IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Mobile PaymentDie EU-Kommission möchte die Abschaffung der 500 Euro-Scheine prüfen. Kaum eine Woche vergeht, ohne dass neue Nachrichten zum Thema Bargeldabschaffung die Runde machen. Einige Applikationen für das mobile Bezahlen per Smartphone hat die PSW Group deshalb bereits getestet. 

Nun hat der Provider für Internetlösungen die kostenlosen Apps der Mobilfunkanbieter BASE und Vodafone unter die Lupe genommen. Das Ergebnis kann unterschiedlicher kaum sein.

Die finanziellen und technischen Dienstleistungen beider Mobilfunkanbieter werden von Wirecard übernommen; der Dienstleister bildet damit die Grundlage für die Zahlungsabwicklungen. „Vodafone gelingt es mit SmartPass beinah, das Bargeld zu ersetzen. Von allen von uns bislang getesteten Payment-Apps, darunter PayCash, PayPal, Number26 und mpass, schneidet SmartPass mit deutlichem Abstand am besten ab“, zeigt sich Christian Heutger, Geschäftsführer der PSW GROUP, begeistert.

Vodafones iOS- und Android-App arbeitet nach dem Prepaid-Prinzip: Nutzer müssen darauf achten, ausreichend Guthaben zur Verfügung zu haben. Die Akzeptanzstellen sind vielfältig und decken vom Alltagseinkauf bis hin zu Besonderheiten allerhand ab. Jedoch bindet sich der Nutzer von SmartPass auch an die teilnehmenden Läden und Supermärkte. „Wer dort ohnehin einkauft oder bereit ist, zu diesen Akzeptanzstellen zu wechseln, kann mit SmartPass sein Bargeld durchaus ersetzen. Und auch die Sicherheitsparameter stimmen im Großen und Ganzen. Wer ein Android-Endgerät verwendet, kann und sollte zudem auf den NFC-Sticker verzichten. Bei iOS-Geräten ist SmartPass ausschließlich mit NFC-Sticker nutzbar“, macht Christian Heutger aufmerksam.

Punkten kann SmartPass auch mit einfacher Installation, verständlichem Setup und sinnvollen Datenzugriffe. Auch die Anmeldung geht leicht von der Hand, es vergehen jedoch einige Werktage, bis die App nach Erstanmeldung genutzt werden kann. Der Leistungsumfang der App ist nicht außergewöhnlich, enthält aber mit Auflademöglichkeiten, Transaktionsübersicht, Anzeige von Kartendetails und Geld senden-Funktion alle wesentlichen Funktionen.

  • Smartpass Einstiegshürden

    Smartpass Einstiegshürden

  • Smartpass Sicherheit

    Smartpass Sicherheit

  • Smartpass Usability

    Smartpass Usability

    Kritik erntet die SmartPass-Verlustregelung

    Das Manko von SmartPass: Es werden Nutzungsentgelte fällig, ein Referenzkonto für das Aufladen von Guthaben ist unabdingbar und für die Sicherheit sind bei SmartPass die Nutzer selbst verantwortlich: Sie müssen Passwörter vor unbefugtem Zugriff schützen und verpflichten sich, die auf dem Handy gespeicherten Daten regelmäßig zu sichern, um sich vor Datenverlust zu schützen. „Bei Verlust oder Diebstahl des Mobiltelefons führt eine SIM-Kartensperrung nicht zur Sperrung der Wallet-Dienste oder der NFC-Funktion. Diese Verlustregelung empfinden wir als relativ umständlich“, warnt Heutger. Der IT-Sicherheitsexperte ergänzt: „Zum Jugendschutz haben wir in den an und für sich nachvollziehbaren AGB sowie Datenschutzerklärungen leider nichts gefunden. Auch geht hier nichts zu Serverstandorten hervor. Immerhin weist Vodafone darauf hin, dass Datensicherheit durch ein implementiertes internes Kontrollsystem, das IKS, sichergestellt wird.“

    Vodafone setzt auf SSL-basierte Verschlüsselung. Daten werden ausschließlich zweckgebunden gesammelt, es findet keine unnötige Datenweitergabe statt. Speziell die App betreffend, werden sensible Zahldaten auf dem „Secure-Element“ der NFC-SIM-Karte gespeichert. Zahlungen ab 25 Euro sind durch eine PIN-Eingabe geschützt. Kritisch sieht der IT-Sicherheitsexperte, dass zur Kaufabwicklung das Smartphone nicht eingeschaltet sein muss. „Das ist zwar äußerst bequem, denn Nutzer müssen weder die SmartPass-App öffnen noch das Display aktivieren. Dies bedeutet aber auch, dass Diebe problemlos mit dem aufgeladenem Guthaben bezahlen können. Ich empfehle deshalb diese Funktion zur eigenen Sicherheit auszuschalten", so Heutger.

    BASE Wallet mit fadem Beigeschmack aufgrund Karten-Wirrwarr und undurchsichtigem Gebührenmodell

    BASE Wallet, das E-Plus-Pendant zu Vodafone SmartPass hinterlässt bei den Testern der PSW GROUP dagegen einen faden Beigeschmack: „Nutzer von BASE Wallet benötigen einen Laufzeitvertrag von BASE sowie ein kompatibles Smartphone mit Android 4.2 oder höher. Darüber hinaus werden sie sehr umfangreich mit virtuellen wie physischen Karten belegt. Zu dem Karten-Wirrwarr kommt zudem ein nicht nachvollziehbares Gebührenmodell hinzu“, so Christian Heutger.

    So erlaubt eine Walletcard Prepaid Maestro-Karte das Zahlen per Smartphone an allen Maestro-PayPass-Akzeptanzstellen, eine virtuelle Walletcard soll bei allen MasterCard-Akzeptanzstellen eingesetzt werden können und eine physische MasterCard an allen MasterCard-Akzeptanzstellen, online wie offline: „Anwender müssen sich mindestens zwei Karten besorgen, drei sind auch möglich. Wann welche Karte eingesetzt wird, und ob Anwender den NFC-Sticker der Targobank nutzen und damit noch eine vierte gebührenpflichtige Karte erhalten, ist zudem nicht ganz einfach herauszufinden“, bemängelt Heutger.

    Punktabzug bekommt auch das Gebührenmodell sowie die umfangreichen, nicht immer nachvollziehbaren Zugriffsberechtigungen: Nicht alle Zugriffe werden für die Funktion der App tatsächlich benötigt. Dass Gebühren für das Einzahlen per Sofortüberweisung und Transaktionskosten für das Versenden von Geld anfallen, mag zum nachvollziehbaren Geschäftsmodell gehören. Dreist aber sind die verschiedenen Vertragslaufzeiten: Die für das Konto beträgt 12 Monate, die Laufzeit je Karte dagegen liegt bei 36 Monaten. Auf Nicht-Benutzung steht ab dem 12. Monat eine Gebühr von 1 Euro monatlich an.

    Auch bei der Sicherheit kann BASE Wallet trotz einiger guter Sicherheitsparameter nicht wirklich punkten: Zwar sind die AGB mit einer sehr fairen Haftungsregelung versehen – bei Verlust oder Diebstahl haftet der Nutzer für Schäden, die bis zum Zeitpunkt der Sperranzeige verursacht werden, in Höhe von maximal 150 Euro. Doch dass die Datenschutzerklärung aber nirgends auffindbar ist, stößt auf herbe Kritik: „Der Nutzer weiß damit weder ob und gegebenenfalls wohin seine persönlichen Daten weitergegeben werden, noch ob diese gespeichert werden – und wenn ja, wo“, informiert Christian Heutger.

    • Basewallet Einstiegshürden

      Basewallet Einstiegshürden

    • Basewallet Sicherheit

      Basewallet Sicherheit

    • Basewallet Usability

      Basewallet Usability

      Zahlungen sind bei BASE Wallet mit PIN möglich, Username und Passwort gewähren Online-Zugang sowie die Möglichkeit für P2P-Transaktionen. Von Wirecard erhält der Nutzer einmalig verwendbare Transaktionsnummern, die mobilen TAN. „Das mTAN-Verfahren steht aufgrund mangelnder Sicherheit in der Kritik. Erfahrungsgemäß hat bei vielen Anwendern leider Bequemlichkeit Vorrang vor Sicherheit. Viel zu häufig werden die TANs auf das Smartphone gesendet, von dem aus die Transaktion stattfindet. Um die Sicherheit zu erhalten, raten wir eindringlich, bei mTAN-Nutzung ein zweites Smartphone zu benutzen", ergänzt Heutger. Ansonsten gehört das „Secure Element“ auf der NFC-SIM sowie die PIN-Eingabe ab 25 Euro Zahlbetrag zum Standard.

      Weitere Informationen

       

      Frische IT-News gefällig?
      IT Newsletter Hier bestellen:

      Newsletter IT-Management
      Strategien verfeinert mit profunden Beiträgen und frischen Analysen

      Newsletter IT-Security
      Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet