Die GiroCard der Sparkassen ist nun auch für Apple Pay einsetzbar. <Q>DSGV — Die Girocard der Sparkassen ist nun für Apple Pay einsetzbar. DSGV

Datenschutz und Sicherheit sind wesentliche Versprechen des Bezahlverfahrens aus dem Hause Apple. Im Rahmen der Kooperation mit der Sparkasse, die erstmals Girocards für Apple Pay verfügbar macht, kam der Verdacht auf, dass nicht das gleiche Schutzniveau erreicht wird wie bei Kreditkarten. IT-Finanzmagazin.de fragte nach.

Seit 2018 ist Apple Pay auch in Deutschland verfügbar. Sicher und einfach ist das Verfahren. Der Hersteller von iPhones und Macs betont aber auch den hohen Datenschutz und die daraus resultierende zusätzliche Sicherheit. Denn bei der Zahlung werden nur die nötigsten Kundendaten übertragen, nicht jedoch die Kreditkartennummer. Ein Betrug mittels manipulierter Terminals bei Kreditkartenzahlungen, bei dem die Kartennummer abgegriffen wurde, ist deshalb hier nicht möglich.

Auch auf dem eigenen Smartphone wird die Kreditkartennummer nicht gespeichert, ebensowenig auf den Servern von Apple. Stattdessen erzeugt Apple eine eigene virtuelle Nummer, ein sogenanntes Token, das allein vom ausgebenden Karteninstitut dem Kunden zugeordnet werden kann, so dass der Abwicklung der Zahlung nichts entgegensteht. Aber auch diese Token sind in iPhones in einem besonders abgesicherten Speicherbereich abgelegt, der Secure Enclave.

Was ist anders?

Seit kurzem können Sparkassenkunden Apple Pay mittels Girocard nutzen – sie brauchen also keine Kreditkarte mehr. Damit erweitert sich die Einsatzmöglichkeit auf 756.000 Akzeptanzstellen, wo sie per iPhone oder Apple Watch digital bezahlen können.

Ein Leser von IT-Finanzmagazin.de wies uns darauf hin, dass bei der Girocard die Erstellung des Tokens nicht vollständig anonym sei, da hier unter anderem die Kontonummer einbezogen wird. Es stand daher die Frage im Raum, ob bei Zahlungen per Apple Pay in Verbindung mit der Girocard die Kontoverbindung des Kunden ermittelt und für Lastschriftbetrug genutzt werden könnte.

Zuordnung nicht möglich

Die Nachfrage bei S-Payment ergab, dass tatsächlich die Kontonummer bei der Token-Berechnung eine Rolle spielt. Allerdings zusammen mit weiteren Zuordnungsnummern, die weder der Kunde noch Apple noch die für Apple Pay verwendeten Geräte kennen. Die virtuelle Kartennummer, die auf diese Weise erzeugt wird, sei daher nicht weniger sicher als die Zahlung mit Apple Pay in Verbindung mit einer Kreditkarte.

„Diese Kontoverbindungsdaten können nur vom kontenführenden Kreditinstitut dem zugehörigen Kontoinhaber zugeordnet werden.“

Stephan Arounopoulos, S-Payment

Mindestens genauso sicher

Kunden müssten weder Sorgen um die Sicherheit noch um ihre Anonymität haben. Für nichtautorisierte Personen lässt sich nicht auf den Kontoinhaber schließen, so der Vertreter der Sparkassen, lediglich das kontoführende Institut kann die Verbindungsdaten dem zugehörigen Kontoinhaber zuordnen. Ebenso wenig sei es möglich, die Karte zu kopieren und auf ein anderes Gerät zu übertragen, oder über ein anderes Gerät erfolgreich girocard-Transaktionen zu erzeugen.

Darüber hinaus sei es im Girocard-System nicht möglich, nur mit den Daten einer physischen oder digitalen Karte auf anderem Wege eine Transaktion erfolgreich auszulösen – anders als bei Kreditkarten. Die Sparkassen sehen also bei der Sicherheit keine Unterschiede zwischen dem Einsatz von Kreditkarten und Girocards bei Apple Pay. Auch die Aussagen von Apple zu Datenschutz und Sicherheit seines Bezahlverfahrens haben Bestand.

UPDATE:

Wie Stephan Arounopoulos von S-Payment bestätigt, setzt sich die virtuelle Kartennummer aus Kontonummer und weiteren Kennzahlen, wie zum Beispiel der Kurz-BLZ, zusammen. Ergänzend teilt er dazu mit:

„Die Verarbeitung der Kontoinformationen über Apple Pay steht auch im Einklang mit der Vereinbarung zwischen der Deutschen Kreditwirtschaft (DK) und dem Bundeskartellamt, dass die Kartennummernsystematik der girocard nicht geändert werden darf.“

Ein aktuelles Update zu diesem Beitrag finden Sie hier:
“Girocard und die Tokenisation im Apple Wallet: Sind die Kontodaten ausreichend verschleiert?”
Die Einordnung von Rudolf Linsenbarth“hj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/110905

Hans Meiser sagt:

1. September 2020 um 15:04 Uhr

Und jetzt?
Lastschriftbetrug ist also sehr wohl möglich – schließlich ist die Kontonummer verfügbar?!
Was soll das Geschwafel von der virtuellen Kartennummer, sind das nicht nur Nebelkerzen?
M.E. schlechter Artikel, der die selbst aufgeworfene Frage gar nicht beantwortet.

Antworten

Martina sagt:

2. September 2020 um 6:30 Uhr

Zunächst mal – ELV Betrug kann immer dann stattfinden wenn man die Karte einsetzt. Alter Hut, nix neues.
Und ansonsten im Artikel steht doch, dass eine neue Nummer errechnet wird, die hat aber mit der Kontonummer nichts mehr zu tun. Mag sein, dass der Girocard Token in Apple Pay aus der Kontonummer errechnet wird. Trotzdem ist das Token aber eine völlig andere “Zahl” als die Kontonummer und läßt sich nicht mehr zurückrechnen. Wie übrigens auch bei der Tokenisierung von Kreditkartennummern. Vom Token kann man nicht auf die zugrundeliegende PAN schließen.

Antworten
1. Jonas sagt:
  
  2. September 2020 um 11:54 Uhr
  
  Und bei der Girocard ist genau das NICHT der Fall. Das „Token“ enthält die vollständige Kontonummer inklusive Bankleitzahl, anders als Visa und Mastercard.
  
  Antworten
  1. IT Finanzmagazin /AJ sagt:
    
    3. September 2020 um 15:57 Uhr
    
    Dem gehen wir noch einmal gesondert nach. Vielen Dank für den Hinweis!
    Joachim Jürschick, ITFM
    
    Antworten
  2. Martina sagt:
    
    4. September 2020 um 6:32 Uhr
    
    Das hieße dann, dass das kein Token ist, sondern die reguläre PAN verwendet wird. Die Girocard PAN ist ja letztlich nichts anderes als Prefix, Kurzblz und Kontonummer.
    
    Antworten
    1. Hans Meiser sagt:
      
      4. September 2020 um 11:36 Uhr
      
      Eben!
      Schade, dass dieser Artikel diese entscheidende Frage nicht beantwortet.

Edwin sagt:

1. September 2020 um 16:18 Uhr

Es ist schon sehr weit hergeholt, direkt von Lastchriftbetrug zu reden. Es geht doch im Wesentlichen um ELV und weniger um betrügerische Transaktionen. Um an die Kontoinformationen zu gelangen, muss selbst dann erst vom Kunden das Gerät für eine Transaktion entsperrt werden.
Ich empfehle die Fallberichte des Bundeskartellamtes zu den Händlerentgelten zu lesen, um zu verstehen, warum Sparkassen und Banken bei girocard nicht so einfach die Kontoinformationen weglassen können.

Martina sagt:

2. September 2020 um 6:34 Uhr

Apple errechnet übrigens keine Token. Das Token wird im Falle der Kreditkarten von Visa und Mastercard generiert und in der Wallet hinterlegt. Das Verfahren ist sowohl für Apple als auch für Google identisch.

IT Finanzmagazin /HJ sagt:

4. September 2020 um 17:41 Uhr

Soeben hat S-Payment klargestellt: Die virtuelle Kartennummer enthält die Kontonummer. Zugleich verweist man auf eine Vereinbarung zwischen DK und Bundeskartellamt, die die Kartennummernsystematik festschreibt (siehe Update im Artikel).

Hans Meiser sagt:

8. September 2020 um 9:14 Uhr

Ja aber was hat die angeblich nicht veränderbare Kartennummernsystematik mit der Tokenisierung zu tun? Und wie verträgt sich das mit der (zumindest von Apple) werblich besonders hervorgehobenen Anonymität im Zahlungsvorgang? Dass hier etwas im Argen liegt, erkennt man ja schon an der ausweichenden und intransparenten Kommunikation von S-Payment.

Ich bleibe bei der Bewertung; Sehr schlechte journalistische Arbeit, geht nicht über völlig unkritische Verbreitung der S-Payment Nebelkerzen hinaus.

Antworten
1. IT Finanzmagazin /AJ sagt:
  
  8. September 2020 um 11:50 Uhr
  
  Bitte lesen Sie unser Follow-Up: https://www.it-finanzmagazin.de/girocard-token-apple-wallet-sicher-analyse-111082/
  
  Mit freundlichen Grüßen,
  Joachim Jürschick/ ITFM
  
  Antworten

Wie anonym ist Apple Pay mit GiroCard?

Was ist anders?

Zuordnung nicht möglich

Mindestens genauso sicher

UPDATE:

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin

Finance-Forward-Konferenz 2024