Bezahlen mit dem Handy ist bekannterweise grad in aller „Medien Munde“ und die Konsumenten können sie vor Angeboten wie kaum retten. Hier ein Blick zum Thema Sicherheit.
Dazu, wie unsicher Bargeld ist, hat wohl jeder eine klare Meinung. Schon viel dünner wird aber das Wissen über die Sicherheit von Kreditkarten und wie steht es bei Bezahlvorgängen mit dem Handy? Bequemerweise gibt es von der Europäischen Zentralbank dazu ein Dokument mit dem Titel: „Recommendations for the Security of Mobile Payment”.
Das Dokument richtet sich primär an MPSP (mobile payment solution providers) und ist damit sehr umfassend. Wie so häufig gibt es aber auch viel lernen und als Köder lege ich mein Augenmerk 1) auf die Gründe weshalb mobile Zahlungen besonders sicherheitsrelevant sind und 2) die fünf leitenden Prinzipien (Guiding Principles) der Richtlinien.
Weshalb sind mobile Bezahllösungen besonders gefährdet?
- Mobilgeräte und deren Betriebssystemen wurden ursprünglich nicht als sichere Plattform für Bezahlvorgänge konzipiert und entwickelt
- Zahllösungen benötigen Funktechnologie (wie Bluetooth, NFC oder GSM) zur Übermittlung sensitiver Daten
- Der Vorgang schliesst, im Vergleich zu anderen Bezahlvorgängen, zusätzliche Aktoren ein, insbesondere den Netzwerkbetreiber
- Die Nutzer behandeln ihre Mobilgeräte nicht so, wie sie ein sicherheitskritischesn Gegenstand behandeln würden „unsafe consumer behaviour“
Es folgen also fünfzehn Seite mit empfohlenen Regeln die dazu dienen, mobile Zahlvorgänge sicher zu machen. Ich beschränke mich im Folgenden auf die fünf leitenden Prinzipien:
- Der MPSP verfügt über ein Risikomanagementsystem welches annimmt, dass Mobilegeräte grundsätzlich unsicher sind, Drittparteien bei Transaktionen teilnehmen und welches davon ausgeht, dass sich die Technologie schnell verändert.
- Verlässliche Authentisierung des Benutzers ist Grundlage für die Robustheit des Systems, da Profil- oder Transaktionsdaten damit geschützt sind. Von den drei Elementen i) Wissen (z.B. PIN), ii) Besitzen (z.B. Token) und iii) Sein (biometrische Eigenschaft) müssen mindestens zwei zur Authentisierung eingesetzt werden und i) und ii) sollen nicht wiederholbar sein.
- Wenn immer schützenswerte Daten übermittelt, verarbeitet oder gespeichert werden, müssen diese von einem robusten Mechanismus geschützt sein. Die Verteilung der Software muss sicher sein und diese regelmässig auf Integrität geprüft werden. Zudem soll sowohl der User wie auch der MPSP in der Lage sein, das Bezahlsystem jederzeit (entfernt) zu deaktivieren.
- Der MPSP implementiert sichere Prozesse um Transaktionen zu autorisieren. Er verfügt über ein robustes Monitoring für Transaktionen und Systeme mit dem Ziel abnormales Zahlungsverhalten zu erkennen.
- Der MPSP soll engagiert sich in Information und Schulung der User über Sicherheit von mobilen Zahlungslösungen.
Da gibt es was zu tun. Und hier das ganze Dokument als PDF: Recommendations for the Security of Mobile Payment
