Apple Pay und Sicherheit – was Nutzer wissen sollten

Mobile Bezahlsysteme scheinen einer der wichtigsten Trends für das Jahr 2015 zu werden – dafür spricht zumindest der Boom, der durch die Veröffentlichung von Apple Pay ausgelöst wurde. Damit hat Apple etwas geschafft, woran sich andere Unternehmen schon lange die Zähne ausbeißen: die Anwender benutzten das kartenlose Bezahlsystem tatsächlich.

Apple Pay wurde vor ca. drei Wochen veröffentlicht und ist bislang nur für den US-amerikanischen Raum verfügbar. Laut einem Bericht der New York Times profitieren auch Konkurrenten wie Google von Apples System, weil mobile Bezahlmethoden unter den Anwendern nun eine breitere Akzeptanz finden.

Die Frage, die sich aufdrängt, lautet: Was zeichnet Apple aus, dass die Leute diesen Trend nun mitgehen? In diesem Artikel werden wir uns zudem Fragen zum Umgang mit Apple Pay und dem Einfluss dieser neuen Technologie auf die Sicherheit der Nutzer widmen.

Apple Pay – was brauche ich?

Apple iPhone 6 Launch, London, Britain - 19 Sep 2014

Um Apple Pay nutzen zu können, benötigst du ein iPhone 6, iPhone 6 Plus oder eines der neuen iPads. Zudem brauchst du eine gültige Kredit- oder Bankkarte einer amerikanischen Bank, die Apple Pay unterstützt.

Das mobile Bezahlsystem nutzt die Apple-eigene App Passbook, die standardmäßig auf allen kompatiblen iPhones und iPads vorinstalliert ist.

Wo werden Karteninformationen gespeichert?

Anders als bei konkurrierenden Systemen wie Google Wallet (bislang auch nur in den USA erhältlich), bei dem die Karteninformationen auf Googles Servern gespeichert sind, werden diese Daten bei Apple Pay weder auf dem Telefon noch auf den Servern hinterlegt.

Der Grund hierfür ist die sogenannte Tokenisierung. Hierbei werden die wesentlichen Informationen – im vorliegenden Fall die Kredit- oder Geldkartennummer – durch andere, von der jeweiligen Bank generierte Daten ersetzt. Dadurch kann sich Apple Pay nahtlos in bestehende Bezahlsysteme integrieren, ohne private Daten zu gefährden.

Wie funktioniert das Hinzufügen einer Karte?

Um eine Karte bei Apple Pay hinzuzufügen, kann man die Kartennummer entweder manuell eingeben oder mit der Kamera des Geräts scannen. Die Informationen werden dann in verschlüsselter Form weitergeleitet. Das erstellte Bild wird nicht auf deinem Telefon abgespeichert.

Daraufhin wird eine Geräte-Kontonummer generiert, die sicher und verschlüsselt in Secure Element auf dem Gerät gespeichert ist. Bei Secure Element handelt es sich um einen Chip, der getrennt ist vom Betriebssystem. Die hier gespeicherten Daten werden nicht mit iCloud synchronisiert oder anderswo gespeichert. Nachdem du eine Karte hinzufügt hast, wirst du je nach Bank und Kartentyp dazu aufgefordert, die Nutzung einer Zwei-Faktor-Authentifizierung zu bestätigen.

Könnte eine Datenlücke zum Problem für mich werden?

„Sicherheit und Datenschutz stehen im Mittelpunkt von Apple Pay“, erklärt Eddy Cue, Senior Vice President of Internet Software and Services von Apple. Deshalb gibt es einige Sicherheitsfunktionen, die Kunden vor kriminellen Zahlungsterminals schützen und verhindern sollen, dass Daten verloren gehen oder gestohlen werden.

Um Apple Pay in einem Geschäft zu aktivieren, muss das Gerät in unmittelbarer Nähe eines Apple Pay Terminals platziert werden. Dann kann der Nutzer manuell eine Karte auswählen und die Zahlung mit der PIN oder über Touch ID aktivieren. Ohne diese manuelle Funktion kann mit dem System keine Bezahlung getätigt werden.

Zudem wird die Kredit- bzw. Bankkartennummer nicht weitergegeben. Stattdessen übermittelt das Telefon die Geräte-Kontonummer. Weil diese Nummer einzigartig ist und nur für dein Gerät und deine Karte gilt, kann sie nicht unabhängig davon genutzt werden. Bei Verlust oder Diebstahl ist es möglich, Zahlungen von diesem Gerät umgehend mithilfe der Funktion „Mein iPhone suchen“ auszusetzen.

Was, wenn ich in einer App bezahle?

apple_pay_in_apps

Apple Pay ist nicht an Apples eigenes kommerzielles Ökosystem gebunden – man kann das System auch für die Bezahlung bei anderen Unternehmen nutzen, z.B. bei Starbucks, Stubhub, Ticketmaster und Disney.

Wie bei der Bezahlung in Geschäften, gibt es zusätzliche Sicherheitsmaßnahmen, um die Karteninformationen beim Kauf zu schützen. Auch hier wird nur die Geräte-Kontonummer weitergeleitet, zudem werden die übermittelten Daten verschlüsselt.

Werden meine Kaufinformationen von Apple gesammelt?

Laut Apple hat die Privatsphäre oberste Priorität – deshalb sammelt das System keinerlei Informationen über Einkäufe, nicht einmal anonym.

So werden auch keine Informationen über das Kaufverhalten der Nutzer für Werbezwecke verkauft. Geld bringt das System über eine Gebühr für die teilnehmenden Partner ein.

Vorsicht ist dennoch geboten

Trotz der Sicherheitsfunktionen, die die Preisgabe wichtiger Informationen verhindern sollen, mahnt Raphael Labaca Castro, Security Researcher bei ESET, zur Vorsicht: „Obwohl es einige Funktionen gibt, mit denen die Gefahren für Apple Pay Nutzer minimiert werden, sollten wir nicht vergessen, dass Kriminelle auch andere Wege kennen, um an sensible Informationen zu gelangen. Erst vor ein paar Tagen konnten wir beobachten, dass Betrüger legitime Apps wie die von Gmail nachahmten, um Benutzernamen und Passwörter zu stehlen. Deshalb raten wir allen Nutzern, immer nur die offiziellen App Stores zu nutzen und Jailbreaking zu vermeiden, um die eingen Informationen zu schützen.“

Was ist mit der Apple Watch?

Apple Watch at Colette store, Paris, France - 30 Sep 2014

Im kommenden Jahr soll auch die Apple Watch für Bezahlvorgänge mit Apple Pay zum Einsatz kommen. Das Unternehmen verspricht, dass die Nutzung ebenso verbraucherfreundlich sein wird wie bei iPhone und iPad. Details über das Betriebssystem und der genauen Integration von Apple Pay wurden allerdings noch nicht genannt.

 

Autor , We Live Security