Sicherheit von NFC
Mittlerweile gibt es zahlreiche Dienste und Anwendungen die Near Field Communication (NFC) nutzen. Insbesondere bei Bezahldiensten wie Google Wallet stellt sich vielen die Frage nach der Sicherheit der NFC-Datenübertragung. In diesem Artikel soll deshalb die Daten- und Übertragungssicherheit der NFC-Technik an drei Beispielen erläutert werden. Zentral sind hier die Fragen: Ist das Bezahlen via NFC sicher? Kann man bedenkenlos fremde NFC-Tags auslesen? Sind die Daten, die auf einem NFC-Tag gespeichert werden, sicher?
Der NFC-Chip im Handy
Die Konzipierung des NFC-Chips im Handy ist so ausgelegt, dass der Chip keinen Zugriff auf Daten des Gerätes hat. Es ist also nicht möglich, dass der Chip selbstständig Daten vom Mobiltelefon holt und diese versendet. Vorstellungen, nach denen ein Datenspion durch Anlegen eines Lesegerätes quasi im Vorbeigehen an sensible Daten auf dem Smartphone kommt, sind also falsch.
Der umgekehrte Weg könnte jedoch eine gewisse Gefahr darstellen. Mit infizierter Software könnten die Daten auf dem NFC-Chip im Handy teilweise ausgelesen werden. Auch kommt es immer wieder zu Falscheinschätzungen der Reichweite der Datenübertragung. Um einen NFC-Chip auslesen zu können, muss das Lesegerät bis auf wenige Zentimeter (min. 10 cm) an den Chip herangeführt werden. Das Auslesen funktioniert also nur in unmittelbarer Nähe und nicht aus größerer Entfernung. Dies ist einer der wichtigsten Unterschiede zu RFID, mit dem NFC oft verwechselt wird. Zudem ist die NFC-Funktion deaktiviert, wenn das Handy nicht entsperrt ist.
Bezahlen via NFC mit dem Smartphone
Das Bezahlen per NFC-Chip unterliegt ähnlichen, zum Teil strengeren Mechanismen wie das Bezahlen per klassischer Kartenzahlung. Mit der CVC3-Codierung unterliegt die Verschlüsselung einem höheren Sicherheitsstandard als dies zum Beispiel bei Kreditkarten der Fall ist. Der Bezahlvorgang wird zwischen Lesegerät und NFC-Chip im Smartphone synchronisiert, so dass sichergestellt wird, dass die gleiche Transaktion verarbeitet wird.
Ein einfaches Skimming, also das Kopieren und Nutzen von gespeicherten Daten wie es beispielsweise bei den Magnetstreifen von EC-Karten möglich ist, soll so verhindert werden. Sollten Daten kopiert werden, so sind diese für zukünftige Transaktionen wertlos. Höhere Beträge, die eine bestimmte Grenze übersteigen (meist 25 Euro), erfordern zusätzlich noch eine PIN-Eingabe. Diese Form der Bezahlung ist übrigens nicht ausschließich über das Smartphone möglich. Auch viele Kredit- und EC-Karten werden zunehmend mit NFC-Chips ausgestattet. Da besonders das Bezahlen via NFC mit Bedenken verbunden ist, beantworten wir weitere Fragen zur Sicherheit des NFC-Bezahlvorgangs in einem eigenen Beitrag.
NFC-Tags auslesen – immer sicher?
Bei dieser Frage sorgte Charlie Miller Mitte 2012 auf der Hackerkonferenz Blackhat in Las Vegas für einigen Wirbel. Er verkündete die erfolgreiche Übernahme von verschiedenen Android- und Nokia-Smartphones mittels NFC. Dies ist jedoch nur die halbe Wahrheit, denn zentral waren vielmehr Schwachstellen in der Software.
Im Android-Fall funktionierte die Übernahme folgendermaßen: Über einen modifizierten Tag wurde eine Webseite im Browser aufgerufen, die eine Schwachstelle im Webkit-Browser (bis Android 4.0.1) ausnutzte und die Übernahme des Smartphones möglich machte. Im Falle eines Nokia-Gerätes nutzte Miller Fehler in der Anwendung, die per NFC übermittelte Dateien und Bilder anzeigt. Durch einen Buffer Overflow konnte er das Gerät übernehmen.
Beide Fälle machen deutlich, dass die Sicherheitsproblematik nicht in der NFC-Technologie selbst, sondern vielmehr in Software-Anwendungen liegt. So wäre die Übernahme im Android-Fall auch über jede andere Schnittstelle, einen QR-Code oder einen einfachen Link möglich gewesen.
Datensicherheit auf NFC-Tags
Wenn Sie eigene NFC-Tags beschreiben, dann stellen Sie sich vielleicht die Frage, wie sicher die Daten darauf aufgehoben sind. Um es kurz zu machen: Sicherheitsrelevante und persönliche Daten sollten nicht unverschlüsselt auf NFC-Tags abgelegt werden. Die NFC-Technologie ist darauf ausgerichtet Daten schnell und unkompliziert auszulesen. Scannt man mit einem Lesegerät einen Tag, so bekommt man die darauf abgelegte Information im Handumdrehen. Das ist auch gut so, denn genau dafür sind die Tags auch da!
Manchmal möchte man vielleicht trotzdem sensiblere Daten auf einem Tag ablegen, zum Beispiel die vollständige Adresse. Hier bietet sich es an, eine Sicherheitsschleuse einzubauen, mit der Sie jederzeit ändern können, welche Information zu welchem Zeitpunkt über Ihren NFC-Chip abgerufen werden können. Diese Möglichkeit bietet Ihnen unsere NFC-vCard, bei der Sie selbst steuern können, welche Ihrer Informationen sichtbar sein sollen und dies jederzeit über Ihren Account ändern können. Für NFC-Karten bieten wir zudem spezielle NFC-Schutzhüllen an, die die Chipkarte sicher abschirmen und so das Auslesen der Daten verhindern.
Fazit
Hundertprozentige Sicherheit ist ein Versprechen, welches schwer einzuhalten ist. Dennoch ist NFC, insbesondere im Wettbewerb zu seinen Datenübertragungs-Konkurrenten, als vergleichsweise sicher einzustufen. Um die Sicherheit zu erhöhen gilt ein allgemeiner Rat, der immer Gültigkeit hat: Installieren Sie auf Ihrem Smartphone nur Applikationen ("Apps"), denen Sie vertrauen und informieren Sie sich regelmäßig über Sicherheitslücken und Updates des verwendeten Systems.