Mobile Kartenleser kommen auch in Cafés zum Einsatz © Joshua Rodriguez/Unsplash

Die große Angst vor Mobile Payment: Nicht die Banken sind schuld, sondern miese Hardware

Google Pay hat seinen Dienst im Juli gelauncht, die Sparkassen haben mit „Mobiles Zahlen“ nachgelegt – und Apple Pay steht ebenfalls kurz vor dem Deutschlandstart: Zahlen wir bald alle bargeldlos? Wohl kaum. Noch immer sind die Vorbehalte gegenüber Mobile Payment beim Verbraucher riesig. Wie Forscher nun herausgefunden haben, scheint diese Skepsis durchaus gerechtfertigt.

Als ich vor rund zehn Jahren von einem Straßenkünstler in New York gebeten wurde, meine Kreditkarte in das kleine Lesegerät zu stecken, war ich noch sehr skeptisch, was mit meinem Geld im Anschluss passiert. 2018 gehören die Helferlein zum Inventar in Cafés und Bars, aber auch auf Märkten oder in Popup-Stores. Gemeint sind mobile Kartenlesegeräte, die mit einem Smartphone oder Tablet verbunden sind, auf dem eine Kassen-Software läuft. So praktisch die sogenannten mPOS-Geräte auch sind, so anfällig scheinen sie aber auch für Hacker-Attacken zu sein, wie Sicherheitsforscher nun herausgefunden haben.

Wenig bezahlt fürs mobile Kassensystem? Wenig Sicherheit

Der Einsatz dieser sogenannten mPOS-Geräte hat in den vergangenen Jahren enorm zugenommen, da die Eintrittsbarrieren für die Bereitstellung eines Geräts und die Akzeptanz von Kartenzahlungen praktisch Null sind. Wie Geldautomaten und traditionelle Kassensysteme befinden sie sich am Endpunkt der Zahlungsinfrastruktur. Das macht sie besonders attraktiv für Kriminelle. Die Sicherheitsexperten von Positive Technologies fanden Schwachstellen, die es Angreifern ermöglichen, Man-in-the-Middle-Transaktionen auszuführen, beliebigen Code über Bluetooth und mobile Anwendungen zu senden, Zahlungswerte für Magnetstreifentransaktionen zu fälschen und weitere Software-Schwachstellen auszunutzen.


Demnach ist es relativ einfach, Kreditkarteninformationen zu stehlen und etwa den zu zahlenden Beitrag zu „faken“. Forscher der Positive Technologies haben sich sieben Kartenlesegeräte angeschaut, die allesamt weniger als 50 Dollar kosten – einige davon sogar von bekannten Zahlungsdienstleistern wie Paypal und Square. Die Ergebnisse waren alles andere als vielversprechend. Fünf Geräte wiesen Sicherheitslücken auf, die es Cyberkriminellen ermöglichen würden, dass Kunden unbemerkt zu viel bezahlen. Bei zwei Geräte konnten die Sicherheitsexperten sogar die PINs  der Karten im Klartext, also völlig unverschlüsselt, auslesen.

Alte Geräte sind weiterhin im Umlauf

Dafür würden Hacker – oder betrügerische Händler – die Bluetooth-Verbindung mittels einer unsicheren Form des „Pairing“ zwischen dem Kartenleser und dem dazugehörigen Tablet ausnutzen. Nachdem das erledigt im Rahmen von Testangriffen durch Positive Technologies erledigt war, ließen sich die Werte manipulieren. Weil Hacker in diesem Fall den Datenverkehr schon zwischen dem Kartenleser und der dazugehörigen App manipulierten, würden die falschen Zahlungsinformationen über die App direkt an den Provider geschickt. Die Endabrechnung wäre dann höher als der Betrag, den der Kunde auf dem Gerät zu sehen bekam. Der Betrug würde dann erst auffallen, wenn der zu hohe Betrag vom Konto abgebucht wird.

Von der zweiten Schwachstelle, die es Hackern ermöglicht, PIN-Nummern zu stehlen, waren die Kartenleser von Miura betroffen. Sowohl PayPal als auch Square hatten sie im Einsatz – zumindest bis zum Zeitpunkt der Untersuchungen. Ein Exploit gestaltete sich hier etwas komplizierter, da er auf eine ältere Firmware-Version zurückgreift, die Kriminelle zuerst installieren müssten. Nichtsdestotrotz würde laut Aussage der Sicherheitsexperten ein solcher Angriff nur ein paar Minuten dauern. Die betroffenen Unternehmen wissen offenbar um die Problematik und sind bemüht, die Schwachstellen zu schließen. Allerdings ist ein Großteil der veralteten Geräte weiterhin im Umlauf. Auf den Kosten für den Austausch bleiben zudem die Gastronomen und Einzelhändler sitzen. Sie sind zudem in der Pflicht, die Software ihrer Bezahlsysteme auf dem neuesten Stand zu halten.

Kunden misstrauen weiterhin Mobile Payment

Solche Berichte sind freilich Wasser auf den Mühlen derer, die mobile Bezahlmethoden als unsicher ablehnen. Während etwa Deutschlands Banken nach und nach Mobile Payments via Google oder Apple Pay ermöglichen wollen, zeigen sich Verbraucher weiterhin skeptisch. 61 Prozent nutzen aktuellen Studien zufolge Smartphone-Zahlung oder kontaktloses Zahlen mit der Giro- oder Kreditkarte bisher nicht – und planen das auch nicht. Das ergab eine Umfrage der Postbank unter 3100 Personen. Ähnliche Erkenntnisse lieferte eine Befragung des IT-Lobbyverbandes Bitkom, wonach 59 Prozent der Kunden nie mit dem Smartphone zahlen. Nur 20 Prozent haben laut der Postbank-Studie schon per Smartphone ihre Einkäufe begleichen oder kontaktlos mit ihrer Giro-oder Kreditkarte bezahlt.

Die Erkenntnisse werden von einer aktuellen ING-Diba-Studie gefestigt: Mit einer Barzahlungsquote von 48 Prozent liegt Deutschland deutlich über dem europäischen Durchschnitt von 32 Prozent. An der Vorliebe für Scheine und Münzen wird auch die Demografie so bald nichts ändern: Mit unter 52 Prozent Barzahlungsanteil liegen die über 65-jährigen hierzulande nur leicht über dem Durchschnitt. Auch in der jüngsten Gruppe im Alter von 18 bis 24 Jahren nutzen noch 49 Prozent Bargeld zum Bezahlen. Der Hauptgrund: Angst vor dem Daten- und damit auch Geldverlust. 61 Prozent führen vor allem Sicherheitsbedenken an und glauben, dass Hacker so auf ihr Konto zugreifen könnten. Eine berechtige Angst angesichts aktueller Erkenntnisse.

Und dass, obwohl schon rund 60 Prozent der Bezahlterminals im Einzelhandel mit NFC-Hardware ausgestattet sind und beim mobilen Bezahlen via Smartphones über das HCE-Verfahren die Kunden- und Kontodaten bei der Bank bleiben. Der Bezahlvorgang ist in keinster Weise mit dem mobiler Kartenlese-Systeme zu vergleichen. Vielmehr fungiert die App als virtuelle Kreditkarte. Dabei werden nur verschlüsselte Transaktionsdaten übertragen, aber eben keine Kunden- und Kontodaten.

Spätestens seit dem Eintritt von Google, den Sparkassen und demnächst auch Apple gewinnt Mobile Payment in Deutschland an Momentum. Immer mehr Banken ziehen mit. Die Technologie wird schlagartig auf Millionen von Smartphones verfügbar. Nun sind aber nicht nur die Banken, sondern auch der Einzelhandel in der Pflicht, die zur Software dazugehörige Hardware sicher zu halten. Die Kasse lässt ja auch niemand freiwillig offen stehen.