Skip to content

Kontaktloses Bezahlen: Die Grundlagen

Das kontaktlose Bezahlen kommt in Mode. Das kann man mit dem Smartphone machen, oder mit einer NFC-fähigen Zahlkarte. Die Abwicklung der Zahlungen erfolgt bei beiden Verfahren nach dem gleichen Standard. Denn die Smartphone-Apps emulieren für die Zahlungen eine NFC-fähige Zahlkarte.

Die Kommunikation über NFC

Sowohl Smartphone als auch Zahlkarte kommunizieren über Near Field Communication (NFC) mit dem Terminal des Händlers. NFC ist ein internationaler Standard zum sicheren Austausch von Daten zwischen zwei Geräten auf kurze Distanz. Und "kurz" ist dabei durchaus ernst gemeint, die Reichweite beträgt nur wenige Zentimeter. Größere Strecken lassen sich nur mit Aufwand überbrücken, für eine Distanz von 1 Meter wäre zum Beispiel eine 1,5 m große Antenne nötig. Die wäre für einen mobilen Kriminellen ziemlich unhandlich und vor allem auffällig, ein bösartiger Händler könnte sie aber einfach am Ausgang seines Geschäfts aufstellen. Da stehen meist sowieso die Antennen für den Diebstahlschutz, und selbst wenn nicht - wer würde sich schon über irgend etwas, dass neben dem Weg steht, groß den Kopf zerbrechen? Allerdings ist so ein Angriff extrem unwahrscheinlich, denn der kriminelle Händler hätte nicht viel davon, wie ich später noch zeigen werde.

Um die Kommunikation zu starten, muss das Smartphone oder die NFC-fähige Zahlkarte nur in die Nähe des Terminals gebracht werden. Danach läuft das mobile Bezahlen im Prinzip immer nach dem gleichen Muster ab. Die Zahlung mit einer Smartphone-App funktioniert technisch genauso wie die Zahlung mit einer NFC-fähigen Zahlkarte, da die App die emuliert. Und die funktioniert im Grunde genauso wie die mit der bekannten Zahlkarte mit Chip&PIN, zum Beispiel einer GiroCard.

Für die Kommunikation zwischen App bzw. Karte und Händler-Terminal wird der EMV-Standard verwendet. EMV steht für die Unternehmen, die den Standard entwickelt haben: Europay International, MasterCard und VISA. Im Fall von NFC erfolgt die Kommunikation über EMV Contactless, sonst über EMV Contact (PDF). Der Unterschied liegt im Wesentlichen nur in der Art der Kommunikation.

Schutz der Zahlungen durch Kryptographie

Für die Absicherung der Transaktionen wird unter anderem ein asymmetrisches Krypto-Verfahren verwendet. Die Karte kann damit ihre Echtheit nachweisen, Karte und Terminal Nachrichten kryptographisch absichern und so Manipulationen erkennen.

Zunächst vereinbaren Zahlmittel (Smartphone oder Zahlkarte) und Händler-Terminal, welch Zahlkarte und damit welcher Zahlungsdienstleister verwendet werden soll. Dadurch wird auch festgelegt, wie die Zahlung abgewickelt wird, zum Beispiel welche kryptographischen Schlüssel zu verwenden sind. Nur, wenn Karte und Terminal die passenden Schlüssel verwenden, ist überhaupt eine Kommunikation möglich.

Transaktionen online und offline möglich

Transaktionen können prinzipiell offline oder online abgewickelt werden. Welches Verfahren wann verwendet wird, bestimmt die die Zahlkarte ausgebende Bank.

Bei einer Offline-Transaktion entscheidet das Terminal aufgrund der Antworten der Karte auf seine Anfragen selbständig, ob die Zahlung akzeptiert wird. Kann die Karte ihre Authentizität nachweisen und ist der Verfügungsrahmen noch nicht erreicht, wird die Zahlung akzeptiert. Die Zahlungsinformationen werden erst zu einem späteren Zeitpunkt zur Abwicklung der Zahlung an den Dienstleister gesendet.

Bei einer Online-Transaktion nimmt das Terminal über eine verschlüsselte Verbindung Kontakt mit der Bank des Händlers auf, siehe Abbildung 1. Die Zahlungsinformationen (Betrag, Währung und Kreditkartendaten/Bankverbindung oder Kartennummer) werden an die Bank gesendet. Die fragt beim entsprechenden Zahlungsdienstleister nach, ob die Zahlung zulässig ist. Der leitet die Anfragen an die die Karte ausstellende Bank des Kunden weiter, die sie überprüft. Ist damit alles in Ordnung (Karte nicht gesperrt, Verfügungsrahmen nicht überschritten, ...) wird die Zahlung sofort durchgeführt. Das Ergebnis wird über Zahlungsdienstleister und Händler-Bank an das Terminal gesendet.

In Abbildung 1 ist der Ablauf mit einem Smartphone mit Wallet-App dargestellt, bei dem die Bank des Kunden vor der ersten Transaktion eine virtuelle Zahlkarte auf das Smartphone übertragen muss. Bei der Nutzung einer NFC-fähigen Zahlkarte läuft das alles ganz genauso ab, nur dass die Bank die physikalische Karte statt der virtuellen ausgibt.

Online-Transaktion
Abb. 1: Online-Transaktion (Klick für großes Bild)

Zusätzlicher Schutz durch die PIN

Der Zugriff auf die gesichert gespeicherten Daten erfolgt unabhängig von der Eingabe der Zahlkarten-PIN. Die PIN ist eine zusätzliche Sicherheitsmaßnahme, mit der der Kunde sich identifiziert. Deshalb ist sie auch bei Zahlungen unter einem bestimmten Limit nicht zwingend nötig. Erst, wenn das Limit überschritten oder die PIN vom Zahlungsdienstleister verlang wird, muss der Benutzer sich damit identifizieren.

Angriffe auf EMV und NFC

Es gibt mehrere Möglichkeiten für Angriffe auf die kontaktlosen Zahlungen, sowohl in der Theorie als auch in der Praxis. Um die geht es ab der nächsten Folge.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kontaktloses Bezahlen: Die Angriffe, Teil 1

Vorschau anzeigen
Nach der Beschreibung der Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte geht es nun um die Angriffe darauf. Kriminelle Händler haben kaum Aussicht auf Erfolg Ein Krimineller könnte sein H&amp;auml

Dipl.-Inform. Carsten Eilers am : Kontaktloses Bezahlen: Die Angriffe, Teil 2

Vorschau anzeigen
Nach der Beschreibung der Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte und der Beschreibung der wenig aussichtsreichen Angriffe darauf geht es nun um die mehr Erfolg versprechenden Relay-Angriffe. Der A

Dipl.-Inform. Carsten Eilers am : Kontaktloses Bezahlen: Die Angriffe, Teil 4

Vorschau anzeigen
Nach der Beschreibung der Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte und der Beschreibung der wenig aussichtsreichen Angriffe habe ich angefangen, die die mehr Erfolg versprechenden Relay-Angriff zu bes

Dipl.-Inform. Carsten Eilers am : Kontaktloses Bezahlen: Die Angriffe, Teil 4

Vorschau anzeigen
Bisher habe ich die Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte, einige wenig aussichtsreichen Angriffe sowie die mehr Erfolg versprechenden Relay-Angriff sowie deren Optimierung beschrieben. Nun geht e