Demnächst auch in Deutschland?

Apple Pay und Datenschutz: Wie sicher ist das Bezahlen mit Apple Watch und iPhone?

Apple Pay und Datenschutz: Eine Analyse. Während Apple mit dem eigenen Bezahldienst Apple Pay vor allem in den USA immer mehr Nutzer überzeugen kann, warten wir hierzulande weiterhin auf die Einführung. Wohl auch, weil „der Deutsche“ in Gelddingen beizeiten merkwürdig tickt. Grund genug, sich mit der Sicherheit von Apple Pay zu befassen.

Von   Uhr
6 Minuten Lesezeit

Nirgends ist das Bezahlen mit Bargeld wohl so populär wie in Deutschland. Einer Studie des Meinungsforschungsinstituts YouGov aus dem Jahr 2015 nach zahlen die Deutschen immer noch über die Hälfte ihrer Einkäufe in bar. Generell bezahlt sogar ein Drittel aller Bundesbürger immer bar. Und das in einer Zeit, in der unser nördlicher Nachbar Dänemark wie auch Schweden und Norwegen ernsthaft über die Abschaffung des Bargelds diskutieren. Auch aus Sicherheits- und wirtschaftlichen Gründen. Bargeld verschwindet leichter in dunklen Kanälen und jedes Jahr werden zahllose Personenstunden dafür aufgewendet, dass – gerade in kleinen Läden – Mitarbeiter Geld sortieren, bündeln oder rollen und schließlich zur nächstgelegenen Bankfiliale transportieren müssen.

Aus der YouGov-Studie geht außerdem hervor, dass über 70 Prozent der Deutschen Bargeld für die sicherere Alternative zur Kartenzahlung halten und dabei vor allem den Schutz der Privatsphäre schätzen.

Maximaler Datenschutz mit Apple Pay

Gerade das Thema Datenschutz ist jedoch eine der Stärken von Apple Pay. Der Nutzer muss natürlich erst einmal seine Kreditkarte bei Apple hinterlegen. Das haben die meisten Apple-Kunden aber vermutlich ohnehin. Zumindest in den USA und dem Vereinigten Königreich. Für Deutschland wäre sicherlich auch eine Lösung mit einer hinterlegten Bankverbindung denkbar.

Der jeweilige Händler – egal ob nun im stationären Einzelhandel oder im Online-Handel – erfährt ab dann aber nur noch das Nötigste über dich. Denn bei jeder Transaktion wird nicht die Kreditkartennummer, sondern eine 16-stellige„DAN“ (Device Account Number) genannten Repräsentation eben dieser übermittelt.


Diese Nummer übermittelt das iPhone oder die Apple Watch per NFC (Near Field Communication) an das Bezahlterminal. Im Hintergrund versichert sich das Bezahlterminal im jeweiligen Bankennetzwerk, ob die übermittelte Nummer valide ist und erhält eine Freigabe. Im dritten Schritt übermittelt das Terminal den zu zahlenden Betrag an das Gerät des Benutzers, wo der Apple-Pay-Kunde die Zahlung dann per Touch ID oder Apple Watch freigibt.
Apple schafft es also, dass der gesamte eigentliche Bezahlprozess genau so abläuft, wie bei jedem anderen NFC-Bezahlvorgang, etwa mit deiner NFC-fähigen Mastercard, auch. Als Bonus bekommt der Apple-Pay-Kunde deutlich mehr Schutz der Privatsphäre, da beim Informationsaustausch zwischen NFC-Terminal und Endgerät keine Kreditkarten-, Kunden- oder sonstige persönliche Daten übermittelt werden. Da die Transaktion selbst über das klassische Bankennetzwerk abgewickelt wird, erfährt auch Apple nicht, was du wo für welche Summe gekauft hast.

Apple Pay-Komponenten

Auf Apples Seite besteht das gesamte Apple-Pay-Konstrukt im wesentlichen aus fünf Bausteinen:

1. Secure Element

Hierbei handelt es sich um einen speziellen Chip im iPhone, der nach Branchenstandards zertifiziert ist und den Anforderungen der Finanzindustrie an elektronische Zahlungen entspricht. Außerdem besitzt es Zahlungs-Applets, die von den Zahlungsnetzwerken zertifiziert werden. Die Daten vom Zahlungsnetzwerk oder dem Kartenaussteller werden in verschlüsselter Form an diese Applets gesendet, wobei Schlüssel verwendet werden, die nur das Zahlungsnetzwerk und die Sicherheitsdomäne des Applets kennen. Apple kann diese Daten nicht entschlüsseln. Die vollständige Kartennummer wird weder auf dem Gerät noch auf den Servern von Apple gespeichert. Stattdessen wird eine eindeutige Device Account Number erstellt, verschlüsselt und im Secure Element gespeichert. Diese eindeutige Device Account Number wird so verschlüsselt, dass Apple nicht darauf zugreifen kann. Die Device Account Number ist eindeutig und unterscheidet sich von anderen Kredit- oder Debitkartennummern darin, dass der Kartenaussteller verhindern kann, dass sie auf einer Magnetkarte, am Telefon oder auf Websites verwendet wird. Die Device Account Number im Secure Element ist von iOS und WatchOS isoliert, wird nie auf den Apple Pay Servern gespeichert und nie in Cloud gesichert.

So einfach kann‘s sein: Einfach das iPhone oder die Apple Watch in die Nähe des Terminals halten – et voilà. Leider noch nicht in Deutschland.
So einfach kann‘s sein: Einfach das iPhone oder die Apple Watch in die Nähe des Terminals halten – et voilà. Leider noch nicht in Deutschland. (Bild: bit.ly/1iCWQzh)

2. NFC-Controller

Der NFC-Controller befindet sich in deinem iPhone (ab iPhone 6) und der Apple Watch und steuert die Kommunikation zwischen Anwendungsprozessor und Secure Element, respektive Secure Element und Kassenterminal.

Wann startet Apple Pay in Deutschland?

Um in Deutschland mit Apple Pay Fuß fassen zu können, wird Apple sich davon lösen müssen, nur auf Kreditkarten zu setzen. So praktisch sie auch sind, sind Kreditkarten hierzulande nach wie vor nicht das Zahlungsmittel der Wahl und viele Deutsche besitzen nicht mal eine. Eine klassische Girocard hat aber praktisch jeder Deutsche im Portemonnaie. Um in Deutschland erfolgreich zu sein, wird Apple das Portfolio akzeptierter Karten um Girocards erweitern müssen.

3. Wallet

Wallet ist die Nachfolge-App von Passbook und wird verwendet, um Kredit-, Debit-, Kunden- und Bonuskarten einzulesen. Wenn man eine Karte hinzufügt, sendet Apple die Kartendaten zusammen mit anderen Informationen über den Benutzeraccount und das Gerät verschlüsselt an den jeweiligen Kartenaussteller. Der Kartenaussteller antwortet dann, ob die Karte in Apple Pay hinzugefügt werden kann.

Beim manuellen Hinzufügen einer Karte (Kundenkarten inbegriffen) werden für den Bereitstellungsprozess der Name des Kartenhalters, die Kreditkartennummer, das Ablaufdatum und die CVV-Nummer verwendet. Der Benutzer kann die Informationen in den Einstellungen, in der App „Wallet“ oder in der App „Apple Watch“ eintippen oder mithilfe der iSight-Kamera erfassen. Wenn die Kamera die Karteninformationen erfasst, versucht Apple, Name, Kartennummer und Ablaufdatum auszulesen. Das Foto wird niemals auf dem Gerät oder in der Foto-Mediathek gespeichert.
Alternativ können auch Kreditkarteninformationen, die bereits für Einkäufe im iTunes Store oder App Store hinterlegt sind, übernommen werden.

Der Kartenaussteller kann festlegen, ob für eine Kredit- oder sonstige Karte eine zusätzliche Überprüfung notwendig ist. Der Benutzer kann für die Überprüfung aus verschiedenen Methoden wählen, abhängig davon, welche vom Kartenaussteller angeboten werden. Am geläufigsten ist der Versand eines zusätzlichen Codes per SMS an eine vom Kunden bei seiner Bank hinterlegte Mobilfunknummer. Dieser Code muss dann in Wallet hinterlegt werden.

4. Secure Enclave

Die Secure Enclave ist bereits seit dem iPhone 5s bekannt. Sie ist der auf dem iPhone und iPad reservierte Speicherbereich für Touch-ID-Fingerabdruckdaten.

5. Apple-Pay-Server

Die Apple Pay-Server verwalten die Kredit- und Debitkarten in Wallet und die im Secure Element gespeicherten Device Account Nummern. Sie kommunizieren sowohl mit dem Gerät als auch mit den Zahlungsservern im Netzwerk.

(Bild: Hersteller)

Kundenkarten als Bonus

Seit iOS 9 unterstützt Apple Pay das Protokoll Value Added Service (VAS), das Händler auch auf NFC-Terminals aktivieren können. VAS wird verwendet, um im Zuge eines Apple-Pay-Bezahlvorgangs Informationen über zugehörige Kunden- oder Bonus-Karten zu übermitteln. Das NFC-Terminal initiiert den Empfang der Karteninformationen, indem es eine Anfrage bezüglich der Karte sendet. Ist der Benutzer im Besitz einer Karte mit der Kennung des jeweiligen Anbieters, wird er aufgefordert, die Verwendung dieser Karte zu autorisieren. Wenn das Terminal die verschlüsselte Übertragung dieser Daten unterstützt, passiert alles weitere ohne eine Interaktion des Karteninhabers im Hintergrund. Wenn der Händler das Verschlüsseln der Daten nicht unterstützt, wird der Benutzer aufgefordert, das Gerät erneut vor das Terminal zu halten, bevor die Informationen von der Karte übertragen werden.

Ein prominentes Beispiel wäre, dass NFC-Terminals, die in Geschäften stehen, die am Punktesammelsystem „Payback“ teilnehmen, bei einer Transaktion via Apple Pay das iPhone (oder die Apple Watch) quasi im selben Atemzug fragen, ob nicht vielleicht auch noch eine Payback-Karte hinterlegt ist. Eine Aufgabe, die seit Jahren das Kassenpersonal übernehmen darf – oder muss.

Rundes Konzept

Insgesamt hat Apple mit Apple Pay also ein gleichermaßen komfortables wie sicheres Bezahlsystem auf die Beine gestellt. Auf dem Gerät selbst hat Apple alle erdenklichen Sicherheitsvorkehrungen getroffen. Natürlich ist Apples Software nicht quelloffen, so dass niemand überprüfen kann, was wirklich passiert und wie sicher die Programme tatsächlich sind. Da Apple Pay bereits seit über einem Jahr im Einsatz ist und bislang kein Datenleck bekannt wurde, sollte man bis auf weiteres davon ausgehen, dass alles so funktioniert wie versprochen. An irgendeiner Stelle kommt man schließlich immer an den Punkt, an dem es ums Vertrauen geht.

Zusätzliche Sicherheit verspricht außerdem Apples Schritt, eben keine komplett neue Infrastruktur zu erfinden, sondern auf das mehr oder minder bewährte Bankensystem zu setzen. So werden immerhin keine neuen Geräte oder Software-Updates für den stationären Handel nötig. Alle halbwegs modernen Kartenterminals beherrschen grundsätzlich auch NFC-Zahlvorgänge.

Für ein gutes Gefühl sorgt außerdem die Tatsache, dass bei Apple Pay die persönlichen Daten noch besser geschützt sind als beim herkömmlichen Bezahlen mit Plastikkarten. Schließlich erfährt der Händler nicht mehr über dich, außer dass du mit einem Apple-Gerät bezahlst. Zumindest solange du nicht über eine entsprechende Kundenkarte des jeweiligen Geschäfts verfügst und diese auch benutzt.

Sebastian Schack

(Bild: Sebastian Schack)
Sebastian Schack war noch nie ein Freund des Bargeldes und findet, dass auch Plastikkarten eigentlich schon längst ersetzt gehören.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Apple Pay und Datenschutz: Wie sicher ist das Bezahlen mit Apple Watch und iPhone?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Würde sehr gerne mit AP bezahlen und hoffe das es bald in D angeboten wird.

ich warte auch schon sehnsüchtig auf Apple Pay.

Die Kommentare für diesen Artikel sind geschlossen.