PAYMEY
Anonymität
Im Unterschied zu anderen mobilen Zahlungssystemen bezeichnet PAYMEY sich selbst als „erste Mobile Payment App, die ohne Austausch persönlicher, sensibler Daten auskommt und gleich-zeitig Offline-Funktionalität bietet“. Für die Zahlung am POS generiert die PAYMEY-App einen Barcode, der durch den Händler eingelesen wird. Dieser besteht aus einem zufällig aus der Benutzerkennung ausgewähltem Teil und dem Transaktionscode. Die Berechnung des Barcodes erfolgt über ein, durch PAYMEY patentiertes Verfahren, welches es dem Anbieter ermöglicht, die Transaktion einem jeweiligen Kunden zuzuordnen und entsprechend abzurechnen. Im Falle einer Offline-Zahlung wird, noch während der Kunde online ist, ein Satz Transaktionsnummer generiert, die der Kunde zu einem späteren Zeitpunkt verwenden kann. Der Händler erfährt also keinerlei Daten des Kunden, noch nicht einmal eine eindeutige Kundennummer, über die Kunden eindeutig identifiziert werden könnten.
Somit wäre der Kunde dem Händler gegenüber eigentlich anonym, wenn PAYMEY dem Händler in seiner Transaktionsübersicht nicht den Namen, die E-Mail-Adresse, das Datum der Anmeldung, die Anzahl der erhaltenen Zahlungen, die Information, ob der Kunde über ein verifiziertes Bankkonto verfügt, sowie die Skype- und Telefonnummer, falls der Kunde diese bei PAYMEY hinterlegt hat, darstellen würde (53). Die ursprüngliche Anonymität ist damit also nicht mehr gegeben. PAYMEY gegenüber ist der Kunde von vornherein nicht anonym, da der Dienst Kunden- und Transaktionsdaten miteinander verbinden muss, um die Abrechnung durchführen zu können.
Im Falle der Nutzung des QR-Code-Shoppings, bei dem der Kunde über den Scan eines QR-Codes direkt eine Ware bestellen kann, übermittelt PAYMEY die Bestellung an den Anbieter zusammen mit der bei PAYMEY hinterlegten Adresse des Kunden. Dies ist notwendig, um den bestellten Artikel versenden zu können, trägt aber nicht dazu bei, das Versprechen einer anonymen Bezahl-App einzuhalten.
In Summe lässt sich also festhalten, dass aus dem Werbeversprechen, ohne den Austausch sensibler Daten aus zu kommen, letztendlich nicht viel übrig bleibt. Die einzigen nicht übermittelten Daten sind Kontodaten oder andere Daten, die zu klassischen Zahlungssystemen gehören. Zu Gute halten könnte man PAYMEY, dass es sich um ein rein deutsches Unternehmen handelt und somit den strengen deutschen Datenschutzrichtlinien unterliegt. Allerdings ist in den Nutzungsbedingungen nachzulesen, dass die Verarbeitung der Daten in Irland stattfindet, womit auch dieser Pluspunkt entfällt, da somit die irischen Datenschutzbestimmungen für die Speicherung und Verarbeitung der Daten gelten.
In Summe lässt sich also festhalten, dass aus dem Werbeversprechen, ohne den Austausch sensibler Daten aus zu kommen, letztendlich nicht viel übrig bleibt. Die einzigen nicht übermittelten Daten sind Kontodaten oder andere Daten, die zu klassischen Zahlungssystemen gehören. Zu Gute halten könnte man PAYMEY, dass es sich um ein rein deutsches Unternehmen handelt und somit den strengen deutschen Datenschutzrichtlinien unterliegt. Allerdings ist in den Nutzungsbedingungen nachzulesen, dass die Verarbeitung der Daten in Irland stattfindet, womit auch dieser Pluspunkt entfällt, da somit die irischen Datenschutzbestimmungen für die Speicherung und Verarbeitung der Daten gelten.
Systemsicherheit
PAYMEY verwendet für die Zahlungen Barcodes, in denen zum einen Teile der Benutzerkennung und zum anderen eine zuvor auf dem Server generierte Transaktions-ID enthalten sind. Kennt ein Angreifer die komplette Benutzerkennung und eine noch ungenutzte Transaktions-ID, kann er diese zur Generierung eines Barcodes nutzen. Zur Nutzung der App und der damit verbundenen Barcodes authentifiziert sich der Nutzer mit einer PIN, die lokal auf dem Gerät gespeichert ist, um die Offline-Zahlung zu ermöglichen.
Auch eine Bestätigung der konkreten Transaktion auf dem Endgerät entfällt bei Zahlungen am POS, so dass es theoretisch denkbar wäre, dass Zahlungen durch einen Angreifer abgefangen und geändert werden können. Hierfür muss lediglich die Kommunikation zwischen Kassensystem und PAYMEY-Server manipuliert werden.
Anders sieht es beim Einkauf im Internet aus. Hier wird ein, mit dem PAYMEY-Konto des Nutzers verknüpftes Gerät benötigt, mit dem der, durch den Onlineshop generierte QR-Code eingelesen wird. Damit der Angreifer ein neues Gerät hinzufügen kann, genügt, genau wie bei Yapital, die Kenntnis des Benutzernamens und persönlichen Kennwortes, an welches dieselben Anforderungen, wie bei Yapital, gestellt werden. Sie liegen, wie zuvor bereits erwähnt, unterhalb der Empfehlungen des Instituts für Internet-Sicherheit bezüglich sicherer Passwörter.
Bisher sind jedoch noch keine Angriffe auf PAYMEY bekannt geworden, was allerdings daran liegen dürfte, dass es sich um ein sehr junges System handelt, dass bisher nicht häufig eingesetzt wird.
Bisher sind jedoch noch keine Angriffe auf PAYMEY bekannt geworden, was allerdings daran liegen dürfte, dass es sich um ein sehr junges System handelt, dass bisher nicht häufig eingesetzt wird.