Wie sicher ist NFC?
Das NFC-Forum, das die allgemeine Entwicklungsrichtung im NFC-Nahbereichsfunk festlegt, hat eine Arbeitsgruppe für Sicherheitsfragen ins Leben gerufen. Sie soll mögliche Angriffsszenarien durchspielen und Sicherheitslösungen entwickeln.
NFC ermöglicht eine Reihe neuer Anwendungen und wird eingesetzt, um dem Anwender einen mobilen und bequemen Zugang zu Daten und Services zu ermöglichen. So ist es beispielsweise möglich, mit einem NFC-fähigen Mobiltelefon ein entsprechend präpariertes Filmplakat zu berühren, um sich Informationen über den Film auf das Handy zu holen. Auf Wunsch kann der Handybesitzer auch gleich die passenden Kinokarten kaufen, ebenfalls per Telefon. Wenn er das Kino betritt, hält er sein Handy einfach an ein Lesegerät, das ihm den Weg zu den reservierten Sitzplätzen weist.
Risiken
Dem Anwender bringt die neue Technik viele Vorteile – aber auch Risiken. Woher soll er wissen, ob der Transmitter im Filmplakat nicht sein Handy ausspioniert oder das Handy veranlasst, Tickets zu kaufen, ohne ihn vorher zu fragen? Auch wenn das Telefon nicht für Transaktionen missbraucht wird, droht Gefahr, denn auf einem Mobiltelefon sind viele persönliche Daten gespeichert. Und wenn der Besitzer sich zum Kartenkauf entschließt, muss sein Handy die dafür erforderlichen Daten senden. Theoretisch können diese Daten von jedem Empfänger in der Nähe abgegriffen werden. Auch beim typischen Andrang im Kino könnte sich jemand leicht mit einem Empfänger herandrängeln und die Handydaten abfragen.
Diese und andere Sicherheitsfragen werden von der Security-Arbeitsgruppe des NFC-Forums diskutiert und mit entsprechenden Richtlinien kommentiert. Der Vorsitzende der Arbeitsgruppe, Albert Dorofeev von Sony Europe, beschreibt die Arbeit der Gruppe als „knifflig“.
„Wir können natürlich für absolute Sicherheit sorgen, aber dazu bräuchten wir Handys mit eingebauten Quantenrechnern“, erklärt er. „Da das nicht geht, müssen wir sicherstellen, dass die Sicherheitsarchitektur und die Schutzmaßnahmen auf die niedrige Leistung von NFC-Geräten abgestimmt sind.“
Für Jonathan Collins, leitender Analyst für RFID-Technik und kontaktlose Datenübertragung bei ABI Research, treten die eigentlichen Probleme bei den Anwendungen auf: „NFC setzt weitgehend auf vorhandener Technologie auf und muss ISO 14443* und andere Sicherheitsnormen erfüllen. Die Sicherheitsprobleme zeigen sich erst beim Speichern und Übertragen von Daten.“
Risikoanalyse
Kontaktlose Karten haben meist einen genau umrissenen Einsatzbereich und speichern nur Daten, die für diesen Zweck erforderlich sind. Ein NFC-Gerät muss jedoch wesentlich mehr Daten vorhalten. „Letztlich bietet ein NFC-Handy mehr Sicherheit als ein Portemonnaie“, glaubt Collins. „Die meisten Menschen bemerken den Verlust ihres Handys innerhalb weniger Stunden, während es bei gestohlenen Kreditkarten schon mal einige Tage dauern kann, bevor der Diebstahl entdeckt und gemeldet wird.“
Elektronische Geräte haben in aller Regel integrierte Sicherheitsfunktionen und können auch aus der Ferne deaktiviert werden.
Für Dorofeev ist klar, dass sich die meisten Leute beim Umgang mit NFC-Geräten überhaupt keine Gedanken über Sicherheitsfragen machen wollen: „Bei NFC geht es vor allem um mobilen Komfort, und der würde verschwinden, wenn der Anwender dauernd Passwörter eingeben muss. Wir müssen also einen Weg finden, größtmögliche Sicherheit bei möglichst wenig Bedienereingaben zu gewährleisten. Am besten wäre es natürlich, wenn der Bediener überhaupt keine Tasten drücken muss.“
NFC bringt von Haus aus einige Sicherheitsfunktionen mit. So können Daten nur über sehr kurze Entfernungen übertragen werden und es besteht nur eine geringe Gefahr, mit dem Handy unabsichtlich in den Empfangsbereich eines anderen NFC-Geräts zu kommen. Betrüger können allerdings getarnte Empfänger in der Nähe regulärer Transmitter anbringen und die laufende Kommunikation mitverfolgen.
So einfach wie möglich
Für Collins ist klar, dass NFC-Geräte erst dann eine Chance am Markt haben, wenn die Anbieter offensiv mit den Sicherheitsfragen umgehen: „Jeder potenzielle Anwender will wissen, ob es möglich ist, von seinem Handy unbemerkt Geld abzuheben, wenn er an einem Terminal vorbeigeht.“
Das Risiko lässt sich senken, wenn keine persönlichen Daten übertragen werden und wenn es eine Höchstgrenze pro Bezahlvorgang gibt. Für jede Transaktion wird ein eigener Authentifierungscode vergeben und es wird nicht möglich sein, bereits vergebene Codes ein zweites Mal zu nutzen. NFC-Geräte bieten mehr Sicherheit als kontaktlose Karten, da sie eine Schnittstelle für Benutzereingaben haben, so dass der Anwender die Transaktionen gezielt zulassen oder ablehnen kann.
Albert Dorofeev warnt die Hersteller davor, zu viel vom Anwender zu erwarten. „Der Bedienkomfort kommt an erster Stelle, denn das ist der einzige echte Vorteil der NFC-Technik“, glaubt er. „Wir müssen uns darauf einstellen und Mittel und Wege finden, wie der Benutzer sicher bezahlen kann, ohne dass er dazu Tasten drücken muss.“
*ISO 14443 ist eine internationale Norm für kontaktlose Smartcards, die auf einer Frequenz von 13,56 MHz mit Lesegeräten im Nahbereich kommunizieren.
* Pflichtfeld