Bezahlen mit Handy, Uhr oder Tracker lockt Datensammler an

Bezahlen mit der Smartwatch, dem Handy oder Fitnesstracker ist bequem und sicher. Den Datenschutz sollte man jedoch im Auge behalten.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 54 Beiträge

Willfried Wende, Pixabay

Von
  • Ulrike Kuhlmann

Mobiles Bezahlen mit dem Smartphone geht schnell – in der Kassenschlange hat man es aus Langeweile meist eh schon in der Hand. Falls nicht, ist es schneller aus der Tasche gezogen, als das Kleingeld aus dem Portemonnaie zusammengesucht. Ganz Eilige halten einfach ihre Uhr oder ihr Sportarmband an das Kassenterminal.

Dieses Symbol bedeutet: Hier kann man kontaktlos per NFC bezahlen – per Smartphone, -watch und Plastikkarte

Man kann inzwischen fast überall dort mit Smartphone, Tracker oder Uhr bezahlen, wo Kartenzahlungen angeboten werden. Sobald an der Ladentür ein Mastercard-Logo oder am Kassenterminal ein Piktogramm auftaucht, das an das Wi-Fi-Logo erinnert, stehen die Chancen sehr gut. Das Mobilgerät muss sich dem Kassenterminal dann zum Bezahlen nur auf einen Zentimeter nähern, es aber nicht berühren – das Eintippen der PIN auf dem betatschten Ziffernfeld des Terminals entfällt.

Mittlerweile spielen fast alle Banken mit Apple Pay und Google Pay zusammen, es lässt sich auch PayPal einbinden oder man nutzt virtuelle Kreditkarten, die FinTechs wie VIMpay kostenlos bereitstellen. Auch Samsung will mit dem eigenen Bezahldienst beim Mobile-Payment mitspielen. Wie der Zahlvorgang abläuft, seine Sicherheitsmerkmale und Risiken hat c't in einem Schwerpunkt untersucht.

Hinsichtlich der unterstützten Kreditinstitute gibt es zwischen Apple und Google kaum Unterschiede – wohl aber beim Hinterlegen alternativer Zahlungsquellen. So ist es bei Apple Pay seit Kurzem möglich, normale Girokarten diverser Sparkassen als Zahlungsquelle zu hinterlegen.

Der Bezahldienst von Google wird von den meisten namhaften Banken unterstützt, er lässt sich auch mit PayPal verknüpfen.

Google hat dagegen einen Deal mit PayPal abgeschlossen: Unabhängig von der eigenen Bank kann man einen kostenlosen PayPal-Account einrichten und diesen in Google Pay hinterlegen. Kleinere Anbieter wie Fitbit, Garmin oder Swatch haben bei großen Banken weniger Gewicht und werden entsprechend von nur wenigen Instituten unterstützt. Um trotzdem die breite Bevölkerung zu erreichen, arbeiten sie mit Fintech-Unternehmen zusammen.

Wenn die Bank nicht mit dem Wunsch-Bezahl-Gadget zusammenspielt, kann man die Kreditkarte bei einem der vom Gadget unterstützten Institute beantragen – lästig, aber lösbar. c't hat im aktuellen Heft einen Blick auf diejenigen Angebote geworfen, die keine Monatsgebühr kosten und die Bezahl-Apps von Fitbit, Garmin oder Swatch unterstützen.

Technisch läuft das Bezahlen mit dem Handy oder der Smartwatch ähnlich ab wie das drahtlose Bezahlen mit einer Kreditkarte: Sobald man Handy oder Uhr ans Bezahlterminal im Laden hält, wird über NFC ein Token ans Lesegerät übertragen. Mit ihm überprüfen die im Hintergrund arbeitenden Transaktionsdienstleister, welche Bank beziehungsweise welche Kreditkarte mit dem Betrag belastet werden soll. Nach wenigen Sekunden geben sie die Zahlung frei.

Das mobile Bezahlen per Apple Pay wird von fast allen überregionalen Banken, Direktbanken und vielen Volksbanken und Sparkassen unterstützt.

Eine Internetverbindung ist beim Bezahlen unnötig, denn Smartwatches und Handys halten für die Offline-Nutzung mehrere Bezahl-Token im internen Speicher in Reserve. Das macht sie allerdings zu einem begehrten Ziel von Malware.

In puncto Sicherheit schneidet das mobile Bezahlen dennoch gut ab: Anders als Giro- und Kreditkarten, deren NFC-Chip für drahtloses Bezahlen sich quasi im Vorbeigehen auslesen lässt, sind Smartphones für solche Angriffe immun, denn ihr NFC-Chip ist nur bei eingeschaltetem Display aktiv. Zudem geben geklaute beziehungsweise gesperrte Smartphones und Smartwatches weder die Kreditkartennummer noch die zugehörige Prüfnummer preis. Bei echten Karten sind diese sensiblen Daten auf der Vorder- und Rückseite für jeden lesbar aufgedruckt.

Der Datenschutz bleibt indes ein potenzieller Haken beim mobilen Bezahlen, weshalb man seinen Dienst gut überlegt wählen sollte. Denn nutzt man einen Dienst wie Apple Pay oder Google Pay, kommt ein weiterer Akteur in die Bezahlkette, der an der Zahlung mitverdienen möchte. c't hat einen Blick auf die jeweiligen Geschäftsmodelle und in die Datenschutzerklärungen geworfen um zu klären, ob man mit seinen Daten bezahlt oder nicht.

c’t Ausgabe 9/2021

In c’t 9/2021 zeigen wir, wie sich der Raspberry Pi etwa Router fürs VPN in Unternehmen und zu Hause nützlich machen kann. Wir haben Komfort, Hygiene und Sicherheit beim Bezahlen per Smartphone und Smartwatch untersucht, Büromäuse getestet und einen Farmbot für den heimischen Garten gebaut. Dies und noch viel mehr lesen Sie in Ausgabe 9/2021, die ab dem 9. April im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich ist.

(uk)