Samsung Pay: Ein erster Blick auf die Sicherheit

Samsung Pay soll in diesem Sommer in den USA und in Südkorea eingeführt werden. Das Unternehmen gibt noch nicht viele Informationen heraus, dennoch versuchen wir, einen ersten Blick auf die Sicherheit des Systems zu werfen.

Beim Mobile World Congress in Barcelona stellte Samsung seine mobile Bezahlplattform Samsung Pay vor. Der Name zieht natürlich den Vergleich mit Apple Pay, dem größten Mitbewerber Samsungs, auf sich. Doch Samsung bietet etwas, das Apple Pay nicht hat: Magnetic Secure Transmission (MST).

MST wurde von der Firma LoopPay entwickelt, die Mitte Februar ganz still von Samsung übernommen worden ist. Während die Nutzung von Apple Pay auf Händler beschränkt ist, die NFC-fähige (Near Field Communication) Kassen haben, bedeutet die Nutzung von MST für Samsung Pay, dass damit die Zahlung mit Kassensystemen möglich ist, die Magnetstreifen lesen können. Und das ist der Großteil der Kassen-Terminals, vor allem in den USA, wo die Einführung von Chipkarten und PIN (EMV) hinterher hinkt. Laut verschiedenen Berichten unterstützt Samsung Pay auch NFC, allerdings gibt das Unternehmen noch nicht viel über das neue Zahlungssystem preis.

Wir wollen nun nicht in die endlose Apple-gegen-Samsung-Diskussion einsteigen, allerdings interessiert uns natürlich der Sicherheitsaspekt solch eines neuen und voraussichtlich erfolgreichen Zahlungssystems. Bisher gibt es nicht viele Berichte zur Sicherheit von MST oder der generellen Funktionsweise von Samsung Pay, also betrachten wir zunächst LoopPay, die Technologie, die in Samsung Pay integriert werden wird.

MST schickt einen Wechselstrom durch eine Induktionsschleife und generiert ein dynamisches Magnetfeld, das sich über eine vom Nutzer definierte Zeit verändert. Magnetstreifenleser, bei denen Sie zum Beispiel Ihre EC- oder Kreditkarte durchziehen, werden dieses Magnetfeld erkennen, wenn sich Ihr Gerät innerhalb von sieben Zentimetern bei dem Leser befindet.

Wie traditionelle Geld- oder Kreditkarten, enthält dieses Magnetfeld Ihre Zahlungsinformationen. Das Feld besteht nur so lange der Nutzer es übertragen will und bricht über sieben Zentimeter hinaus rapide zusammen, so dass sich ein Angreifer während des Zahlungsprozesses schon sehr nahe am Nutzers aufhalten muss, um Zahlungsdaten stehlen zu können. Bisher ist nicht bekannt, ob diese Technologie starke Sicherheitsverbesserungen gegenüber traditioneller Kartenzahlung bieten wird. Man kann aber davon ausgehen, dass das nicht der Fall sein wird.

In der LoopPay-App kann der Anwender auswählen, ob das Gerät das Magnetfeld die ganze Zeit, niemals, zehn Minuten lang, für acht Stunden oder jede andere wählbare Zeit ausstrahlen soll. Mit LoopPay selbst scheint es eine abnehmbare Hardware-Komponente mit Knopf zur Zahlungsübertragung gegeben zu haben. Die Anwender hätten damit das Gerät auf die Übertragung der Zahlungsdaten für eine bestimmte Zeit einstellen und dann den Knopf drücken können, um die Zahlung auszuführen.

Bei Samsung scheinen die MST-Hardware sowie der Übertragungsknopf in die Geräte eingebaut zu sein, die Samsung Pay unterstützen. Wir haben Samsung bereits gebeten, dies zu bestätigen, doch bisher veröffentlicht das Unternehmen nicht viele Informationen zu der kommenden Zahlungsplattform.

In einer Pressemitteilung erklärte Samsung allerdings, dass die Anwender nur mit dem Finger auf dem Bildschirm von unten nach oben wischen müssen, um die Samsung-Pay-App zu starten. Sie können dann die Zahlungsmethode von den in Samsung Pay gespeicherten Karten auswählen und die Zahlung mit dem in das Gerät eingebauten Fingerabdruck-Scanner autorisieren. Interessanter in Bezug auf die Sicherheit ist, dass die Pressemitteilung einen vagen Hinweis darauf gibt, die Sicherheit von Samsung Pay werde durch Samsungs sicheres Sub-Betriebssystem Knox gestärkt.

Unklar bleibt, wie die weitere Einführung sicherer Chip-und-PIN-Technologien den Erfolg eines Systems beeinflussen wird, das Magnetstreifenleser nutzt. LoopPay bietet einen ganzen FAQ-Bereich für Fragen zu diesem Thema. Die Position der Firma scheint zu sein, dass MST so sicher ist wie die Kombination aus Chip und PIN. Es wird interessant sein, zu sehen, ob Samsung andere Pläne hat, vor allem, wenn man bedenkt, dass bis Ende 2015 die Kombination aus Chip und PIN vollständig in den USA eingeführt werden soll.

Wenn Samsung es nicht schafft, Chip und PIN in Samsung Pay zu integrieren, versucht das Unternehmen, eine veraltete und unsichere Zahlungsmethode in die Zukunft zu retten.

Wenn Samsung es nicht schafft, Chip und PIN in Samsung Pay zu integrieren, versucht das Unternehmen, eine veraltete und unsichere Zahlungsmethode in die Zukunft zu retten. Zudem scheint LoopPay darauf zu setzen, dass Magnetstreifenleser noch für lange Zeit überall zu finden sein werden, wobei man absolut nicht sagen kann, wie schnell Chip-und-PIN-Systeme in den USA und anderen Ländern eingeführt werden, und ob andere Zahlungssysteme auftauchen und das aktuelle System angreifen werden.

Eine offensichtliche Frage ist die Implementierung. Wie alles von Betriebssystemen bis zu vernetzten Thermostaten: Fehler sind unausweichlich. Wir müssen die offizielle Markteinführung in Südkorea und den USA abwarten. Sobald Samsung Pay erhältlich ist, werden Sicherheitsforscher und Hacker auf Fehlersuche gehen und wir werden darüber berichten.

Man muss auch noch erwähnen, dass die offene Struktur und der Marktanteil von 76,6 Prozent von Android – zwei Gründe dafür, dass Android stärker von Cyberkriminellen angegriffen wird – Samsung Pay attraktiver für Betrüger machen könnten als das bereits eingeführt Apple Pay, das im vergangenen Monat zum Opfer eines einfachen Betrugs wurde.

Tipps
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder