Grundlegendes zur NFC-Sicherheit: Ein Leitfaden für Unternehmen, die kontaktlose Zahlungen nutzen

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Wesentliche Merkmale von NFC-Zahlungen
  3. Wie funktionieren NFC-Zahlungen?
  4. Über welche Sicherheitsmerkmale verfügen NFC-Zahlungen?
  5. Bedrohungen und Risiken bei NFC-Zahlungen
    1. Bekannte Schwachstellen und Angriffsvektoren
    2. Echte Szenarien für Sicherheitsverstöße
  6. NFC-Sicherheit: So minimieren Sie Risiken und Schwachstellen
    1. Für Kleingewerbe
    2. Darauf sollten Sie bei der Wahl eines Kartenterminalanbieters achten

NFC-Zahlungen, die auf Nahfeldkommunikationstechnologie basieren, sind eine kontaktlose Zahlungsmethode. Sie nutzen drahtlose Kommunikation mit kurzer Reichweite, mit der zwei Geräte, beispielsweise ein Smartphone und ein Zahlungsterminal kommunizieren können, wenn der Abstand zwischen ihnen nur wenige Zentimeter beträgt. Diese Technologie ist in viele moderne Smartphones und Zahlungskarten integriert und hat sich in den letzten Jahren stark verbreitet: 2022 nutzten 85 % der Verbraucher/innen in neun Ländern eine kontaktlose NFC-Karte oder ein Wallet für mobile Zahlungen.

Mit ihrem schnellen Tap-and-Go-Verfahren führen NFC-Zahlungen zu einer neuen Erfahrung beim Bezahlvorgang. Außerdem sind sie Teil eines umfangreicheren Wandels hin zu einfachen Zahlungslösungen, die dem Anspruch an Komfort moderner Kundinnen und Kunden gerecht werden. Sie sind aber nicht nur komfortabel. Die NFC-Zahlungstechnologie ist branchenführend bei extrem schnellen Transaktionen und gleichzeitig bei hohen Sicherheitsstandards.

Da sich Digital Wallets und tragbare Technologie immer mehr durchsetzen, entwickeln sich NFC-Zahlungen schnell zur Standardoption für immer mehr Zahlungssituationen. Aber auch wenn sie diese beliebte Zahlungsmethode möglichst schnell einführen wollen, dürfen Unternehmen die Sicherheit nicht außer Acht lassen. Im Folgenden erfahren Sie, was Sie im Hinblick auf NFC-Zahlungen über die Bereitstellung einer sicheren Erfahrung wissen müssen.

Worum geht es in diesem Artikel?

  • Wesentliche Merkmale von NFC-Zahlungen
  • Wie funktionieren NFC-Zahlungen?
  • Über welche Sicherheitsmerkmale verfügen NFC-Zahlungen?
  • Bedrohungen und Risiken bei NFC-Zahlungen
  • NFC-Sicherheit: So minimieren Sie Risiken und Schwachstellen

Wesentliche Merkmale von NFC-Zahlungen

Für NFC-Zahlungen sind mehrere wesentliche Merkmale kennzeichnend, die sie bei Unternehmen und deren Kundschaft zu einer beliebten Option machen. Im Folgenden finden Sie einen kurzen Überblick über diese Merkmale:

  • Kontaktlose Kommunikation
    Einer der markantesten Aspekte von NFC-Zahlungen ist die Möglichkeit, Transaktionen ohne physischen Kontakt durchzuführen. Diese Technologie versetzt zwei Geräte – ein NFC-fähiges Zahlungsgerät (beispielsweise ein Smartphone oder eine Karte) und ein Zahlungsterminal – in die Lage, Daten auszutauschen, wenn der Abstand zwischen ihnen gering ist.

  • Schnelligkeit und Komfort
    NFC-Transaktionen sind in der Regel schneller als traditionelle Zahlungsmethoden. Kundinnen und Kunden müssen ihr Gerät einfach nur nah an das Terminal halten und die Transaktion wird innerhalb von Sekunden abgeschlossen. Diese Schnelligkeit macht den Bezahlvorgang reibungsloser und komfortabler.

  • Sicherheit
    NFC-Zahlungen gelten im Allgemeinen als sicher. Oft arbeiten sie mit Verschlüsselung, um sensible Daten wie die Nummern von Kreditkarten zu schützen. Darüber hinaus verlangen viele Smartphones eine Authentifizierung (wie einen Fingerabdruckscan oder einen Zugangscode), bevor die Zahlung abgewickelt wird, was eine zusätzliche Sicherheitsebene schafft.

  • Vielseitigkeit und Integration
    Die NFC-Technologie ist vielseitig und kann in verschiedene Geräte integriert werden, darunter Smartphones, Smartwatches und Zahlungskarten. Dank dieser Integration können Kundinnen und Kunden mit dem Gerät bezahlen, das ihrem Bedarf und ihren Präferenzen am ehesten entspricht.

  • Verbreitete Kompatibilität
    Da sich die NFC-Technologie bei Kundinnen und Kunden weiter verbreitet, führen immer mehr Unternehmen NFC-kompatible Zahlungsterminals ein. Kontaktlose Zahlungen finden an einer Vielzahl von Standorten statt, von großen Einzelhändlern bis hin zu kleinen lokalen Unternehmen.

  • Unterstützung von Digital Wallets
    Die NFC-Technologie ist eine zentrale Komponente vieler Digital Wallets wie Apple Pay, Google Pay und Samsung Pay. Mit diesen Wallets können Kundinnen und Kunden die Daten mehrerer Karten sicher auf ihren Geräten speichern, was ihnen die Flexibilität gibt, für verschiedene Transaktionen verschiedene Konten und Karten zu verwenden.

  • Transaktionsverlauf und Aufzeichnungen
    Wenn sie NFC-Zahlungen tätigen, können Kundinnen und Kunden ihre Transaktionen über ihre Digital Wallets, die üblicherweise einen detaillierten Transaktionsverlauf anzeigen, mühelos nachverfolgen.

  • Weniger Abnutzung
    Da für NFC-Zahlungen kein physischer Kontakt nötig ist, kommt es sowohl beim Zahlungsmittel der Kundin oder des Kunden (beispielsweise einer Karte) als auch bei der Hardware des Unternehmens (zum Beispiel dem Kartenlesegerät) zu weniger Abnutzung, was die Lebensdauer dieser Geräte unter Umständen verlängert.

Wie funktionieren NFC-Zahlungen?

NFC-Zahlungen nutzen eine Kombination aus Hardware- und Softwaretechnologien, um sichere und bequeme Transaktionen zu ermöglichen. Dieser Vorgang besteht in der Regel aus folgenden Schritten:

  • Aktivierung des NFC-Chips
    Der Prozess beginnt, wenn ein NFC-fähiges Gerät, beispielsweise ein Smartphone oder eine Zahlungskarte mit einem NFC-Chip, aktiviert wird. Die Aktivierung erfolgt in der Regel, wenn der Kunde oder die Kundin das Gerät in die Nähe eines NFC-fähigen Zahlungsterminals bringt. Bei Smartphones kann für die Aktivierung zusätzlich eine Nutzerauthentifizierung über einen Zugangscode, einen Fingerabdruck oder Gesichtserkennung erforderlich sein.

  • Verbindungsaufbau
    Sobald der NFC-Chip aktiviert wurde, beginnt er mit dem Zahlungsterminal zu kommunizieren. Diese Kommunikation erfolgt über Funkwellen. NFC arbeitet auf einer Frequenz von 13,56 MHz und die Reichweite der Kommunikation liegt in der Regel bei höchstens 4 cm. Diese kurze Reichweite ist ein Sicherheitsmerkmal, da sie das unerwünschte Abfangen der übertragenen Daten verhindert.

  • Datenübertragung
    Während der Kommunikation übermittelt das NFC-Gerät Daten an das Zahlungsterminal. Bei diesen Daten handelt es sich um die Zahlungsinformationen, die zum Abwickeln der Transaktion benötigt werden, darunter der Zahlungsbetrag, Kartenangaben und weitere relevante Informationen. Diese Datenübermittlung ist verschlüsselt, um sensible Informationen zu schützen.

  • Beteiligung eines Zahlungsabwicklers
    Sobald das Zahlungsterminal die Daten erhält, sendet es die Informationen an den Zahlungsabwickler, der für die Verifizierung der Transaktionsangaben bei der mit dem für die Zahlung verwendeten Gerät verknüpften Bank bzw. dem Kartenaussteller zuständig ist.

  • Authentifizierung und Autorisierung
    Die Bank bzw. der Kartenaussteller erhält die Transaktionsanfrage und überprüft deren Authentizität sowie das Vorhandensein ausreichender Mittel oder eines ausreichenden Kredits. Dies umfasst das Verifizieren der Kartenangaben und das Überprüfen der Einhaltung aller eventuell gegebenen Grenzen und Beschränkungen durch die Transaktion.

  • Transaktionsgenehmigung oder -ablehnung
    Nach der Verifizierung genehmigt die Bank bzw. der Kartenaussteller die Transaktion oder lehnt sie ab. Diese Entscheidung wird dann über den Zahlungsabwickler dem Zahlungsterminal rückgemeldet.

  • Abschluss der Transaktion
    Wenn die Transaktion genehmigt wird, schließt das Zahlungsterminal den Prozess ab und zeigt in der Regel eine Bestätigungsmeldung an. Bei einem Smartphone oder einem vergleichbaren Gerät kann auch das NFC-Gerät eine Bestätigungsnachricht erhalten.

  • Führen von Aufzeichnungen
    Die Transaktionsdetails werden vom Zahlungssystem des Unternehmens und – im Fall von Smartphones oder Digital Wallets – auf dem Kundengerät aufgezeichnet. Das unterstützt ein einfaches Nachverfolgen und Verwalten des Transaktionsverlaufs.

Kennzeichnend für den NFC-Transaktionsprozess sind Sicherheit und Geschwindigkeit. Datenverschlüsselung und Geräteauthentifizierung tragen zur Sicherheit von NFC-Zahlungen bei, während die Einfachheit und die Geschwindigkeit des Prozesses sie sowohl für Kundinnen und Kunden als auch für Unternehmen zu einer bequemen Option machen.

Über welche Sicherheitsmerkmale verfügen NFC-Zahlungen?

In NFC-Zahlungen sind verschiedene Sicherheitsmaßnahmen zum Schutz vor Betrug und unbefugtem Zugriff integriert. Zu diesen Maßnahmen gehören:

  • Verschlüsselung
    Wenn Daten zwischen einem NFC-Gerät (zum Beispiel einem Smartphone oder einer Karte) und dem Zahlungsterminal übermittelt werden, werden sie verschlüsselt. Diese Verschlüsselung konvertiert die Informationen in einen sicheren Code, was dazu beiträgt, unbefugte Parteien daran zu hindern, sensible Daten wie Kartennummern und Transaktionsbeträge abzufangen.

  • Tokenisierung
    Viele NFC-Zahlungssysteme nutzen Tokenisierung. Anstatt die tatsächliche Kartennummer zu übermitteln, wird ein eindeutiges digitales Token verwendet. Dieses Token steht zwar für die Kartennummer, ist aber nutzlos, wenn es abgefangen wird, da es ausschließlich für die konkrete Transaktion verwendet werden kann, für die es generiert wurde.

  • Kommunikation mit kurzer Reichweite
    Die Kommunikation mit kurzer Reichweite macht das Wesen von NFC aus und sorgt für eine zusätzliche Sicherheitsebene. Dass das Gerät für die Transaktion nur wenige Zentimeter vom Terminal entfernt sein darf, senkt die Wahrscheinlichkeit, dass die Daten ungewollt oder von unbefugten Geräten abgefangen werden.

  • Geräteauthentifizierung
    Bei Smartphones und anderen Geräten ist für NFC-Zahlungen oft eine Authentifizierung erforderlich. Diese kann durch einen Zugangscode, einen Fingerabdruck oder Gesichtserkennung erfolgen und sorgt dafür, dass die rechtmäßige Besitzerin oder der rechtmäßige Besitzer des Geräts die Transaktion initiiert.

  • Dynamische Authentifizierungscodes
    Jede Transaktion generiert einen eindeutigen Authentifizierungscode. Selbst wenn ein Transaktionsdetail abgefangen wird, kann es nicht für eine andere Transaktion wiederverwendet werden. Dadurch sinkt das Risiko wiederholter betrügerischer Transaktionen.

  • Secure Element
    Viele NFC-fähige Smartphones sind mit einem Secure Element ausgestattet – einem speziellen Chip, auf dem Zahlungsdaten sicher gespeichert werden. Dieser Chip ist vom Hauptbetriebssystem des Telefons isoliert, was im Fall von Hacking eine zusätzliche Schutzebene bietet.

  • Transaktionslimits
    Einige Banken und Finanzinstitute setzen Limits für NFC-Transaktionen fest, um das Risiko großer betrügerischer Transaktionen zu senken. Wenn der Transaktionsbetrag dieses Limit überschreitet, können traditionelle Authentifizierungsmethoden wie die Eingabe einer PIN gefordert werden.

  • Betrugsüberwachung in Echtzeit
    Banken und Zahlungsabwickler überwachen Transaktionen häufig in Echtzeit auf verdächtige Aktivitäten. Wenn sie ungewöhnliche Muster entdecken, können diese Institute sofort handeln und beispielsweise die Transaktion ablehnen oder die Kundin oder den Kunden kontaktieren.

  • Kundenverifizierungsanfragen
    In einigen Fällen – insbesondere bei großen Transaktionen – kann das Zahlungssystem eine zusätzliche Kundenverifizierung verlangen, beispielsweise die Eingabe einer PIN oder das Unterzeichnen eines Zahlungsbelegs.

Wenn sie zusammenwirken, bieten diese Sicherheitsmaßnahmen einen mehrschichtigen Schutz gegen verschiedene Arten des Betrugs und unbefugten Zugriff.

Bedrohungen und Risiken bei NFC-Zahlungen

Wenngleich NFC-Zahlungen einen starken Sicherheitspuffer bieten, sind sie potenziellen Bedrohungen gegenüber nicht immun. Im Folgenden gehen wir auf einige Schwachstellen und Risiken ein, die mit NFC-Zahlungen verbunden sind.

Bekannte Schwachstellen und Angriffsvektoren

  • Lauschangriff
    Im Zusammenhang mit NFC-Zahlungen bedeutet der Begriff Lauschangriff, dass ein unbefugtes Gerät das NFC-Signal während der Transaktion abfängt. Da es sich bei NFC um eine Form der Funkkommunikation handelt, ist es Personen, die über die richtige Ausrüstung verfügen und sich innerhalb der Reichweite befinden, theoretisch möglich, die Daten abzufangen.

  • Datenänderung
    Während des kurzen Augenblicks der Datenübermittlung könnte die Kommunikation zwischen dem NFC-Gerät und dem Terminal in einem raffinierten Angriff potenziell geändert werden. Das könnte dazu führen, dass ein falscher Betrag abgerechnet wird oder die Zahlung an eine andere Empfängerin oder einen anderen Empfänger umgeleitet wird.

  • Verlorene und gestohlene Geräte
    Wenn ein NFC-fähiges Gerät verloren geht oder gestohlen wird und die Eigentümerin oder der Eigentümer das Gerät nicht mit einer PIN oder einem biometrischen Schloss gesichert hat, besteht das Risiko unbefugter Transaktionen. Selbst wenn ein Secure Element vorhanden ist, könnte der Zeitraum zwischen dem Verlust des Geräts und dem Melden des Verlusts ausgenutzt werden.

  • Weiterleitungsangriffe
    Zu Weiterleitungsangriffen kommt es, wenn Angreifer/innen ein NFC-fähiges Gerät nutzen, um Daten zwischen einem legitimen NFC-fähigen Gerät (wie einem Smartphone oder einer Kreditkarte) und einem Zahlungsterminal abzufangen und weiterzuleiten. Das Gerät der Angreiferin oder des Angreifers fungiert als Mittler, der die Daten des legitimen Geräts abfängt und ans Zahlungsterminal weiterleitet.

  • Skimming
    Beim Skimming wird ein betrügerisches Zahlungsterminal geschaffen oder ein bestehendes verändert, um die Daten jedes NFC-fähigen Geräts zu erfassen, das damit interagiert. Die gesammelten Daten können dann verwendet werden, um Karten zu klonen oder unbefugte Transaktionen durchzuführen.

Echte Szenarien für Sicherheitsverstöße

  • Betrügerische Terminals
    Es ist schon zu Fällen gekommen, in denen Unternehmen durch Einzelpersonen betrogen wurden, die Terminals installiert und Daten aus NFC-Zahlungen von Kundinnen und Kunden abgeschöpft haben, was zu Datendiebstahl führte.

  • Gezielte Angriffe auf Einzelpersonen
    Hochrangige Einzelpersonen oder Personen, die als äußerst wohlhabend wahrgenommen werden, könnten Ziele NFC-bezogener Angriffe (wie Lauschangriffe oder Weiterleitungsangriffe) werden, insbesondere an stark frequentierten öffentlichen Orten.

  • Software-Schwachstellen
    In einigen Fällen nutzen Betrüger/innen Sicherheitsmängel der Software NFC-fähiger Geräte oder Terminals aus, um sich unbefugt Zugriff auf Gelder oder Zahlungsdaten zu verschaffen.

NFC-Sicherheit: So minimieren Sie Risiken und Schwachstellen

Es gibt verschiedene Lösungen, mit denen Unternehmen ihre Aussetzung gegenüber Betrug und unbefugtem Zugriff begrenzen können. Kleinunternehmen, die sich für einen Kartenterminalanbieter entscheiden, sollten sich der Möglichkeiten der Risiko- und Schwachstellenminimierung besonders bewusst sein.

Nachfolgend zeigen wir Ihnen einige Möglichkeiten, Ihr Unternehmen und Ihre Kundschaft proaktiv zu schützen.

Für Kleingewerbe

  • Schulen Sie Ihr Personal
    Vermitteln Sie Ihren Mitarbeiterinnen und Mitarbeitern Wissen über NFC-Technologie und häufige Bedrohungen. Dazu gehört auch das Erkennen verdächtiger Verhaltensweisen oder Geräte, die auf eine Manipulation von Kartenterminals hinweisen könnten.

  • Arbeiten Sie mit regelmäßigen Updates und Patches
    Stellen Sie sicher, dass die Software Ihres Zahlungsterminals auf dem neuesten Stand ist. Software-Updates können Schwachstellen beheben, die für Angriffe ausgenutzt werden könnten.

  • Implementieren Sie eine sichere Konfiguration
    Richten Sie Terminals und Geräte so ein, dass für Transaktionen über einem bestimmten Betrag eine PIN gefordert wird. Das kann große betrügerische Transaktionen verhindern, wenn ein NFC-fähiges Gerät kompromittiert wird.

  • Integrieren Sie physische Sicherheitsmaßnahmen
    Platzieren Sie Terminals an Orten, an denen das Personal sie immer sehen kann, um das Manipulationsrisiko zu verringern.

  • Überwachen Sie Transaktionen
    Überprüfen Sie Ihre Transaktionsaufzeichnungen auf ungewöhnliche Aktivitäten. Wenn ungewöhnliche Muster schnell entdeckt werden, kann das weitere unbefugte Transaktionen verhindern.

  • Nutzen Sie vertrauenswürdige Anbieter
    Entscheiden Sie sich für Zahlungsterminals von Anbietern mit gutem Ruf im Hinblick auf Sicherheit und Kundenservice.

Darauf sollten Sie bei der Wahl eines Kartenterminalanbieters achten

  • Sicherheitsvorfälle
    Sehen Sie sich die Vergangenheit des Anbieters im Hinblick auf die Sicherheit an. Lesen Sie Bewertungen und Fallstudien, um zu sehen, wie mit früheren Sicherheitsproblemen umgegangen wurde.

  • Einhaltung von Standards
    Vergewissern Sie sich, dass der Anbieter Sicherheitsstandards der Branche einhält, beispielsweise den Payment Card Industry Data Security Standard (PCI DSS).

  • Sicherheitsfunktionen
    Suchen Sie nach Anbietern mit Terminals, die über fortschrittliche Sicherheitsmaßnahmen verfügen, wie End-to-End-Verschlüsselung und Tokenisierung.

  • Support und Reaktionsschnelligkeit
    Wählen Sie einen Anbieter, der leistungsstarken Kundensupport bietet und auf eventuell auftretende Sicherheitsprobleme schnell reagieren kann.

  • Transparente Richtlinien
    Anbieter sollten klare Richtlinien über Datenverarbeitung, Datenschutz und die Maßnahmen haben, die zum Schutz von Transaktionsdaten ergriffen werden.

Wenn Sie sich an diese Strategien halten – und Partner wählen, die der Sicherheit einen ebenso hohen Stellenwert einräumen wie Sie selbst – können Sie die mit NFC-Zahlungen verbundenen Risiken erheblich reduzieren.

Wenn Sie NFC-Zahlungen mit Stripe akzeptieren, finden Sei hier weitere Informationen darüber, wie Stripe sie sicherer macht.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.