Fragen zum Mobile Payment an Sicherheitsexperten Nohl

"Kartenlesegeräte sind die Achillesferse"

29.10.2013
Von  und
Beate Wöhe leitete als Director Experts Network das IDG Experten-Netzwerk für alle Online-Portale der IDG Tech Media GmbH. Sie hatte diese Position nach über zehnjähriger Tätigkeit als Redakteurin und leitende Redakteurin des IDG-Titels ChannelPartner im Juli 2014 übernommen. 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Bieten die heutige Technik und die Infrastruktur bereits genügend Sicherheit, um mit dem Handy zu bezahlen? Wir befragten dazu den Security-Experten und Kryptografen Karsten Nohl.

CW: Herr Nohl, Smartphones sollen Bargeld und Kreditkarten ablösen. Wie steht es um die Sicherheit?

Karsten Nohl: Der Umstieg von simplen technischen Hilfsmitteln, wie etwa Magnetstreifenkarten, auf echte Sicherheitschips in Karten oder in Telefonen, bietet eine große Chance: Endlich können zeitgemäße kryptographische Verfahren zum Schutz von Bezahltransaktionen genutzt werden. Dieses Potential wird in den derzeitigen Generationen an Bezahlsystemen aber noch nicht sinnvoll genutzt. Auf der einen Seite wird die Autorisierung der Transaktion nach wie vor durch das Kartenlesegerät bestimmt; diese Geräte sind nicht sicher zu bekommen und werden auf lange Sicht die Achilles-Ferse des Bezahlens bleiben.

Karsten Nohl ist promovierter Kryptograf und leitet den Risk-Management-Think-Tank Security Research Labs (srlabs.de) in Berlin.
Karsten Nohl ist promovierter Kryptograf und leitet den Risk-Management-Think-Tank Security Research Labs (srlabs.de) in Berlin.
Foto: Karsten Nohl

Private Daten, das zweite Schutzziel eines guten Bezahlsystemdesign, werden erst gar nicht versucht zu schützen. Die Anonymität von Bargeld werden elektronische Systeme nur schwer erreichen können, aber überhaupt keinen Schutz, wie etwa vor Verhaltensanalyse durch Händler, zu bieten, wird dem Zeitgeist nicht gerecht. Banken beteuern, dass sich Kunden keine Sorge um die Sicherheit der Bezahlmittel machen müssen, was insoweit stimmt, als dass offensichtlicher Betrug fast immer erstattet wird. Gleiches kann leider nicht über den Handel mit persönlichen Daten gesagt werden, welche durch Bezahlvorgänge entstehen.

CW: Also keinerlei Bedenken?

Nohl: Doch, weil dieses Potenzial in den derzeitigen Generationen an Bezahlsystemen noch nicht sinnvoll genutzt wird. Die Autorisierung der Transaktion wird nach wie vor durch das Kartenlesegerät bestimmt. Diese Geräte sind nicht sicher zu bekommen und werden auf lange Sicht die Achillesferse des Bezahlens bleiben.

Auch die privaten Daten versucht man erst har nicht zu schützen. Banken beteuern, dass sich Kunden keine Sorge um die Sicherheit der Bezahlmittel machen müssen, was insoweit stimmt, als ein Schaden aus einem offensichtlichen Betrug fast immer erstattet wird. Gleiches kann leider nicht über den Handel mit persönlichen Daten gesagt werden, die durch Bezahlvorgänge entstehen.

CW: Wo sehen Sie im Mobile-Payment-Konstrukt potenzielle Angriffspunkte?

Nohl: Der Hauptangriffspunkt ist nach wie vor der Mensch: Die derzeit im Umlauf befindlichen Telefonviren kommen zum Beispiel Huckepack auf raubkopierten Android-Apps. In machen Fällen bittet der Hacker den Telefonnutzer auch einfach freundlich um Mithilfe, zum Beispiel per Chat-Programm; etwa: "Google warnt vor Unsicherheiten und empfiehlt die Installation dieses Security-Updates."

Die technische Sicherheit von Smartphones, vielleicht mit Ausnahme von Android, hat sich dagegen stark verbessert: Selbst aus der Ferne hackbare Applikationen haben kaum noch Zugriff auf die Daten anderer Applikationen. Diese als "Sandboxing" bekannte Technik limitiert den Schaden, den einzelne Programmierfehler verursachen können, und ist anders als bei PC-Anwendungen auf Smartphones standardmäßig aktiv.

"Die privaten Daten versucht man erst gar nicht zu schützen", so Kryptograf Karsten Nohl.
"Die privaten Daten versucht man erst gar nicht zu schützen", so Kryptograf Karsten Nohl.
Foto: secupay

CW: Wie stehen Sie dem "Secure-Element", dem Herzstück des mobilen Bezahlens (oder anderen Herstelleransätzen), gegenüber?

Nohl: Das Secure-Element ist ein sicherer Schlüsselspeicher. Alle modernen Telefone haben ähnliche Chips in der ein oder anderen Form bereits integriert, meist als sicherere Teil des Hauptprozessors (beispielsweise ARM TrustZone). Dass diese vorhandenen Funktionen von vielen Herstellern nicht genutzt werden, zeigt die Komplexität von Sicherheitsanwendungen. Die gleichen Möglichkeiten nun als eigenständigen Secure-Element Chip zu duplizieren ist erst einmal nicht zielführend und an den aktuellen Schwierigkeiten beim Design benutzbarer Sicherheit vorbeigedacht.

CW: Hat der Verbraucher Möglichkeiten, selbst für zusätzlichen Schutz vor Manipulationen zu sorgen?

Nohl: Nutzer können die technische Sicherheit ihrer Telefone in vielen Aspekten nicht beinflussen. Angriffe auf die Geräte lassen sich aber an anderer Stelle verhindern: Wer keine wertvollen Daten auf dem Telefon speichert, keine wichtigen Kontakte hat, kein Banking oder Shopping vom Telefon aus betreibt und nicht unbedarft Applikationen aus fragwürdiger Quelle installiert, sollte tendenziell auf der sicheren Seite sein. Der Trend bei der Nutzung von Telefonen geht aber leider genau in die entgegengesetzte Richtung; freuen können sich darüber vor allem Kriminelle.

CW: Es häufen sich Meldungen zu Angriffen auf mobile Systeme. Würden Sie vor diesem Hintergrund den Verbrauchern heute schon mit gutem Gewissen zu Mobile Payment raten?

Nohl: Nur wer die Sicherheit seines Telefons versteht und souverän Angriffsversuche umschiffen kann, sollte Anwendungen wie Mobile Payment nutzen, welche Hacker massiv anziehen. (hi)