Die Coronakrise hat dem kontaktlosen und mobilen Bezahlen im stationären Handel Supermarkt einen Schub verpasst. Wie funktioniert das mobile Bezahlen mit Apple Pay und Google Pay? Was sind die Unterschiede gegenüber der Kreditkarte oder Girocard?
Bereits Ende der 90er-Jahre haben Unternehmen erste Versuche unternommen, das Smartphone zur Geldbörse zu machen. Die Idee: Statt Karten mit sich herumzutragen, kann man einfach direkt mit dem Handy bezahlen. Es entwickelten sich ganz unterschiedliche Lösungen und Systeme, die heute längst vergessen sind. Unter anderem die auf NFC (Near Field Communication) basierende Lösung "Mpass", an dem sich O2, Vodafone und die Telekom beteiligten, oder "Yapital", die mithilfe eines QR-Codes Payment ins Smartphone bringen wollten.
Seitdem hat sich viel getan und NFC hat sich am Bezahlterminal als Standard durchgesetzt. An allen Terminals, die das Symbol mit der Welle tragen, können Kund:innen kontaktlos und mobil mit dem Smartphone bezahlen.
Das Icon, das auf Karten und Terminals prangt, erinnert ganz bewusst an das WLAN-Icon auf jedem Computer. Denn die für das kontaktlose Bezahlen nötige Technik, die „Near Field Communication“ (NFC), funktioniert ebenfalls drahtlos.
NFC ist dem Bluetooth-Standard, den die Nutzer:innen von Smartphones und Computern kennen, nicht unähnlich. Allerdings wurde er gezielt auf eine geringe Reichweite von wenigen Zentimetern entwickelt. Durch die kurze Distanz sind unbeabsichtigte Verbindungen nahezu ausgeschlossen.
NFC arbeitet im Frequenzband von 13,56 MHz mit einer Übertragungsrate von maximal 424 kBit/s und einer Reichweite von bis zu 10 Zentimetern. Bei NFC-Geräten gibt es zwei Betriebsarten: Im passiven Modus einer Smartcard oder der Emulation einer Smartcard bezieht der Chip seine Energie aus dem Feld einer im aktiven Modus arbeitenden Gegenstelle. Das ist dann etwa das Kassenterminal, das über eine eigene Stromversorgung verfügt.
Im aktiven Modus arbeitet das Gerät als Lesegerät oder befindet sich im Peer-to-Peer-Modus zum Datenaustausch zwischen zwei Geräten. Auch das Smartphone kann im aktiven Modus arbeiten. Darauf basieren Lösungen, die aus einem Smartphone mit NFC-Chip ein Lesegerät für Karten oder andere Smartphones machen.
Im Alltag dürfte die Funktionsweise der NFC-Technik für die Kundschaft kaum eine Rolle spielen. Sie entscheidet spontan, ob sie lieber mit physischer Kredit-, Debit- oder Girokarte bezahlt oder stattdessen zum Smartphone greift. Während der technische Ablauf der Transaktion aus Sicht der Händler:innen identisch ist, gibt es aus Sicht der Banken aber einen wesentlichen Unterschied. Denn bei den Transaktionen mit Apple Pay, Google Pay und Samsung Pay kommt ein weiterer Player ins Spiel. Die Kund:innen zahlen nicht mit der Karte ihrer Bank, sondern mit der Lösung der Tech-Konzerne. Und die haben damit Zugriff auf die Transaktionshistorie. Und einen Fuß in der Tür, um eigene Payment- oder Kontenmodelle zu etablieren; mit anderen Worten selbst zu einer Bank zu werden. In diese Richtung gehen etwa die Aktivitäten von Google in den USA, wo es zu Google Pay ein Kontomodell gibt und die App sich auch mehr in Richtung Finanzverwaltung entwickelt.
Aus Sicht der Banken ebenfalls relevant: Wer bei den Bezahlverfahren auf dem Handy mitmachen darf, entscheiden die Anbieter. Die müssen sich also vorher mit Apple oder Google über die Zusammenarbeit verständigen.
Aus Sicht der Nutzer:innen besteht ein wesentlicher Unterschied zwischen Smartphone und Karte darin, dass die Services auf dem Handy als Wallet arbeiten. Sie können mehrere unterstützte Karten respektive Konten hinterlegen, um dann vor der Transaktion auszuwählen, welches Konto belastet wird. Anders gesagt: Das Smartphone ist am Ende nur ein anderer Formfaktor im Vergleich zur Kreditkarte.
Wie eine GfK-Studie im Auftrag von Mastercard im vergangenen Jahr ergeben hat, liegen kontaktloses und mobiles Bezahlen eindeutig im Trend. Demnach gaben in der aktuellen Umfrage 61 Prozent an, in den vergangenen 12 Monaten kontaktlos gezahlt zu haben. Im Jahr 2020 waren es noch 58 Prozent. 21 Prozent bezahlt inzwischen immer kontaktlos, wenn dies möglich ist.
Beim mobilen Bezahlen verwenden die Nutzer:innen in Deutschland am häufigsten Google Pay (34 Prozent) oder Apple Pay (32 Prozent). 16 Prozent bevorzugen die mobile Bezahl-App ihrer Bank oder Sparkasse.
Google Pay, Apple Pay, Samsung Pay: Welche Banken machen mit
Ganz grob lässt sich für Google Pay und Apple Pay sagen, dass inzwischen nahezu alle größere Banken die Systeme unterstützen. Google und Apple bieten auf ihren Supportseiten auch eine aktuelle Übersicht:
Liste der Partnerbanken von Apple Pay
Liste der Partnerbanken von Google Pay
Einen Sonderweg beschreitet Samsung mit Samsung Pay. Hier werden keine bestehenden Karten virtualisiert. Bei Samsung Pay erhalten die Nutzer:innen eine eigene virtuelle Karte, die von der Solarisbank stammt und mit der jedes beliebige Bankkonto als Referenzkonto angelegt werden kann.
Wenn Kriminelle etwas mit den Zahlungsinformationen eines anderen anfangen wollen, müssen sie zwei Probleme lösen. Zunächst müssen sie erst einmal an die Informationen gelangen. Und dann auch noch (unbemerkt) einsetzen.
NFC funktioniert nur auf geringe Distanz: Täter müssen also entsprechende Einrichtungen für das Auslesen der Daten in der Nähe der Opfer respektive des Bezahlterminals aufstellen und unterhalten. Somit könnten sie an die gespeicherten Informationen gelangen. Besonders vorsichtige Nutzer:innen vergessen schnell, dass diese Daten ohnehin auf jeder Karte aufgedruckt sind. Insofern dürften sie ihre Karten auch nicht im Restaurant oder einem Laden aus der Hand geben.
Die deutlich größere Herausforderungen für die Täter ist dann aber der eigentliche Missbrauch. Kontaktlose Zahlungen ohne die Eingabe der PIN sind nur bis zu einem überschaubaren Betrag möglich. Größeren Schaden würden sie nur dann verursachen können, wenn sie mit den Karteninformationen auch in einem Onlineshop einkaufen könnten. Hier fehlt ihnen dann aber der zweite Sicherheitsfaktor, der für eine starke Authentifizierung nötig ist. Und die ist nahezu flächendeckend umgesetzt.
Unter dem Sicherheitsaspekt gehen die Wallet-Lösungen auf dem Smartphone sogar noch weiter. Denn dort müssen die Nutzer:innen den Zugriff erst mit dem Sicherheitsverfahren des Smartphones (Fingerabdruck, PIN usw.) freigeben. Außerdem werden die Daten der hinterlegten Karten und Konten in Form von Tokens gespeichert, die auch nur an die Terminals übertragen werden. Diese sind für den Täter in einem Onlineshop nutzlos.
Kurzum: Es gibt ein Risiko bei NFC, aber das ist überschaubar. Für Kriminelle deutlich attraktiver sind manipulierte Geldautomaten oder Zahlungsterminals. Das ist aber auch deutlich komplizierter in der Umsetzung.
Maik Klotz ist Berater, Sprecher und Autor zu den Themen Banking, Payment, Digital Identity, E-Commerce und Retail. Er wurde von der Süddeutschen Zeitung in der Serie „Impulsgeber“ der Branche porträtiert und moderiert und spricht auf vielen Branchen-Events. Maik ist Co-Founder von Payment & Banking.
