Bequemlichkeit hat ihren Preis

Benedikt Billmeyer steht mit einem Energy-Drink und einem Apfel an der Kasse. Den Betrag von 1,74 Euro begleicht er mit seiner Bankkarte. „Das geht schneller und ich muss nicht immer meinen Geldbeutel mitnehmen“, sagt er. Laut einer Statistik des Zentralen Kreditausschusses haben deutsche Bürger 2007 Einkäufe für mehr als eine Milliarde Euro mit Karte bezahlt.

Bis 2010 verdoppelte sich dieser Wert. Danny Fundinger, Managing Consultant bei IBM Mobile, schreibt im Buch Trends im Zahlungsverkehr, dass Mobile Payment „einer der Megatrends des beginnenden 21. Jahrhunderts“ ist.


Einfacher, schneller und bequemer – diese Argumente sprechen für eine bargeldlose Zahlung. Doch dabei vernachlässigt der Benutzer die Aspekte Sicherheit und persönliche Datenerfassung. Beim Zahlen mit einer EC-Karte kann es sich um ein Lastschriftverfahren handeln. Dann ist eine Identifikation des Kunden mit einer Unterschrift notwendig. Diese vergleicht der Verkäufer mit der Unterschrift auf der Karte und der Bezahlvorgang ist abgeschlossen. Bei Verlust der EC-Karte könnte also der neue Besitzer die Signatur des Eigentümers fälschen und so bezahlen – zumindest bis der Eigentümer die Karte von der Bank sperren lässt. „Das ist meinem Sohn passiert. Die Bank hat behauptet, dass die Unterschrift auf den Abbuchungsbelegen seine sei, was natürlich nicht stimmte“, erzählt Hans Delfs, Professor für Kryptographie an der TH-Nürnberg.

Wann TAN

Im Trend liegt seit einigen Jahren auch das Online-Banking, das eine Anmeldung mit Benutzererkennung und PIN voraussetzt. Damit kann der Kunde seine Kontobewegungen sehen. Um Geld zu überweisen, braucht er noch eine Transaktionsnummer (TAN) – für jede Überweisung eine neue. Beim ersten TAN-Verfahren konnte der Kunde diese zufällig aus einer TAN-Liste auswählen, um eine Überweisung zu tätigen. Im späteren i-TAN-Verfahren waren die einzelnen TANs nummeriert und die Eingabemaske verlangte eine bestimmte TAN aus der Liste. Hans Delfs erachtet diese beiden Vorgänge als unsicher. Eine aktuelle Methode ist das mobile Push-TAN-Verfahren. Das ist ein appbasiertes Verfahren, das für Android oder iOS-Systeme ausgelegt ist. Das ist ebenfalls unsicher. Vincent Haupert, Student der IT-Sicherheit, stellte auf dem Chaos Computer Club 2015 eine Möglichkeit vor, Schadsoftware auf dem Smartphone zu platzieren. „Nachdem der Nutzer auf Auftrag übermitteln klickt, manipulieren wir die Daten. Wir ändern den Adressaten und wir ändern den Betrag“, erzählt Haupert. Die Sparkasse schicke natürlich die Überweisungsdetails nochmal an die TAN-App. „Das heißt, bevor die Details angezeigt werden, manipulieren wir die Daten wieder auf die Originale und der Nutzer kann es nicht sehen“, führt Haupert weiter aus. Delfs empfiehlt daher das Chip-TAN-Verfahren, das ein unabhängiges Kartenlesegerät und die eigene EC-Karte benötigt. Der Angreifer bräuchte zusätzlich zur Transaktionsnummer noch die Bankkarte.

Jede Bank hat eine eigene Software für das push-TAN-Verfahren; Foto: Khang Hoang

Jede Bank hat eine eigene Software für das push-TAN-Verfahren; Foto: Khang Hoang

Who am I?

Delfs verwendet privat das Chip-TAN-Verfahren und fühlt sich dabei sicher. Er sieht die Gefahren des elektronischen Zahlungsverkehrs eher in der Übermittlung und Speicherung persönlicher Daten. Thomas Bahlinger, Forscher auf dem Gebiet Bank-Kunde-Interaktion, sieht das ähnlich: „Sogar die Telekom bietet ein Girobank Konto an. Nicht um Geld zu verdienen, sondern um den Kunden kennen zu lernen.“ Bei einer Transaktion speichert eine Bank offensichtlich Datum und Uhrzeit, Empfängerdaten, Betrag und den Verwendungszweck. Paypal, ein führender Onlinebezahlservice, speichert laut seinen Datenschutzgrundsätzen dazu noch Telefonnummer, E-Mail Adresse, Geräte-ID, IP-Adresse, Standort und Details über den Einkauf. In besonderen Fällen fordert Paypal sogar ein Foto des Nutzers an. „Mit den gesammelten Daten können die Anbieter Kundenprofile erstellen und personalisierte Produkte anbieten“, sagt Jens Albrecht, Professor für Big Data. „Die Banken nutzen die Daten und werten die Richtung des Trends aus“ – und das alles, um es dem Kunden noch bequemer zu machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert