Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Studienarbeit Informationstechnologie
Einsatz von mobilen Technologien in (privat)kundenorientierten
Geschäftsprozessen
Das Mobile Business und Mobile Payment-Szenario
aus Sicht des Datenschutzbewussten Anwenders
Aufgabensteller: Prof. Dr. Jörg Puchan
Ersteller: Caroline Brendle
Martin Haueisen
Felix Kastl
Michael Lautz
Veronika Osterlehner
Christoph Untergehrer
II
Das Team
III
Inhaltsverzeichnis
Inhaltsverzeichnis ...................................................................................................... III
Abbildungsverzeichnis ............................................................................................... IV
1 Einführung in Mobile Business und Mobile Payment ........................................... 1
2 Das Mobile Business und Mobile Payment-Szenario aus Sicht des
Datenschutzbewussten Anwenders ............................................................................ 4
2.1 Nutzen und Annehmlichkeiten ....................................................................... 4
2.2 Chancen ........................................................................................................ 6
2.3 Technologien und deren Risiken ................................................................... 7
2.3.1 NFC ........................................................................................................ 7
2.3.2 Beacons ................................................................................................ 13
2.4 Kosten und Mehraufwände .......................................................................... 16
3 Handlungsempfehlung für datenschutzbewusste Anwender .............................. 17
Literaturverzeichnis .................................................................................................... V
IV
Abbildungsverzeichnis
Abbildung 1 Fünf verschiedene Bezahlszenarien (Pousttchi 2005: S.2) .................... 1
Abbildung 2 Befragung zu Nutzung von Mobile-Payment-Angeboten (Statista [1]
2014) .......................................................................................................................... 2
Abbildung 3 Weltweiter Umsatz mit mobile Payment 2010-2012, Prognosen für 2013
und 2017 (Mrd. US-Dollar) (Statista [2] 2014) ............................................................ 2
Abbildung 4 Mobile Payment Readiness Index Deutschland (Mastercard 2014) ....... 3
Abbildung 5 Kundenbefragung: Vorteile Mobile Payment (Ewing et al. 2013: S. 3) ... 5
Abbildung 6 Befragung Mobile Payment im Einzelhandel (Ewing et al. 2013: S. 2) ... 5
Abbildung 7 Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in Mio.)
(Statista [3] 2014) ....................................................................................................... 6
Abbildung 8 NFC Anwendungsfelder (Paganini 2013) .............................................. 8
Abbildung 9 Verbindungen im komplexen mobile paymentUmfeld (PYMTS.com 2013)
................................................................................................................................... 8
Abbildung 10 Anzahl identifizierter mobile Schadsoftware (McAfee Labs 2014, S. 19)
................................................................................................................................... 9
Abbildung 11 Relay Szenario (Thevenon & Savry 2013) .......................................... 11
Abbildung 12 Relay Angriffsszenario mit Malware (eigene Darstellung) .................. 12
1
1 Einführung in Mobile Business und Mobile Payment
Die steigende Verwendung von mobilen Endgeräten eröffnet ein sehr attraktives
Geschäftsfeld für Online-Händler.
Begriffe wie Mobile Business und Mobile Commerce finden dabei immer häufiger
Verwendung, oftmals ohne dass den Kunden die Bedeutung im Detail klar ist und worin
der genaue Unterschied besteht.
Mobile Business meint einen Teilbereich des E-Business, wobei Information,
Kommunikation, Interaktion und Transaktion über mobile Endgeräte erfolgt. Das heißt,
nicht nur Mobile Commerce, also der Kauf und Verkauf von Gütern und
Dienstleistungen fällt unter den Begriff des Mobile Business, sondern auch die
Kommunikation zwischen Käufer und Verkäufer, die Einholung von Informationen,
sowie der letztliche Bezahlvorgang. Darüber hinaus wird das Mobile Learning (mobile
Variante des E-Learnings) zum Geschäftsfeld des Mobile Business gezählt (Bendel
2014). Mobile Business hat sich in Folge der Entwicklung von Smartphones und
Tablets aus dem „stationären“ E-Business entwickelt (ebd.).
Von Mobile Payment hingegen spricht man, wenn der Bezahlvorgang von einem
mobilen Endgerät initiiert wird (Lerner 2013: S.6). Es sind fünf verschiedene
Bezahlszenarien zu unterscheiden, die in der nächsten Abbildung zu sehen sind
(Pousttchi 2005: S.1 f).
Abbildung 1 Fünf verschiedene Bezahlszenarien (Pousttchi 2005: S.2)
Der in Deutschland zurückhaltende Erfolg für Mobile Payment Verfahren zeigt, dass
bisher für die Anwender noch wenig Anreiz zur Nutzung der mobilen Bezahlverfahren
2
besteht. Das liegt daran, dass diese häufig keinen Vorteil oder konkreten Mehrwert
sehen und oftmals auch das Vertrauen in einem datenschutzbewussten Umgang
hinsichtlich Mobile Payment fehlt. Dennoch ist die Anwenderin bzw. Anwender von
einem starken Wandel der Kommunikationsinfrastruktur geprägt, wodurch neue
Vertriebskanäle und Lebensgewohnheiten sich eröffnen und der Einsatz von mobilen
Endgeräten immer mehr ansteigt. Demnach verschwimmen zunehmend die Grenzen
des stationären sowie Online-Geschäftes, sodass Bereiche wie E- oder M-Commerce
sowie Point of Sales immer weiter zusammenwachsen (Thede Consulting 2014: S.6f.).
Dennoch sind Zahlmethoden wie Kredit- oder Debitkarten, Bargeld oder
Rechnungskauf nach wie vor sehr beliebt.
Wie in nebenstehender Grafik zu
sehen ist, geht der Anteil der
Käufer, die auf traditionelle
Weise über Rechnung oder
Kreditkarte bezahlen, stetig
zurück. Demgegenüber steigt
die Anzahl der Personen, die
über Mobile Payment
Dienstleister bezahlen seit 2011
kontinuierlich.
Die Prognose des weltweiten
Umsatzes, der 2017 über Mobile
Payment generiert werden soll
unterstreicht diese Entwicklung.
Schätzungen zufolge ist der
Umsatz in 2017 mehr als viermal
so groß, wie im Jahr 2012.
Abbildung 3 Weltweiter Umsatz mit mobile Payment 2010-2012, Prognosen für 2013 und 2017 (Mrd. US-Dollar) (Statista [2] 2014)
Abbildung 2 Befragung zu Nutzung von Mobile-Payment-Angeboten (Statista [1] 2014)
3
Dieser Blick in die Zukunft zeigt, dass die Wirtschaft Mobile Payment als eines der
meistverwendeten Bezahlszenarien etablieren möchte und auch auf einem guten Weg
dahin ist. Betrachtet man jedoch den von Mastercard erfassten Readiness Index, der
die Bereitschaft für derartige Bezahlverfahren in ganz Deutschland misst, so wird
deutlich, dass noch Handlungsbedarf besteht. Die Bereitschaft der Bundesrepublik
liegt im Durchschnitt bei 31,6 %, wobei insbesondere die Mobile Commerce Clusters1
und die Consumer Readiness zurückliegen.
Abbildung 4 Mobile Payment Readiness Index Deutschland (Mastercard 2014)
Um dieses neue Bezahlverfahren am Markt zu etablieren, müssen Anbieter also die
Bereitschaft der Nutzer steigern und Risiken abbauen. Nur auf diese Weise können
Systeme flächendecken eingeführt und kosteneffizient betrieben werden. Demzufolge
wird der Schwerpunkt der Arbeit auf die am weitesten verbreiteten Systeme für mobiles
Bezahlen – NFC und Beacons – gelegt.
Im Folgenden werden zunächst der Nutzen und die Annehmlichkeiten beleuchtet, die
die Konsumenten durch die Verwendung der Mobile Payment Technologien erfahren.
Demgegenüber werden ebenso die bestehenden Risiken erläutert, um den
Schutzbedarf und Schutzmechanismen zu erkennen. Im letzten Kapitel der Arbeit
werden die konkreten Handlungsempfehlungen für den Mobile Payment Anwender
abschließend zusammengefasst.
1 Zusammenarbeit von Banken, Netzwerkanbietern und Regierung
4
Im zugehörigen Podcast werden exemplarisch ausgewählte
Nutzungsszenarien gezeigt.
https://public.webdav.hm.edu/pub/__oxP_2dae87f285049c7d
2 Das Mobile Business und Mobile Payment-Szenario aus Sicht des
Datenschutzbewussten Anwenders
2.1 Nutzen und Annehmlichkeiten
Die Anbieter mobiler Bezahlverfahren machen sich zahlreiche Gedanken, was für den
Kunden ein direkter Nutzen ist. Verwendet man das Beispiel des Einkaufs im
Einzelhandel, so sind die Vorteile ein schnellerer Prozess durch kurze
Warteschlangen, die immer aktuelle Information, sowie die Einbindung von
Bonusprogrammen und Gutscheinen. Außerdem erfährt der Kunde durch einen Blick
auf sein Smartphone sofort, wo die nächste Filiale seiner Wahl ist.
Bei Untersuchung der Apps von Supermärkten fällt auf, dass Kunden Einkaufslisten
erstellen können, sofort über Zusatzangebote und detaillierte Informationen über das
Produkt erhalten. Dazu zählen Ernährungs- und Kochtipps in Form von
Nährwertangaben, Rezepten und Kochvideos. Personalisiertes Einkaufen durch
maßgeschneiderte Angebote steht dabei im Mittelpunkt und soll ein innovatives
Einkaufserlebnis hervorrufen (Haufe 2014).
Die Verwendung dieser Bezahlverfahren ist orts- und zeitungebunden, Anbieter
preisen mit voller Kostenkontrolle und der Übersicht aller Transaktionen in Echtzeit.
Die tatsächliche Kundenmeinung spricht jedoch eine andere Sprache. In einer
Befragung hat McKinsey herausgefunden, dass es weniger Kunden gibt, die von den
Vorteilen wie Angeboten, Komfort oder das Zuhause lassen der Geldbörse begeistert
sind, als solche, die die Vorteile tatsächlich sehen. Zudem sind diese Zahlen stark
rückläufig, die Euphorie der Kunden nimmt also weiter ab. Eine weitere Erkenntnis der
Befragung ist, dass ein großer Teil (37%) der Kunden zwar sicher ist, dass in den
nächsten Jahren im Einzelhandel mobil bezahlt werden kann, auf der anderen Seite
5
aber nur 7% alle Einkäufe mit mobilen Bezahlverfahren tätigen wollen (Ewing et al.
2013: S. 2f).
Abbildung 5 Kundenbefragung: Vorteile Mobile Payment (Ewing et al. 2013: S. 3)
Abbildung 6 Befragung Mobile Payment im Einzelhandel (Ewing et al. 2013: S. 2)
Diese Zahlen zeigen, dass der Nutzenfaktor nicht trivial ist und somit auch nicht einfach
erklärbar ist (Contius, Martignoni 2003: S. 10).
Zieht man die Theorie des Kano Modells zu Rate, so wird deutlich, dass
Begeisterungsfaktoren mit der Zeit zu Leistungsanforderungen und dann wiederum zu
Hygienefaktoren werden. Diese Entwicklung ist im Negativtrend der
Kundenbegeisterung abzulesen. Aus diesem Grund müssen sich auch Anbieter von
Mobile Payment Lösungen immer wieder neu erfinden, um die Nutzer zu überraschen
und eine Begeisterung bei ihnen auszulösen.
6
2.2 Chancen
Die Anzahl der Smartphone Nutzer in Deutschland nahm in den vergangenen fünf
Jahren stetig zu, was in der folgenden Grafik zu sehen ist. Die weite Verbreitung ist
eine Grundvoraussetzung, um Mobile Payment Angebote flächendeckend
einzuführen. Die Bedeutung des Smartphones als Absatzmarkt wird daher immer
wichtiger, was sogar dazu führt, dass Unternehmen wie PayPal inzwischen umdenken
und Produkte zunächst für mobile Anwendungen und erst danach für das Desktop
entwickeln (Hazan 2014: S. 2).
Abbildung 7 Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in Mio.) (Statista [3] 2014)
Die Adressierung dieser neuen Kundengeneration bietet die Chance, dass Nutzer
intuitiv an die Verwendung neuer Bezahlverfahren herangeführt werden, da sie mit
ihrem Gerät gut vertraut sind.
Nutzt ein Kunde Mobile Payment, sowie Mobile Business, so erfolgt kein Medienbruch
mehr, Kunden kommunizieren mit Verkäufern ausschließlich über mobile Endgeräte.
Das hat zur Folge, dass auch Social Media als Plattform für Unmutsäußerungen an
Bedeutung gewinnt (Hazan 2014: S. 2f). Der Service für Kunden ändert sich, denn
Unternehmen müssen nun schneller reagieren, um einen Reputationsschaden
abzuwenden.
Eine weitere Chance für Kunden ist die Vielfältigkeit der Angebote, die in Zukunft
realisierbar sind. So wird in Zukunft das Handy die Fahrkarte im öffentlichen Verkehr
ersetzen. Der Kunde scannt ein und aus, wodurch er immer den günstigsten Fahrpreis
bezahlt. Mit der sogenannten elektronischen Geldbörse wird man sich ausweisen
7
können, Hotelzimmer öffnen oder auch im Taxi bezahlen. Der Automobilzulieferer
Continental arbeitet an Autoschlössern, die sich mit dem Handy entriegeln lassen, was
für Mobilitätsdienstleister ein attraktiver Mehrwert sein kann (Menn 2013).
Je mehr und je häufiger Kunden Mobile Payment nutzen, desto gewillter sind Anbieter,
die Anwendungen kundenfreundlich zu gestalten. Der größte Nutzen für Kunden ergibt
sich in Zukunft, wenn möglichst viele Anwendungen in einer App kombiniert sind und
so ein universeller Einsatz möglich ist.
Das höchste Vertrauen bezüglich der Abwicklung von Bezahlvorgängen haben
Kunden in ihre Banken, wohingegen die Innovationskraft von Banken als gering
eingeschätzt wird. Können Banken diesen Vertrauensvorschuss nutzen, indem sie zu
den ersten Anbietern von Mobile Payment Angeboten gehören, so ergibt sich daraus
für Kunden die Chance, mobile Transaktionen bei ihrem gewohnten Anbieter zu tätigen
(Ewing et al. 2013: S. 4).
Im nächsten Kapitel werden die Technologien vorgestellt, wobei besonders auf die
spezifischen Risiken und Schutzmechanismen für den Kunden eingegangen wird.
2.3 Technologien und deren Risiken
2.3.1 NFC
Mit der Weiterentwicklung und dem Fortschritt von Mobile Payment Systemen ergeben
sich gleichzeitig auch neue Möglichkeiten für Cyberkriminelle.
Die Hinterlegung von Details zur Identität sowie die Nutzung als digitales
Zahlungsmittel machen NFC basierte Anwendungen zu einem lohnenswerten Ziel für
Angreifer. Durch immer raffiniertere Tools und Taktiken ist es Hackern schon heute
möglich unbemerkt an vertrauliche Informationen zu gelangen.
Die NFC Technologie kann grundsätzlich auf zwei Arten zur Anwendung kommen.
Zum einen als Smartcard, auf der sich ein NFC Chip befindet. Die andere Möglichkeit
ist die Nutzung von NFC fähigen Mobiltelefonen. Der Trend geht dabei zur Nutzung
von Smartphones welche die Smartcards digital abbilden können. Auf diese Weise
wird die Integration verschiedenster Anwendungen auf einem Gerät möglich. Denn
EC- und Kreditkarten, Mitgliedsausweise, Treue- und Bonuskarten, Führerschein,
Personalausweis und Gebäudezugangskarten können mithilfe von NFC einfach
digitalisiert werden. Entsprechend wird das Ganze dann als Mobile Wallet bezeichnet.
8
Abbildung 8 NFC Anwendungsfelder (Paganini 2013)
Das Themenfeld rund um Mobile Wallets kann schnell komplexe Ausmaße annehmen
wie die folgende Grafik verdeutlicht. Ursache sind die Vielzahl beteiligter Parteien,
unterschiedliche technologische Umsetzungsmöglichkeiten und die Masse an
Anwendungsmöglichkeiten, die genutzt werden können.
Abbildung 9 Verbindungen im komplexen mobile paymentUmfeld (PYMTS.com 2013)
Für den gewöhnlichen Anwender ohne tiefgreifendes technisches Hintergrundwissen
besteht die Gefahr, dass er aufgrund der einfachen Anwendbarkeit der Technologie
den Risiken zu wenig oder keine Aufmerksamkeit schenkt.
Die Verwundbarkeit von NFC und RFID Technologien in Mobiltelefonen mussten
Anwender in der Vergangenheit schon schmerzhaft erfahren. Ziel des Angriffs war u.a.
auch die Google Wallet auf Android Systemen (Trend Micro 2014). Dabei wurden die
hinterlegten Kreditkarteninformationen gestohlen um auf Kosten der Eigentümer
Transaktionen durchzuführen.
9
Die Sicherheit ist einer der essentiellen Bausteine um den nachhaltigen Erfolg der NFC
Technologie zu gewährleisten. Nutzer sollten daher die verschiedenen Risiken und
Gefahren kennen um durch ein sicherheitsbewusstes Anwenderverhalten die Vorteile
dieser neuen Technologie ungetrübt nutzen zu können.
2.3.1.1 Risiken und Schutzbedarf
Malware
Mobile Schadsoftware (Malware) ist eine ernsthafte Gefahr für die Nutzer von
Mobiltelefonen. Meist gelangt diese durch die Installation von Applikationen auf die
Geräte. Anbieter von Sicherheitssoftware haben in den letzten Jahren einen rapiden
Anstieg neuer Malware verzeichnet. Die folgende Grafik zeigt die gesamte Anzahl
mobiler Schadsoftware welche sich von 2012 bis 2014 vervielfacht hat.
Abbildung 10 Anzahl identifizierter mobile Schadsoftware (McAfee Labs 2014, S. 19)
Man kann davon ausgehen, dass mit steigenden Nutzerzahlen von NFC basierten
Zahlungsverfahren auch die Angriffe in diesem Bereich überproportional ansteigen
werden. Beispiele aus der Vergangenheit zeigen, dass dabei vor allem Schwachstellen
in der Programmierung ausgenutzt werden.
Der Android Trojaner Waller.A beispielsweise nutzte eine Sicherheitslücke im
Geldüberweisungsprotokoll des Visa QIWI Wallet aus, um Geld zu stehlen (McAfee
Labs 2014, S. 17). Die Schadsoftware tarnt sich dabei als Update für Adobe Flash oder
eine andere legitime App und wird nach der Installation nicht auf dem Hauptbildschirm
angezeigt. Im Hintergrund überprüft die Malware, ob auf dem Gerät ein Konto für eine
digitale Geldbörse eingerichtet und diese gefüllt ist. Sie fängt die Bestätigungsantwort
ab und sendet schließlich das Geld an den Server des Angreifers.
10
Allerdings sind nicht nur Endnutzer mit Mobiltelefonen durch Malware gefährdet.
Mittlerweile wird auch immer häufiger Schadsoftware auf Zahlungsterminals entdeckt.
Der aktuellste Fall betrifft die US-Baumarktkette Home Depot der im November 2014
aufgedeckt wurde. Durch Malware auf den Zahlungsterminals wurden dabei über 56
Mio. Kredit- und EC-Kartendaten gestohlen (Blevins 2014).
Die Aufklärung solcher Zwischenfälle kann die Betroffenen enorme Summen kosten.
Im Fall von Home Depot wurden bereits über 40 Mio. US$ aufgewendet um das
Sicherheitsleck zu untersuchen (Melgarejo 2014).
Abhören
Abhören ist eine passive Attacke bei der die Kommunikation zwischen
Zahlungsterminal und NFC-Gerät (bzw. Smartcard) von einem unbekannten Dritten
aufgezeichnet wird. Die so gewonnenen Daten können dann vom Angreifer
ausgewertet werden um an vertrauliche Informationen zu gelangen. Obwohl die NFC
Kommunikation nur im Nahfeld funktioniert, konnte gezeigt werden, dass diese Art der
Attacke relativ einfach umsetzbar ist. Klassischerweise muss sich der Angreifer hierbei
in unmittelbarer Nähe aufhalten. Auf diese Weise können jedoch keine großen
Datenmengen gewonnen werden da immer nur einzelne Individuen abgehört werden.
Ein Weiterverkauf der Daten ist somit unwahrscheinlich.
Skimming
Skimming ist durch das Ausspähen von Kredit- und EC-Karten bekannt geworden.
Dabei wurden z.B. die Kartenschlitze von Geldautomaten manipuliert um die
Magnetstreifen auszulesen. Auf diese Weise lassen sich illegale Kopien einer Karte
anfertigen mit denen den Eigentümern Geld entwendet werden kann.
Auch bei der kontaktlosen NFC Technologie besteht die Möglichkeit des Skimmings
weiterhin. In gewisser Weise ist das Angriffspotenzial sogar größer geworden. Beim
NFC Skimming wird durch ein Lesegerät des Angreifers die Kommunikation mit der
Smartcard eines Opfers initiiert. In Experimenten wurde herausgefunden, dass die
Entfernung für diese Art der Attacke nach NFC Norm ISO 14443 bis zu 50cm betragen
kann.
Sind die Smartcard Daten im Mobiltelefon hinterlegt, können Kopien auch aus der
Ferne angefertigt werden. Voraussetzung hierfür ist allerdings entsprechende
Schadsoftware auf dem Handy. Skimming ist die Grundlage für die Angriffsszenarien
11
„Man-in-the-Middle“, „Relay“ und „Replay“ die im weiteren Verlauf beschrieben
werden.
Man-in-the-Middle
Bei Man-in-the-Middle Angriffen klinkt sich der Angreifer so in eine
Kommunikationsverbindung ein, dass er in der Mitte zwischen den beiden
Kommunikationsendpunkten sitzt. Die gesendeten Datenpakete der
Kommunikationspartner werden bei dieser Methode vom Sender an den Angreifer
übertragen welcher diese dann an den Endempfänger weiterleitet. Dabei hat der
Angreifer prinzipiell auch die Möglichkeit die Daten zu verändern. Es ist jedoch äußerst
anspruchsvoll, Datenpakete in Echtzeit auf die gewünschte Weise zu verändern.
Ein Spezialfall der Man-in-the-Middle Attacke ist der Relay Angriff. Bei diesem Angriff
werden die Daten lediglich weitergeleitet ohne sie zu verändern.
Relay Attacke
Für einen Relay Angriff braucht man zwei Angreifer-Geräte. Einen sog. Mole welcher
die Aufgabe hat ein legitimes Zahlungsterminal vorzutäuschen und einen Proxy.
Aufgabe des Proxys ist es eine legitime Smartcard vorzutäuschen.
Abbildung 11 Relay Szenario (Thevenon & Savry 2013)
Der Angreifer mit dem Mole positioniert sich in unmittelbarer Nähe zu seinem Opfer
mit der Smartcard. Während die Kommunikation zwischen Mole und Smartcard
aufgebaut wird befindet sich der zweite Angreifer mit dem Proxy an einem
Zahlungsterminal. Über eine drahtlose Internetverbindung zwischen Mole und Proxy
können die jeweiligen Datenpakete der Smartcard und des Zahlungsterminals
ausgetauscht werden. Auf diese Weise wird dem Zahlungsterminal vorgetäuscht, es
würde direkt mit einer legitimen Smartcard kommunizieren. Tatsächlich hat der
Angreifer aber auf Kosten eines Smartcard Eigentümers, der nicht einmal in der Nähe
sein muss, eingekauft.
12
Das gleiche Angriffsszenario ist auch bei Verwendung eines Smartphones möglich.
Wenn dieses mit entsprechender Malware infiziert ist kann ein Angreifer auch ohne
Mole eine Kommunikation zwischen digitaler Smartcard und Zahlungsterminal
herstellen (Paganini 2013).
Abbildung 12 Relay Angriffsszenario mit Malware (eigene Darstellung)
Preplay
Beim Preplay Verfahren wird eine Smartcard durch das Lesegerät eines Angreifers
ausgelesen. Auf diese Weise können genug Informationen gesammelt werden um eine
Kopie der Karte anzufertigen. Das spezielle an dieser Attacke ist, dass nicht nur die
Karte geklont wird, sondern auch die für den Zahlungsvorgang notwendige
Sicherheitsantwort der Smartcard mit abgegriffen wird. Mit der Sicherheitsantwort lässt
sich mindestens eine Zahlung in Höhe vom Limit der Karte durchführen (Bond et al.
2014).Ein Video in dem diese Attacke demonstriert wird findet sich unter hier und hier.
Tracking
Jeder NFC Chip hat eine eindeutige Identifizierungsnummer, die UID, welche jedes
NFC-Lesegerät auslesen kann. Mit dieser unverwechselbaren ID könnten ganze
Bewegungs- und Verhaltensprofilen erstellt werden.
Interessant in diesem Zusammenhang ist die Aussage von Apple. Apple geht dabei so
weit zu sagen, dass Apple Pay weder weiß was man gekauft hat, wo man es gekauft
hat und wieviel gezahlt wurde (Apple Press Info 2014).
NFC-Tags
NFC-Tags sind einfache Speicherchips mit einer geringen Kapazität. Die Tags können
mit bestimmten Funktionalitäten beschreiben werden. Wenn man sich dem Tag bis auf
wenige Zentimeter nähert wird z.B. eine bestimmte Webseite aufgerufen. NFC Tags
in der Öffentlichkeit, beispielsweise auf Postern oder als weiterführende
13
Produktinformation, lassen sich allerdings auch fälschen oder verändern (Cepcik 2013,
S. 30). Liest man solch ein Tag aus, landet man evtl. auf der Seite eines Angreifers die
Malware verbreitet oder persönliche Informationen abgreift (Phishing).
2.3.1.2 Schutzmechanismen und Lösungen
Unter Beachtung folgender Schutzmechanismen können Nutzer der NFC Technologie
die genannten Risiken umgehen. Schadsoftware stellt die größte Bedrohung für Nutzer
von NFC Smartphones dar. Aus diesem Grund ist die Verwendung einer
entsprechenden Antivirensoftware sehr empfehlenswert. Durch regelmäßiges
scannen des Gerätes können unerwünschte Apps, Spyware und andere Bedrohungen
identifiziert werden. Um das Risiko weiter zu senken sollten Apps nur von
vertrauenswürdigen Quellen bezogen werden. Mit der Verwendung von starken
Passwörtern für Mobile Payment Apps und das Smartphone selbst kann man sich vor
unbefugtem Zugriff schützen. Auch sollte das NFC, sofern es nicht in Gebrauch ist,
ausgeschaltet werden. Dies ist nicht bei allen Handys möglich und sollte vor dem Kauf
beachtet werden. Weiterhin ist es ratsam NFC Verbindungen nur verschlüsselt
aufzubauen, da die übertragenen Informationen andernfalls leicht ausgelesen werden
können.
Zum Lesen von Tags kann eine NFC-Reader-App verwendet werden. Diese zeigt dem
Nutzer an welche Informationen sich auf dem Tag befinden. Weiterführende Links
können daraufhin abgelehnt oder zugelassen werden. Der Umgang mit Links ist
grundsätzlich sehr wichtig. Das unbedarfte öffnen von Links, wenn man nicht weiß was
sich dahinter verbirgt, sollte vermieden werden.
Im Falle von Smartcards ist es empfehlenswert eine entsprechende Abschirmlösung
zu verwenden. Das kann zum einen eine Hülle für die Karte selbst sein (z.B. Cryptalloy)
oder ein Geldbeutel aus abschirmendem Material. Grundsätzlich sollte man den
ganzen Geldbeutel auf Lesegeräten platzieren, sondern nur die jeweils benötigte
Karte.
2.3.2 Beacons
2.3.2.1 Erläuterung
Beacons (dt. Leuchtfeuer) verwenden eine neue Datenübertragungstechnologie
namens Bluetooth Low Energy (BLE). BLE hat laut Experten das Potenzial die NFC
Technologie in all deren Funktionen zu ersetzen (Golem, 2014). Auf die Risiken des
14
NFCs wurde bereits detailliert eingegangen. Die BLE-Technik ermöglicht neben allen
Funktionen der NFC-Technologie vor allem eine verbesserte Standorterkennung eines
Smartphone-Users in geschlossenen Räumen und kann damit das Leben grundlegend
verändern. Mit ihr wird versucht das Kaufverhalten der Kunden gezielt zu beeinflussen.
Das Beacon selbst ist vereinfacht gesagt, ein Sender, welcher ständig Informationen
an seine Umgebung aussendet. Daher der Name Leuchtfeuer. Diese Informationen
werden von dem Empfänger-Apps verarbeitet. In Warenhäusern sendet ein Beacon
beispielsweise Informationen aus, die einem Empfängerprogramm mitteilen, wo sich
der Sender lokal befindet.
Der Betreiber eines Einzelhandelsgeschäftes zum Beispiel, welcher Beacons
verwendet, kann das Kartenmaterial seines Ladens den Smartphone App-Entwicklern
zur Verfügung stellen. Mit der dazugehörigen App auf dem Smartphone und den
aufgestellten Beacons wird erkannt, ob und wo genau sich der Nutzer in dem
entsprechenden Laden befindet. Nun können Informationen und Dienste bereitgestellt
werden, sobald der Nutzer sein Smartphone aus der Tasche nimmt. Beacons bieten
Unternehmen eine Möglichkeit, den Kunden im unmittelbaren Moment vor der
Kaufentscheidung zu erreichen(z.B.: „Wir haben auch noch ein passendes
Sonderangebot dazu -> Kasten Bier“). Das Beacon selbst erhält im Gegenzug keine
Informationen, da es lediglich für den Versand bestimmt ist (Oberbeck, 2014).
2.3.2.2 Risiken und Schutzbedarf
Datenschutzrechtlich muss zwischen dem Beacon als Sender und dem
Empfängerprogramm unterschieden werden.
Beacon-Betreiber
Das Beacon dient rein als Sender. „Da die Beacons von einzelnen
Gegenständen gesendet werden, fehlt es regelmäßig an einem Personenbezug im
Sinne von § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG)“ (Oberbeck, 2014). Das
Beacon selbst kann nicht nachvollziehen, welches Gerät welche Daten empfängt, da
der Datenfluss nur einseitig erfolgt.
Empfängerprogramm
Das Smartphone-App empfängt die gesendeten Informationen des Beacons und
15
wertet diese aus. Viele Anwendungen aus den App-Stores müssen zu Beginn mit
einem Nutzerkonto verbunden werden. In diesen Konten werden personenbezogene
Daten gespeichert, welche dann verarbeitet und ausgewertet werden können. Das
Programm bekommt zum Beispiel wie bereits erwähnt, die Information, dass sich der
Nutzer in dem Augenblick in einer bestimmten Filiale aufhält. Da durch die Beacon-
Technologie zusätzlich die genaue Position mit Zeitwerten innerhalb dieser Filiale
bestimmt werden kann, bestehen interessante Werbemöglichkeiten. Es kann das
exakte Bewegungsmuster aufgezeichnet werden. Auch Produkte die länger als andere
betrachtet werden, können erkannt werden. Durch die Nachverfolgung also bekommt
der Ladeninhaber Informationen, was für den Kunden interessant ist, es aber zum
Beispiel nicht zum Kaufabschluss geschafft hat (Beacon an der Kasse wurde nicht
ausgelöst). Um seine Ware dennoch verkauft zu bekommen, können die Informationen
der App für das erneute Bewerben im Internet verwendet werden. Im Idealfall für den
Ladenbetreiber, wird der Nutzer dann auf den Onlineshop gelenkt und zum
Kaufabschluss bewegt. Der Anwender hingegen wurde im Nachhinein durch
geschicktes Marketing so beeinflusst, doch etwas zu kaufen, für was er sich
ursprünglich entgegenentschieden hat. Beacons sind deshalb nicht nur Nutzenstifter,
sondern haben auch das Potential dazu, manchen Konsumenten stärker zu
durchleuchten, als ihm lieb ist. Die Verknüpfung von den verschiedensten Daten und
Informationen kann zur Manipulation des Kaufverhaltens der Menschen führen.
2.3.2.3 Schutzmechanismen und Lösungen
Die Verarbeitung und Auswertung von direkt auf eine Person bezogene Daten
(Nutzerkonto – Standort – Kaufverhalten) ist nach dem deutschen Recht nur mit der
Einwilligung des Nutzers erlaubt. Wird dem Benutzer vor der Installation bewusst
gemacht, welche Daten wie verarbeitet werden, reicht das als gesetzliche
Rechtfertigung aus. In jedem Fall ist der Nutzer aber ausreichend zu informieren. Die
Unternehmen hinter den Apps müssen aufklären, für welche Zwecke die
Standortdaten der Nutzer konkret verwenden werden. Dabei müssen auch
Marketingmaßnahmen benannt werden. Viele Unternehmen setzen hier auf Lücken
und lassen so die nötige Transparenz vermissen (Oberbeck, 2014).
Gesetzliche Schutzregelungen also, die der unkontrollierten Nutzung der via Beacons
gewonnenen Daten entgegenwirken, existieren. Deren Nutzen wird aber eher über-
als unterschätzt. Zum einen ist damit zu rechnen, dass der entsprechende Hinweis in
16
den App-AGB untergebracht wird, wo ihn nahezu alle Nutzer ungelesen wegklicken.
Zum anderen fällt auch die Kontrolle der Nutzung der Daten schwer (Golem, 2014).
Der Nutzer schützt sich in diesem Fall am besten selbst. Er selbst muss mit sich
vereinbaren, ob die Vorteile durch die Nutzung einer bestimmten App, die negativen
Auswirkungen auf die Privatsphäre rechtfertigen.
Der Gesetzgeber muss seine Bürger nicht nur durch theoretische Gesetze schützen,
sondern auch aktiv präventiv aufklären. Im Moment ist das Thema Datenschutz im
alltäglichen Smartphone Gebrauch noch zu omnipräsent. Eine Aufklärung im Sinne
des Datenschutzes und des Werts der eigenen Daten sollte bereits im Kindesalter
erfolgen.
2.4 Kosten und Mehraufwände
Kosten für den datenschutzbewussten Anwender sind nur schwer auszumachen.
Finanzielle Aufwände die ihn direkt betreffen können sind z.B. der Kauf eines
geeigneten Virenscanners. Auch mobile Geräte sind von Angriffen nicht gefeit. Eine
entsprechende Software gibt es in den App-Stores schon ab 0,99€.Um sich vor dem
Auslesen seiner Kreditkartendaten über die NFC-Technologie zu schützen wäre ein
Aluminium-Cover eine Möglichkeit. Diese gibt es bereits für rund 10€ für die
unterschiedlichsten Smartphones.
Jedoch kann sich der Anwender auch durch bestimmte Dinge selbst schützen. Hierzu
gehören z.B.
Nutzungsbedingung vorab lesen
NFC bei Nichtgebrauch ausschalten
NFC mit Secure-Element verwenden
Sperrnummern bereithalten
Nur auf vertrauenswürdige, transparente Apps zurückgreifen
Dies bedeutet zwar einen Mehraufwand für den Nutzer, kann aber vor erheblichen
Schaden schützen.
17
3 Handlungsempfehlung für datenschutzbewusste Anwender
Zusammenfassend kann gesagt werden, dass die Anwender bei Nutzung der
aufgeführten mobilen Bezahlverfahren sich den in den Kapiteln zuvor aufgeführten
datenschutzrechtlichen Risiken bewusst sind und damit hohe Ansprüche bezüglich
Funktionalität und Sicherheitsvorkehrung an den Mobile Payment Markt stellen. Neben
den technischen Schwachstellen führt ebenso die Heterogenität der Mobile Payment
Anbieter zu zusätzlicher Ungewissheit bei den Anwendern (Kreimer, Rodenkirchen
2010: S. 19).
Gesetzliche Grundlagen hinsichtlich Datenschutz und Zahlungssicherheit in
Deutschland und Europa sollen diese zentrale Schwierigkeiten für den Anwender
bestimmen. Dennoch führt es zu der Annahme, dass der Anwender selbstbestimmt
über den Einsatz des Mobile Payments entscheidet und unterschiedliche
Empfehlungen bei der Nutzung mitberücksichtigt. In diesem Sinne versetzt eine
ausreichende Information über das Mobile Payment Verfahren die Anwenderinnen und
Anwender in die Lage, sich über das bestehende Risiko bewusst zu werden und
geeignete Schutzmechanismen einzuleiten. Mit diesen Grund- sowie detaillierten
Informationen erhält der Anwender Angaben zur Funktionsweise des
Bezahlverfahrens, Art der verarbeitenden Daten und beispielsweise auch
Zugriffsrechten bei der Verwendung von Apps, um diese auf das erforderliche Maß zu
beschränken. Darüber hinaus sollte für den Anwender gewährleistet sein, dass die
Datenverarbeitung im Rahmen des Vertragszwecks gehalten und eine Einwilligung
erfordert wird. Dabei ist es ebenso wichtig, dass der Anwender im Falle einer
Einwilligung darauf achtet, dass diese jederzeit für die Zukunft auch widerrufen werden
kann.
Als weitere Empfehlung kann die Legitimation der Registrierung bei Zahlungen
aufgeführt werden, die mit einem mehrstufigem Sicherheitsverfahren ausgestattet sein
sollte. Demzufolge kann beispielsweise der zukünftige Einsatz des elektronischen
Personalausweises eine wichtige Authentifizierungsfunktion übernehmen, sodass eine
gegenseitige Authentifizierung beim Bezahlvorgang sichergestellt werden kann.
Zur technischen Absicherung kontaktloser Bezahlverfahren gibt es zahlreiche
Schutzmechanismen, die in den Kapiteln zuvor erläutert wurden. In diesem Sinne ist
deren Beachtung eine Handlungsempfehlung für datenschutzbewusste
18
Anwenderinnen und Anwender, um auch über technische Mechanismen hinaus
bewusster mit Mobile Payment umzugehen.
Um weitere Risiken vorzubeugen sind daher die Kostenkontrolle sowie die
Transparenz des Anwenders von Bedeutung. Daher sollten in regelmäßigen
Zeitabständen die getätigten Transaktionen vom Anwender überprüft werden, sodass
mit Hilfe von Internetseiten des Dienstanbieters die Entgeltinformationen einsehbar für
den Anwender sind.
Mobile Payment hat zweifelsohne das Potential, den Wandel der Lebensgewohnheiten
des Nutzers zu beeinflussen – allerdings sollte es dem Anwender frei stehen, welche
Daten er über sich preisgeben möchte und welcher Zahlungsvariante er am meisten
vertraut. Letztendlich bleibt abzuwarten, inwieweit die bestehenden
Sicherheitsbedenken der Nutzer ausgeräumt und die für den Nutzer wahrgenommene
Nützlichkeit mit Unterhaltungsfaktor weiter ausgeprägt wird (wi-mobile Dr. Pousttchi
GmbH, 2014: S.6).
V
Literaturverzeichnis
Apple Press Info (9. September 2014): Apple Announces Apple Pay - Transforming
Mobile Paymentswith an Easy, Secure & Private Way to Pay, URL:
http://www.apple.com/pr/library/2014/09/09Apple-Announces-Apple-Pay.html[Abruf
am 10.12.2014]
Bendel (2014): Mobile Business, URL:
http://wirtschaftslexikon.gabler.de/Archiv/498345196/mobile-business-v4.html [Abruf
am 26.11.2014]
Blevins, Brandan (19. September 2014): Home Depot databreach update: 56
millioncardsconfirmedstolen, URL:
http://searchsecurity.techtarget.com/news/2240231011/Home-Depot-data-breach-
update-56-million-cards-confirmed-stolen[Abruf am 7.12.2014]
Bond et al. (2014): Chip andSkim: cloning EMV cardswiththepre-play attack,
University of Cambridge URL: http://de.slideshare.net/bluesme/chip-and-skim-
cloning-emv-cards-with-the-pre-play-attack[Abruf am 1.12.2014]
Cepcik, Stefan (Oktober 2013): Sicherheit von NFC-basierten Anwendungen auf
Smartphone, Hochschule Ulm URL: http://www.hs-
ulm.de/opus/volltexte/2013/125/pdf/Sicherheit_von_NFC_basierten_Anwendungen_a
uf_Smartphone_Betriebssystemen.pdf
Contius, Martignoni(2003): Mobile Payment im Spannungsfeld von Ungewissheit und
Notwendigkeit, URL: http://subs.emis.de/LNI/Proceedings/Proceedings25/GI-
Proceedings.25-5.pdf [Abruf am 29.11.2014]
Emms et al. ( 2013): Financial Cryptographyand Data Security: Risksof Offline Verify
PIN on Contactless Cards, Springer, Berlin Heidelberg
Ewing et al. (2013): From solutions to adoption: The next phase of consumer mobile
payments, URL:
http://www.mckinsey.com/~/media/mckinsey/dotcom/client_service/Financial%20Ser
vices/Latest%20thinking/Payments/MoP17_From_solutions_to_adoption_The_next_
phase_of_consumer_mobile_payments.ashx. [Abruf am 29.11.2014]
VI
Ewing et al. (2014): The keys to driving broad consumer adoption of digital wallets
and mobile payments, McKinsey
Golem. (2014): IT-News für Profis, URL: www.golem.de [Abruf am 03.12.2014]
Haufe (2014): Mobile Payment schafft die Brücke zum mobilen Kunden, URL:
http://www.haufe.de/marketing-vertrieb/vertrieb/handel-mobile-payment-schafft-die-
bruecke-zum-mobilen-kunden_130_231676.html [Abruf am 29.11.2014]
Hazan (2014): PayPals Vision for a global Marketplace, McKinsey
Kreimer, Rodenkirchen (2010): KPMG: Mobile Payment – Anforderungen, Barrieren,
Chancen, Hamburg URL:
http://www.ecckoeln.de/Downloads/Themen/Payment/KPMG_Mobile_Payment_2010
.pdf [Abruf am 10.12.2014]
Lerner (2013): Mobile Payment, Wiesbaden
Mastercard (2014): Mobile Payment Readiness Index, URL:
http://mobilereadiness.mastercard.com/country/?de [Abruf am 24.11.2014]
McAfee Labs (Juni 2014): McAfee Labs Threat Report, URL:
http://www.mcafee.com/de/resources/reports/rp-quarterly-threat-q1-2014.pdf[Abruf
am 2.12.2014]
Melgarejo, Anthony Joe (27. November 2014): Trend Micro: New PoSMalwareKicks
off Holiday Shopping Weekend ,URL: http://blog.trendmicro.com/trendlabs-security-
intelligence/new-pos-malware-kicks-off-holiday-shopping-weekend/[Abruf am
3.12.2014]
Menn (2013): Der Boom der digitalen Börsen, Wirtschaftswoche
Oberbeck (2014): Datenschutzkanzlei, URL: www.datenschutzkanzlei.de [Abruf am
09.12.2014]
Paganini, Pierluigi (18. Juni 2013): InfoSec Institut: Near Field Communication (NFC)
Technology, VulnerabilitiesandPrincipalAttack Schema, URL:
VII
http://resources.infosecinstitute.com/near-field-communication-nfc-technology-
vulnerabilities-and-principal-attack-schema/[Abruf am 26.11.2014]
Pusttchi (2005): Mobile Payment in Deutschland, Wiesbaden
PYMENTS.com (2013): Innovation Project 2014 – Mobile Commerce Ecosystem,
URL: http://theinnovationproject2014.com/mobile-commerce-ecosystem/ [Abruf am
30.11.2014]
Statista [1] (2014): Nutzung von mobile Payment Angeboten Deutscher Verbraucher,
URL: http://de.statista.com/statistik/daten/studie/158762/umfrage/nutzung-von-
mobile-payment-angeboten-deutscher-verbraucher/ [Abruf am 27.11.2014]
Statista [2] 2014: Umsatz durch mobile Payment weltweit, URL:
http://de.statista.com/statistik/daten/studie/214247/umfrage/umsatz-durch-mobile-
payment-weltweit/ [Abruf am 27.11.2014]
Statista [3] (2014): Anzahl der Smartphone Nutzer in Deutschland 2009 – 2014 (in
Mio.), URL: http://de.statista.com/statistik/daten/studie/198959/umfrage/anzahl-der-
smartphonenutzer-in-deutschland-seit-2010/ [Abruf am 27.11.2014]
Thede Consulting (2014): Der TC Payment Report 2014 – Eine Studie von Dr. Thede
Consulting zu aktuellen Themen im Payment-Markt, Hamburg,
Thevenon, Pierre-Henri &Savry Olivier (5. Juni 2013): Implementation of a
Countermeasureto Relay AttacksforContactless HF Systems, URL:
http://www.intechopen.com/books/radio-frequency-identification-from-system-to-
applications/implementation-of-a-countermeasure-to-relay-attacks-for-contactless-hf-
systems [Abruf am 30.11.2014]
Trend Mircro (28. November 2014): Apple Pay, Google Wallet, NFC, and RFID:
IsYour Mobile Payment Option Holiday-Safe?, URL:
http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/apple-pay-google-
wallet-nfc-and-rfid-is-your-mobile-payment-option-holiday-safe [Abruf am 26.11.2014]
Wi-mobile Dr. Pousttchi GmbH (2014): Warum wir Mobile Payment neu denken
müssen, Augsburg