Institut für Internet-Sicherheit – if(is)

In Bezug auf die Bewertung der Anonymität gilt für mpass bei der Bezahlung am Point of Sales dasselbe, was in gleicher Weise für MasterCard PayPass gilt. Bei beiden handelt es sich um dasselbe Verfahren, welches nicht in eine Plastikkarte sondern in einem Aufkleber verpackt ist. Demnach gilt im Grundsätzlichen zunächst die selbe Bewertung wie unter 3.2.1 MasterCard PayPass / Visa payWave erläutert. Der Service wird durch die Wirecard Card Solutions Ltd. er-bracht. Sie ist für die Ausgabe des NFC-Stickers und die Abwicklung der Zahlungen über diesen verantwortlich. Während der Anmeldung willigt der Kunde ein, dass Wirecard Händlern, die Wirecard als Acquirer gewählt haben, personenbezogene Daten, die sowohl Kontakt- als auch Zahlungsdaten umfassen, übermitteln darf.

Zu jeder Transaktion speichert Wirecard mindestens „die Höhe des Betrages, den Verwendungszweck und die E-Mailadresse oder Kontonummer der anderen Partei“, wie es in der Datenschutzerklärung der Wirecard Card Solutions Ltd. nachzulesen ist. Zusätzlich wird diese Transak-tion mit dem eigenen Kundenkonto verknüpft. Für die Bezahlung im Internet gelten etwas andere Regeln. In diesem Fall speichert Wirecard, neben den oben genannten Transaktionsdaten, auch noch die IP-Adresse eines jeden Kunden.

Die Netzbetreiber, Telekom, O2 und Vodafone, haben keinerlei Einblick in die Transaktionsdaten. Allerdings erfahren sie im Falle einer Online-Zahlung, dass diese stattfindet, da sie die SMS mit der benötigten TAN übertragen. Sie erfahren jedoch nicht, in welcher Höhe und an wen die Zahlung erfolgt, weil diese Informationen nicht Teil der SMS sind. Neben der reinen Bezahlfunktion bietet mpass für Händler die Möglichkeit die mpass-App für Marketingzwecke zu nutzen. Hierfür verantwortlich ist die Abteilung Media Services von Telefóni-ca, die die Verknüpfung ortsbasierter Informationen oder der Bestandskundendaten von O2 an-strebt, um zielgruppenspezifisches Marketing zu ermöglichen. In Summe ist mpass damit ähnlich anonym wie PayPass und payWave – nämlich gar nicht. Es werden alle Transaktionen durch ein britisches Unternehmen gespeichert und verarbeitet. Zusätzlich werden personenbezogene Daten an Händler übermittelt, denen gegenüber der Kunde daher auch nicht anonym ist. Dieses Kriterium wird wegen der aufgeführten Gründe mit null Punkten bewertet.

Die Sicherheit ist sehr ähnlich zu der des PayPass-Systems, da dieses ebenfalls in zwei von drei Fällen für das Bezahlen genutzt wird. Daher entfällt an dieser Stelle eine erneute Beschreibung. Es sei nur kurz erwähnt, dass es sich um ein auf Kreditkarten basierendes System handelt. Zusammen mit dem mpass-NFC-Sticker erhält der Kunde eine virtuelle Kreditkarte, also eine Kreditkarte, die nicht als Plastikkarte ausgegeben wird, sondern stattdessen nur die Kreditkartendaten im mpass-Kundenkonto online zur Verfügung stellt. Aus diesem Grund erfolgt an dieser Stelle keine Neubewertung für diese Bezahloptionen. Vielmehr findet hier nur die Online-Bezahlung mittels des SMS-TAN-Verfahrens Berücksichtigung, deren Bewertung mit der der Kreditkarte am Ende zusammengeführt wird.

Die Sicherheit des SMS-Tan-Verfahrens beruht darauf, dass der Kunde sein Kennwort für das System kennt und im Besitz des Handys mit der registrierten Telefonnummer ist. Ein Angreifer müsste also sowohl den Computer, um das Kennwort zu erfahren, als auch das Mobiltelefon des Kunden infizieren, um unberechtigt Transaktionen durchführen zu können. Das Kennwort kann, wie alle Kennworte, durch Social Engineering, Bruteforce oder andere Methoden ermittelt werden. Die SMS mit der nötigen TAN ist dagegen schwieriger abzufangen – wird jedoch nicht zwangsläufig benötigt, da allein durch das Kennwort die Daten der virtuellen Kreditkarte inklusive Sicherheitscode aus dem Kundenkonto ausgelesen werden können. Zum einen gibt es die Möglichkeit, das Handy des Nutzers mit Schadsoftware zu infizieren, die die entsprechende SMS mit TAN heimlich weiterleitet. Da das selbe Verfahren ferner zur Autorisierung von Transaktionen im Online-Banking eingesetzt wird, nimmt die Verbreitung der Schadsoftware zu, wie Heise Online im Mai 2014 berichtete.
Einen alternativen Weg zeigten das Reportagemagazin Stern TV und die Zeitschrift Computerbild auf, die in einem Test versuchten, sich unberechtigterweise eine Ersatz-SIM-Karte für eine fremde Handynummer zuschicken zu lassen. Überraschenderweise gelang es in vier von fünf Fällen, denn die Provider prüften nicht genau nach, wer die Karte anforderte und versendeten diese an eine fremde Adresse, wenn der Anrufer angab, er sei umgezogen. Beide Varianten sind jedoch für den Angreifer aufwendig. Sie erfordern gute Kenntnisse über das Opfer und sind des-wegen nur für gezielte Angriffe nutzbar. Das System bietet demnach durch die virtuelle Kreditkarte dieselben Angriffspunkte wie klassische Kreditkarten. Der Zugang zu den Daten inklusive des Sicherheitscode ist durch die Verfügbarkeit im mpass-Kundenkonto jedoch deutlich leichter. Da-gegen existiert keine physische Karte, die gestohlen oder verloren werden kann, so dass ein Missbrauch am POS schwieriger wird. Insgesamt werden für die Sicherheit des Systems zwei von zehn Punkten vergeben.

Zunächst einmal ist mpass ein deutsches Bezahlverfahren. Aufgrund der Tatsache, dass eine Kreditkarte verwendet wird, um Zahlungen abzuwickeln, kann mpass allerdings genauso im Aus-land verwendet werden – und zwar an allen Akzeptanzstellen, die MasterCard PayPass unter-stützen. Eine Ausnahme bilden dabei Reservierungen von Hotelzimmern oder Fahrzeugen, weil bei Abholung erwartet wird, dass eine physische Karte vorgelegt wird. Diese wird durch mpass jedoch nicht ausgegeben, so dass mpass hierfür nicht verwendet werden kann.

Durch die drei Bezahloptionen, NFC-Sticker, virtuelle Kreditkarte und Onlinezahlung mit SMS-TAN, ist das System sowohl für den stationären Handel als auch für den Einsatz im Internet ge-eignet. Im Internet werden dabei zum einen die native Zahlung über mpass mit Einsatz der SMS-TAN angeboten, was bisher allerdings nur wenige Shops unterstützen, und zum anderen der Einsatz der virtuellen Kreditkarte, die in allen Shops akzeptiert wird, die MasterCard-Kreditkarten anerkennen, was auf zahlreiche Shops zutrifft. Folglich ist der Einsatz von mpass in weiten Teilen des Internets und an immer mehr stationären Akzeptanzstellen möglich. Ferner wird bis 2020 mit dem Ausbau des PayPass-Systems die Zahlung an allen stationären PayPass-Akzeptanzstellen durchführbar sein.

Weiter findet, den Werbeaussagen auf der mpass-Homepage zufolge, keine Bonitätsprüfung vor Ausgabe der Kreditkarte statt. In den FAQ wird diese Aussage jedoch wiederum etwas eingeschränkt. Zwar erhält jeder mpass-Kunde die virtuelle Kreditkarte ohne Bonitätsprüfung, allerdings wird die Bonität geprüft, wenn der Kunde die Abrechnung mittels Lastschrift aktivieren will. Fällt die Bonitätsprüfung negativ aus, kann mpass nur als Prepaid-System, mit vorheri-ger Aufladung eines Guthabens, genutzt werden. Die Information, dass die Bonitätsprüfung negativ ausgefallen ist, scheint, einem Foreneintrag eines Vodafone-Kunden zufolge, dem mpass-Nutzer indes nicht mitgeteilt zu werden. Vielmehr verhindert mpass in diesem Fall Zahlungen solange, bis ein entsprechendes Guthaben auf das mpass-Konto aufgeladen wurde.