Immer mehr Banken integrieren Bezahldienste wie Apple Pay in ihr Angebot.
Foto: Lino Mirgeler/dpa

BerlinNoch in diesem Jahr will auch der Deutsche Sparkassen- und Giroverband Apple Pay einführen. Dann soll es möglich sein, nicht mehr nur Android-Smartphones mittels der hauseigenen App mit den Sparkassenkonten zu verknüpfen, sondern auch Apple-Nutzer werden dann mit ihren Handys an Supermarktkassen zahlen können. Auch bei der Direktbank ING können Kunden seit Mitte Oktober Apple Pay nutzen, damit sind es seit dem Start in Deutschland im November 2018 mittlerweile 24 teilnehmende Finanzinstitute. Schon länger dabei sind unter anderem die Deutsche Bank, Comdirect und die Smartphonebank N26. Google listet für seinen Dienst Google Pay 14 Banken in Deutschland auf, darunter beispielsweise auch die Commerzbank.

Damit vergrößert sich für Kunden in Deutschland die Möglichkeit, kontaktlos zu bezahlen. Das heißt: Das Smartphone wird ein paar Zentimeter vor das Bezahlterminal gehalten, in das man sonst die Kreditkarte stecken würde. Über die Funkverbindung NFC wird die Überweisung dann automatisch durchgeführt. Für diesen Vorgang muss kein Handy und auch keine Kreditkarte aus der Hand gegeben werden.

Sicherheitsforscher: Kontaktloses Bezahlen sicherer als Zahlung mit Kreditkarte

Laut Vincent Haupert, IT-Sicherheitschef beim Münchner Fintech Iconic Finance und Experte für Mobile Banking, ist kontaktloses Bezahlen sogar sicherer als eine Zahlung mit der Kreditkarte aus Plastik. Das liege daran, dass hier für den Bezahlvorgang nicht die richtige Kreditkartennummer abgefragt wird, sondern ein eigener Schlüssel generiert werde. "Insbesondere bei Apple Pay lässt sich ohne Weiteres von einem hochsicheren Verfahren sprechen", sagt Haupert.

Denn die Systeme von Apple und Google unterscheiden sich. Während der bei der Zahlung generierte Schlüssel von Apple nur in dem jeweiligen Smartphone gespeichert wird, werden die nötigen Daten bei Google extern auf Google-Servern gespeichert. "Das macht in Hinblick auf den Datenschutz und die Sicherheit natürlich einen Unterschied", sagt Haupert.

Konkret bedeutet das, dass Apple technisch gesehen zu keinem Zeitpunkt Zugriff auf die Zahlungsdaten haben kann und somit auch nicht weiß, wie viel ein Kunde ausgibt, wo er einkauft und was er auf das Kassenband legt.

Letzteres weiß Google zwar auch nicht, wohl aber werden laut Sicherheitsforscher Haupert Daten gespeichert, die auch Zahlungsort und Summe enthalten. Der Konzern selbst betont, dass dies nur geschehe, um den Bezahlvorgang so bequem wie möglich zu machen. Die Daten würden für keine weiteren Zwecke verwendet.
Konkreter sind für viele Kunden sowieso andere Sicherheitsaspekte: Was zum Beispiel passiert, wenn jemand das Smartphone klaut oder es abhanden kommt? "Bei Apple Pay ist es so, dass jede Zahlung, egal ob 1000 Euro oder 20 Cent, mit einer Zwei-Faktor-Authentifizierung abgesichert ist", sagt Haupert. Heißt: Neben dem einen Faktor, im Besitz des Smartphones zu sein, muss der Nutzer vor jeder Zahlung mit Geräte-Pin, Fingerabdruck oder Face ID seine Identität bestätigen.

Pin wird nur bei höheren Abhebebeträgen abgefragt

Bei Google Pay gebe es eine solche Sperre erst ab 25 Euro Zahlbetrag. Theoretisch könnte jemand mit einem fremden Android-Smartphone kleinere Beträge bezahlen - allerdings nicht unbegrenzt und nur, bis das Gerät gesperrt ist.

Ob bei größeren Beträgen zusätzlich die Bank-Pin verlangt wird, kann das jeweilige Finanzinstitut festlegen. Das bestimmen weder Google noch Apple. Viele Geldinstitute verlangen eine solche Sicherheitsstufe bei Beträgen ab 50 Euro aufwärts.

Händler haben umgerüstet

Damit Kunden kontaktlos bezahlen können, muss aber auch der Handel aufrüsten. Ob der Supermarkt oder der Klamottenladen das Verfahren anbieten, können Kunden an einem kleinen Wellensymbol am Bezahlterminal erkennen.

Laut Ulrich Binnebößel, Experte für neue Zahlungssysteme beim Deutschen Handelsverband (HDE), haben circa 85 Prozent der Händler in Deutschland die Schnittstelle zum kontaktlosen Bezahlen integriert. "Wir gehen davon aus, dass sich die restliche Lücke auch sehr schnell schließen wird", sagt er. Um die Dienste Apple Pay und Google Pay zu nutzen, muss außerdem kein Händler extra umrüsten, der zuvor bereits kontaktloses Bezahlen via Kreditkarte angeboten hat. Die Technik ist dieselbe.

Neben den großen Technologiekonzernen Apple und Google bieten einige Banken und Sparkassen schon länger eigene Apps zum kontaktlosen Bezahlen an. So hat auch die Sparkasse, die nun den Dienst von Apple integriert, eine eigene App "Mobiles Bezahlen" entwickelt. Die gab es aber bislang nur für Android-Kunden, und so soll es auch bleiben. Man wolle mit Apple Pay ein Angebot für iPhone-Nutzer schaffen, die eigene App werde aber weitergeführt. "Da wir ein sehr gut funktionierendes Angebot für Android-Nutzer haben, besteht keine Notwendigkeit, auf andere Dienste zurückzugreifen", so ein Sprecher des Deutschen Sparkassen- und Giroverbands.

"Vom Sicherheitsaspekt sind auch die eigenen Apps wie die von der Sparkasse oder der Deutschen Bank mit denen von Apple und Google vergleichbar", sagt Sicherheitsexperte Haupert. "Bezogen auf den Datenschutz hat eine bankeigene App natürlich den Vorteil, dass die Daten bei der Bank bleiben und nicht auf fremde Server gelangen."