Über das Thema Sicherheit beim kontaktlosen Bezahlen haben wir mit einem Spezialisten gesprochen: Patrick Biskup (29) ist Abteilungsleiter Kartenmanagement und Autorisierung bei der Finanz Informatik, dem zentralen IT-Dienstleister. Patrick Biskup kennt sich aus, wenn es um modernes Bezahlen geht, denn er arbeitet für die Sparkassen an der kontaktlosen Zahlfunktion. Gerüchte und Zweifel dazu bekommt er zuerst über seine Eltern mit. „Spendiere ich jetzt einem Fremden die Tankfüllung?“ könnte da so eine typische Frage sein.
Herr Biskup, wickeln Sie Ihre girocard und Ihre Kreditkarte in Alufolie ein?
Biskup: Nein. Aber ich weiß davon, dass manche Menschen so etwas mit ihren Karten anstellen, die mit der Kontaktlosfunktion ausgestattet sind.
Ist das notwendig?
Biskup: Nein. Es ist sehr unwahrscheinlich, dass eine Karte aus Versehen in den Empfangsbereich eines Bezahlterminals gerät, genau zu dem Zeitpunkt, in dem das Terminal einen Bezahlvorgang auslösen will.
Über das kontaktlose Zahlen kursieren immer wieder Gerüchte, die sich dann als Sicherheitsmythen herausstellen. Auf welchem Weg erreichen Sie diese?
Biskup: Am besten bekomme ich es bei meinen Eltern mit (lacht). Bei den Sparkassenkunden kommen unsere neuen Produkte ja früher oder später vorbei. Die Sparkassen-App zu nutzen, das war für meine Eltern schon ein wichtiger Schritt. Und wenn der getan ist, fällt der Umgang mit neuen Technologien tatsächlich etwas leichter – auch das kontaktlose Bezahlen. Jedenfalls kann ich mir vorstellen, dass meine Eltern künftig kontaktlos zahlen. Jedoch müssen wir in der Sparkassen-Finanzgruppe beständig Vorarbeit leisten und aufklären.
Und was war das Urteil Ihrer Eltern zum kontaktlosen Bezahlen? Mussten Sie ein paar Dinge aufklären?
Biskup: Einige Medienberichte hatten sie beunruhigt. Vereinzelt ist davon die Rede, dass eine Zahlung ausgelöst werden kann, ohne dass der Kunde davon weiß. Mein Vater fragte, ob er dann aus Versehen im Vorbeigehen bezahlen könnte.
Und was haben Sie erwidert? Die Menschen scheinen sich ja zu sorgen, dass sie jemandem versehentlich die Tankfüllung spendieren.
Biskup: Ich habe ihm gesagt, dass die Karte erst ab vier Zentimeter Entfernung zum Lesegerät einen Bezahlvorgang startet. Und dass er bei Beträgen über 25 Euro zusätzlich seine PIN eintippen muss. Diese Sicherheitsmechanismen greifen, um Betrug zu verhindern.
Nutzen Sie das kontaktlose Zahlen auch?
Biskup: Ja, für mich ist die Schnelligkeit beim Bezahlen ein wichtiger Punkt. Und auch die Einfachheit. Ich war vor kurzem in Schottland und habe mir in einem Pub ein Fußballspiel angesehen. Die Gäste bezahlten dort ihr Bier kontaktlos an der Theke, indem sie die Karte einfach an das Terminal hielten. Das Bier stand schon auf dem Tresen. Und die Gäste konnten schnell wieder zum Spiel zurückkehren, ohne sich groß mit Wartezeit und Wechselgeld aufzuhalten.
Schon seit einiger Zeit werden Zahlvorgänge mit der girocard und Kreditkarte über den Chip abgewickelt – auch beim kontaktlosen Bezahlen. Also ist die Kontaktlosfunktion auch sicherer als das Zahlen über den Magnetstreifen auf der girocard? Der kommt ja noch zum Einsatz, zum Beispiel in Ländern außerhalb Europas.
Biskup: Ja, das stimmt. Der Magnetstreifen ist eine recht alte Technologie. Bei kontaktlosen Zahlungen wird immer nur der Chip der Karte benutzt, der die Daten stets verschlüsselt. Dies ermöglicht es, die Zahlung absolut eindeutig zuzuweisen und erschwert unerlaubte Transaktionen. Man weiß, welche Karte zu einem bestimmten Zeitpunkt am Terminal aktiv war. Die Kontaktlosfunktion in Kombination mit dem Chip macht es in beide Richtungen eindeutig, wie gezahlt wurde. Wenn sich die kontaktlosen Zahlungen etabliert haben, sollte also der Magnetstreifen von den Karten verschwinden.
Im Ausland kursieren seit Jahren immer wieder Berichte, laut denen man der Zahlsperre ausweichen kann.
Biskup: Die deutschen Banken haben untereinander eigene Standards und Verfahren vereinbart, darunter auch Betriebssysteme für den Chip auf der Karte. In Deutschland haben wir das Sicherheitslevel im internationalen Vergleich angehoben. Viele Berichte beziehen sich auf Sicherheitslücken und alte Standards im Ausland, die auf den deutschen Markt nicht anwendbar sind.
Einige werden sich trotzdem sorgen, dass Kriminelle mit manipulierten Lesegeräten unterwegs sind, diese nah an Portemonnaies der Menschen halten und dann eine Zahlung auslösen. Vereinzelt wurde über das angebliche Auslesen von Kreditkartendaten mit einem Handy berichtet, welches mit entsprechender Software ausgestattet sein soll. Auch wenn man diese zwei Fälle nicht miteinander vergleichen kann, werden sich einige sorgen.
Biskup: Diese Frage wird uns oft gestellt, auch wenn so ein Fall nach meiner Kenntnis noch nie eingetreten ist und ich es für sehr unwahrscheinlich halte.
Denn eine kontaktlose Zahlung funktioniert nur in diesem Fall: Das Zahlungsterminal muss von sich aus einen Zahlungsvorgang starten, der nur für einen kurzen Moment aktiv ist. Es ist also nicht permanent für Zahlungen empfangsbereit. Dann muss das Terminal außerdem eine Internet-Verbindung haben. In U-Bahnen wäre diese beispielsweise nicht in ausreichender Signalstärke vorhanden. Obendrein müsste sich der Kriminelle mit dem Terminal der Karte bis auf vier Zentimeter nähern. Weil man die Karte meistens in einem Geldbeutel oder in einer Seitentasche der Jacke verstaut hat, ist die Signalstärke des Chips auf der Karte zudem erheblich verringert.
Hinzu kommt, dass ein Terminal automatisch blockiert und keinen Zahlungsvorgang auslöst, wenn sich mehrere Karten im Empfangsbereich befinden. All diese Faktoren machen es höchst unwahrscheinlich, dass man mit manipulierten Terminals etwas holen kann.
Im Juni 2017 haben Kunden immerhin bundesweit rund eine Million Einkäufe kontaktlos mit ihrer Sparkassen-Card gezahlt. Wann wird sich die Kontaktlosfunktion vollends etabliert haben?
Biskup: Das ist ein Prozess, der ein paar Jahre dauern wird. In drei bis fünf Jahren werden wird auch in Deutschland das kontaktlosen Bezahlen eine alltägliche Selbstverständlichkeit sein.