die Brücke zum mobilen Kunden, URL:

http://www.haufe.de/marketing-vertrieb/vertrieb/handel-mobile-payment-schafft-die-

bruecke-zum-mobilen-kunden_130_231676.html [Abruf am 29.11.2014]

Hazan (2014): PayPals Vision for a global Marketplace, McKinsey

Kreimer, Rodenkirchen (2010): KPMG: Mobile Payment – Anforderungen, Barrieren,

Chancen, Hamburg URL:

http://www.ecckoeln.de/Downloads/Themen/Payment/KPMG_Mobile_Payment_2010

.pdf [Abruf am 10.12.2014]

Lerner (2013): Mobile Payment, Wiesbaden

Mastercard (2014): Mobile Payment Readiness Index, URL:

http://mobilereadiness.mastercard.com/country/?de [Abruf am 24.11.2014]

McAfee Labs (Juni 2014): McAfee Labs Threat Report, URL:

http://www.mcafee.com/de/resources/reports/rp-quarterly-threat-q1-2014.pdf[Abruf

am 2.12.2014]

Melgarejo, Anthony Joe (27. November 2014): Trend Micro: New PoSMalwareKicks

off Holiday Shopping Weekend ,URL: http://blog.trendmicro.com/trendlabs-security-

intelligence/new-pos-malware-kicks-off-holiday-shopping-weekend/[Abruf am

3.12.2014]

Menn (2013): Der Boom der digitalen Börsen, Wirtschaftswoche

Oberbeck (2014): Datenschutzkanzlei, URL: www.datenschutzkanzlei.de [Abruf am

09.12.2014]

Paganini, Pierluigi (18. Juni 2013): InfoSec Institut: Near Field Communication (NFC)

Technology, VulnerabilitiesandPrincipalAttack Schema, URL:

VII

http://resources.infosecinstitute.com/near-field-communication-nfc-technology-

vulnerabilities-and-principal-attack-schema/[Abruf am 26.11.2014]

Pusttchi (2005): Mobile Payment in Deutschland, Wiesbaden

PYMENTS.com (2013): Innovation Project 2014 – Mobile Commerce Ecosystem,

URL: http://theinnovationproject2014.com/mobile-commerce-ecosystem/ [Abruf am

30.11.2014]

Statista [1] (2014): Nutzung von mobile Payment Angeboten Deutscher Verbraucher,

URL: http://de.statista.com/statistik/daten/studie/158762/umfrage/nutzung-von-

mobile-payment-angeboten-deutscher-verbraucher/ [Abruf am 27.11.2014]

Statista [2] 2014: Umsatz durch mobile Payment weltweit, URL:

http://de.statista.com/statistik/daten/studie/214247/umfrage/umsatz-durch-mobile-

payment-weltweit/ [Abruf am 27.11.2014]

Statista [3] (2014): Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in

Mio.), URL: http://de.statista.com/statistik/daten/studie/198959/umfrage/anzahl-der-

smartphonenutzer-in-deutschland-seit-2010/ [Abruf am 27.11.2014]

Thede Consulting (2014): Der TC Payment Report 2014 – Eine Studie von Dr. Thede

Consulting zu aktuellen Themen im Payment-Markt, Hamburg,

Thevenon, Pierre-Henri &Savry Olivier (5. Juni 2013): Implementation of a

Countermeasureto Relay AttacksforContactless HF Systems, URL:

http://www.intechopen.com/books/radio-frequency-identification-from-system-to-

applications/implementation-of-a-countermeasure-to-relay-attacks-for-contactless-hf-

systems [Abruf am 30.11.2014]

Trend Mircro (28. November 2014): Apple Pay, Google Wallet, NFC, and RFID:

IsYour Mobile Payment Option Holiday-Safe?, URL:

http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/apple-pay-google-

wallet-nfc-and-rfid-is-your-mobile-payment-option-holiday-safe [Abruf am 26.11.2014]

Wi-mobile Dr. Pousttchi GmbH (2014): Warum wir Mobile Payment neu denken

müssen, Augsburg