Seit der Ankündigung von Apple Pay im Herbst letzten Jahres ist einige Zeit vergangen und das Unternehmen aus Cupertino lässt keine Möglicheit aus, den Erfolg des neuen Bezahlsystems zu erwähnen, welches es jetzt, nach nur kurzer Zeit, bereits in den USA habe. Vermutlich wird es nicht mehr lange dauern, bis auch in Deutschland die ersten Banken das Bezahlen per Apple Pay zulassen…
Zulassen? Was hat es damit auf sich? Warum muss meine Bank das Bezahlsystem zulassen, und vor allem – schließlich sind wir hier bei den datenschutz notizen – ist das Verfahren wirklich anonym und sicher?
Anlass für diesen Beitrag ist ein sehr interessanter, weil detaillierter Bericht von Cosmin Ene auf der Plattform t3n über das Bezahlsystem, in dem die Details des Registrierungs- und Bezahlprozesses erläutert werden.
Beginn des Registrierungsprozesses ist die Erfassung der eigenen Kreditkartendaten, entweder per Kamera oder manuell, die Karte wird dann der App „Passbook“ hinzugefügt. Diese Daten werden nun verschlüsselt an Apple übertragen. Dort wird zum einen der Kreditkartenanbieter (VISA, Mastercard etc) und die herausgebende Bank identifiziert. Und nun kommt der (erste) Clou: Die ausstellende Bank erzeugt eine eindeutige, einmalige Gerätekontonummer (Device-Account-Number, DAN) sowie einen Schlüssel zur Erzeugung von digitalen Einmal-Sicherheits-Codes, ähnlich der bekannten TANs. Apple verknüpft diese beiden Codes nun mit dem Sicherheits-Chip auf dem Endgerät (sog. „secure element“), ohne zu diesem Zeitpunkt den Inhaber des Gerätes zu kennen. Lediglich ein Teil der DAN sowie ein Teil der Kreditkartennummer werden gespeichert, damit der Nutzer seine Kreditkarten verwalten kann.
Bei der Bezahlung werden nun nur noch der Preis der Ware sowie die DAN und die einmalig generierte TAN übermittelt- und die Bank bzw. das Kreditkartenunternehmen prüft, ob die DAN zum richtigen Gerät gehört und die TAN mit dem richtigen Schlüssel generiert wurde – trifft dies zu, wird die Transaktion freigegeben. Letzteres ist quasi der zweite Clou, denn auf diese Weise werden keinerlei personenbezogene Daten übermittelt, die kompromittiert oder an Unberechtigte gelangen könnten.
Aus datenschutzrechtlicher Sicht erscheint das Verfahren geradezu paradiesisch: Der Personenbezug der Daten wird spätestens mit der Verknüpfung von Device-Account-Nummer und Schlüssel-Generator mit dem Sicherheits-Chip des iPhone bzw. der AppleWatch entfernt. Erste Rückfrage: Was geschieht damit, wenn das Gerät zurückgesetzt wird bzw. den Besitzer wechselt? Muss der Besitzer bei Verkauf des Gerätes seine Bank informieren? Apple selbst gibt dazu den Hinweis, bei Verlust entweder das Gerät remote zu sperren („Lost Mode“) oder das Gerät direkt (remote) zu löschen – man kann (muss?) also davon ausgehen, dass damit auch die auf dem Sicherheits-Chip gespeicherten Informationen gelöscht werden.
Zweite Rückfrage: Wie sicher ist der Sicherheits-Chip bzw. das „secure element“? Den hierzu frei verfügbaren Informationen zufolge: Sehr sicher. Die im Sicherheits-Chip gespeicherten Informationen sind in keiner Weise über die auf dem Gerät installierte Software auslesbar, selbst ein physikalischer Ausbau des Chips würde – so der IT-Informationsdienst CNET – nicht zum Erfolg führen, denn der Chip registriert eine physikalische Beeinträchtigung und gibt in diesem Fall keine Informationen mehr preis.
Dritte Rückfrage: Funktioniert das System auch mit gestohlenen Kreditkarten? Hierzu gab es im Januar Berichte darüber, dass Verifikationssysteme einiger teilnehmenden Banken unzureichend seien: Nutze der Angreifer gestohlene Kreditkarten, so könne man diese, wenn die teilnehmende Bank z.B. nur ein oder zwei (dem Angreifer bekannte) Zusatzinformationen telefonisch abfrage, auch gestohlene Kreditkarten nutzen. Hierbei handelt es sich aber nicht um eine Schwachstelle von ApplePay, sondern der Banken. Mittlerweile nutzen viele Banken jedoch bereits eigene Apps, um sicherzustellen, dass der Verwender der Karte auch der tatsächlich Berechtigte ist.
Bleiben aus datenschutzrechtlicher Sicht Wünsche offen? Wenn man von den m.E. im Alltag nicht sehr missbrauchsgeneigten Fingerabdruck-Hacks einmal absieht, eigentlich nicht. Für ApplePay von uns aus also durchaus ein „Like!“