Am 9. September stellte Apple einige neue Geräte vor – aber auch ein eigenes Zahlungssystem, das einen NFC-Chip, Touch-ID-Sensor und die Passbook-App nutzt. Also haben wir uns angesehen, was es bietet und wie gut es geschützt ist.
In einer 100 Minuten dauernden Veranstaltung stellte Apple einige neue Geräte vor und spaltete die Menschen wie üblich in drei Gruppen: Die einen sagen „Apple ist nicht so gut wie früher“, die anderen sagen „Das haben wir alles schon auf Android gesehen“ und die dritten meinen „Halt den Mund und nimm mein Geld!“. Doch wir wollen uns da nicht einmischen, denn es gibt interessantere Dinge als die Bildschirmgröße und andere Heilige Kriege – Apple Pay, das neue Zahlungssystem, das von Apple in Zusammenarbeit mit Visa, MasterCard und American Express entwickelt wurde und einen NFC-Chip, Touch-ID-Sensor und eine App namens Passbook nutzt. Damit soll Ihr iPhone das Gleiche machen können wie Ihr Geldbeutel und Ihre Kreditkarten, aber ist das sicher genug, so dass Ihr Geld nicht in den Taschen Krimineller landet?
Apple Pay (ja, es scheint, als wolle die Firma das „i“ vor Produktnamen langsam loswerden) ist ein mobiles Zahlungssystem, das Zahlungs- und Überweisungsmöglichkeiten mit einigen interessanten technischen Lösungen kombiniert. NFC, Touch ID, Passbook – alles arbeitet zusammen, um das Einkaufen bequemer und sicherer zu machen. Zumindest wurde das bei der Vorstellung gesagt.
Aber wie funktioniert das? Im Grunde ziemlich genau so wie PayPass- oder PayWave-Karten: Sie müssen nur Ihr NFC-fähiges Gerät kurz an ein Lesegerät halten und dann die Zahlung bestätigen. Im Fall einer Kreditkarte bestätigen Sie die Zahlung mit einem PIN-Code, doch Apple Pay nutzt dafür den neuen Touch-ID-Scanner des iPhones, an den Sie Ihren Finger während der Zahlung halten müssen.
Damit das Ganze funktioniert, müssen Sie zunächst Ihre Kreditkarten mit dem iPhone scannen, so dass alle Informationen, etwa Kartennummer und Ablaufdatum, in der Passbook-App gespeichert sind. Dann kommt der interessantest und komplizierteste Teil: Anstatt die eigentlichen Kreditkartennummern bei der Zahlung zu nutzen, wird eine einzigartige Kontonummer (Device Account Number) verwendet. Ist diese erstellt worden, wird sie als so genanntes Token einem Gerät zugewiesen, auf dem die Karteninformationen sicher in einem speziellen Chip des neuen iPhones und der neuen Apple Watch gespeichert sind (natürlich verschlüsselt). Sie zahlen also mit einem nicht-identifizierbaren Spezialcode, nicht mit Ihren echten Zahlungsdaten.
Dieser Ansatz ist aus mindestens zwei Gründen gut: Zum einen kommt bei der Zahlung weder ein Laden, noch ein Krimineller (der die Datenübertragung abhören kann) an Ihre Kartendaten. Im schlimmsten Fall bekommt ein Angreifer nur die Token-Nummer. Zum anderen ist eine erbeutete Nummer wertlos, denn sie funktioniert nur, wenn sie von genau dem Gerät gesendet wird, für das sie erstellt wurde. Wenn ein Gerät gestohlen wird, kommt zudem der Touch-ID-Schutz zum Zug. Und es gibt für diesen Fall immer noch den Find-My-iPhone-Dienst, mit dem Sie ein verlorenes oder gestohlenes iPhone sperren oder sogar alle darauf enthaltenen Daten löschen können, inklusive aller Kartendaten. Das praktische dabei ist, dass Sie nicht Ihre Kreditkarten oder Bankkonten sperren lassen müssen, um zu verhindern, dass Ihnen Geld gestohlen wird.
Aber ist das System wirklich sicher? Dimitry Bestuzhev, einer der Kaspersky-Experten, hat ein Problem identifiziert: „Touch ID funktioniert nicht immer ganz exakt. Deshalb erlaubt Apple für die Zahlungsbestätigung die Eingabe der PIN. Das kann vorkommen, wenn Ihre Finger zum Beispiel feucht sind. Genau so können Cyberkriminelle das System aber auch missbrauchen.“ Und man sollte nicht vergessen, dass die Zahlung mit der Apple Watch keine spezielle Interaktion benötigt, so dass Ihre Geräte ohne Ihre Erlaubnis benutzt werden können, um Ihnen Geld zu stehlen.
Bald kann man mit dem #iPhone oder der #AppleWatch zahlen. Ist das sicher?
Tweet
Und es gibt einen weiteren Schwachpunkt: Die Art, wie die Kartendaten gespeichet sind. Wie Sie wissen, kann fast jede Information, die auf dem iPhone gespeichert wird, mit anderen, vertrauenswürdigen iOS-Geräten synchronisiert werden. Und dabei geht es nicht nur um Fotos oder Browser-Tabs, sondern auch um Passwörter, die in der Keychain-App gespeichert sind. Wenn Kreditkartendaten auf die gleiche Art gespeichert werden und das Gerät sich mit anderen Smartphones synchronisieren kann, entsteht dadurch eine weitere Gefahr für Sie und Ihr Geld.
Davon abgesehen kann ein Angreifer das gleiche machen: In Ihr Passbook sehen und alle Karteninformationen erhalten, außer Apple macht das unmöglich oder zumindest sehr schwer. Genauer wissen wir das im Oktober, wenn Apple Pay in über 200.000 amerikanischen Geschäften zur Verfügung stehen wird. Wir bleiben dran.