Sicherheitslücken bei Bezahlvorgängen

Multiple Angriffsvektoren beim digitalen Bezahlen

| Autor / Redakteur: Robert Busch / Peter Schmitz

Risiken beim Mobile Payment

Das Handy als (kontaktloses) Zahlungsmittel gilt unter Kritikern immer noch als sehr unsicher. Tatsache ist jedoch, dass die Technik rein auf den Diebstahl von Geld bezogen, vergleichsweise sicher ist.

Klassischer Diebstahl

Apple ist neben Google, Garmin, Payback oder der Sparkasse einer der größeren Mobile-Payment-Anbieter auf dem deutschen Markt. Die Anbieter betreiben zum Schutz der Verbrauchen einen vergleichsweise hohen Aufwand zum Datenschutz.

Die (Karten-)Daten, die auf einem Gerät hinterlegt sind, werden verschlüsselt. Beim Zahlen wird ein virtueller Token übertragen, nicht die eigentliche Kreditkartennummer.

Tatsächlich ist deshalb der klassische Diebstahl des Handys eine der effektivsten Methoden, um das System zu überlisten – allerdings funktioniert dies auch nur, wenn der Nutzer das Programm nicht durch Gesichts- oder Fingerabdruckerkennung absichert, sondern durch einen (vergleichsweise einfachen) Code.

Diebstahl durch Software

Nicht alle Zahlungsmöglichkeiten auf dem Handy sind so gut geschützt wie die der großen Payment-Anbieter. Kriminelle nutzen das aus, um etwa über In-App-Käufe Software zu installieren, welche Schadsoftware einschleust – die dann die Eingaben von Zahlungsdaten protokollieren kann.

Wissenswert: Jedes Handy-Betriebssystem offeriert die Möglichkeit, In-App-Käufe zu unterbinden. Das sollte grundsätzlich aktiviert sein.

Mangelhaftes Anwenderverhalten

Nach wie vor sitzt das größte Problem für Datensicherheit vor dem Bildschirm eines Geräts, auch beim mobilen Bezahlen. Tatsache ist, dass heute sehr gute biometrische Verschlüsselungsmethoden existieren. Tatsache ist jedoch auch, dass viele Nutzer aus Bequemlichkeit große Fehler begehen:

  • Keine Hürde zum Entsperren des Geräts oder Nutzung der höchst unsicheren Wischmuster (Fingerspur auf dem Display)
  • Nutzung unsicherer Passwörter
  • Kein weiteres Prüfen von App-Berechtigungen
  • Zusammenfassung vieler Dinge – etwa ungesichertes Handy plus EC- und Kreditkarten in der Hülle plus unverschlüsselt eingespeicherter PIN
  • Eingeschaltet-Lassen von Diensten, die nicht benötigt werden

Hier zeigt sich die negative Seite des Smartphones als omnipräsentes Eins-für-alles-Gerät.

Push-Nachrichten

Die regulären Marktplätze für Apps werden vergleichsweise gut überwacht und sind so bestückt, dass die wenigsten User auf die Idee kommen, Programme von Drittanbietern zu installieren – was bei den meisten Smartphones im Default-Modus auch gar nicht möglich ist und aktiv eingeschaltet werden muss.

Kritisch ist jedoch, dass viele kostenlose Programme Push-Nachrichten einblenden können. Darüber wiederum ist es möglich, dass Schadsoftware unbemerkt ins System gelangt, welche dann ihrerseits „informiert“, dass ein Virus auf dem Handy sei und zur Installation einer angebotenen Software auffordert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45981407 / DDoS, Fraud und Spam)