Near Field Communication

Die Near Field Communication (dt. Nahfeldkommunikation, abgekürzt NFC) ist ein auf der RFID-Technik basierender internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten per elektromagnetischer Induktion mittels lose gekoppelter Spulen über kurze Strecken von wenigen Zentimetern und einer Datenübertragungsrate von maximal 424 kBit/s.

N-Mark-Logo als Kennzeichnung NFC-zertifizierter Geräte

Ein Fahrscheinentwerter der ÖBB, der auch zum Kauf des Handy-Tickets mit NFC-Technik verwendet werden kann

Bisher kommt diese Technik vor allem im Bereich Micropayment – kontaktlose Zahlungen kleiner Beträge – zum Einsatz. In Deutschland wird die Technik von der Deutschen Kreditwirtschaft, darunter z. B. Sparkassen, unter dem Namen Girogo zur Zahlung von Summen bis zu 25 Euro angeboten.^[1]Viele Hochschulen nutzen NFC-Chips in Studentenausweisen zur Zahlung kleinerer Beträge. Einige Kreditkarten haben eine kontaktlose Bezahlfunktion, die bei Beträgen bis zu 50 Euro,^[2] in der Schweiz bis 80 Franken,^[3] Zahlungen ohne Eingabe einer PIN ermöglicht. Jede Bank und jeder Kartenanbieter legt dieses Limit selbst fest, daher ist bei einigen Kreditkarten bereits unter 25 Euro eine PIN bei der Zahlung nötig. Viele Geräte für das Bezahlen mit Karte sind seit Frühjahr 2015 auch mit NFC-Lesegeräten ausgestattet und erlauben so das Bezahlen in Geschäften aller Art, von Tankstellen^[4] bis zu Discountern.^[5] Weitere Anwendungen sind beispielsweise die Übertragung von Bluetooth- oder WLAN-Authentifizierungsdaten zum Aufbau einer Kommunikation, oder das Aufrufen von Weblinks, wenn im NFC-Chip eine URL im entsprechenden Format hinterlegt wurde. Neue Anwendungsmöglichkeiten werden auch im Smart Home und Internet der Dinge erschlossen.^[6]

Merkmale

Die Übertragung erfolgt entweder verbindungslos (mit passiven HF-RFID-Tags nach ISO/IEC 14443 oder ISO/IEC 15693) oder verbindungsbehaftet (zwischen gleichwertigen aktiven Transmittern). Die verbindungslose Nutzung ist nach üblicher Definition (beispielsweise in ISO/IEC 15408, den „Common Criteria“) nicht sicher gegen Angriffe von Dritten. Die verbindungsbehaftete Lösung soll für Bezahlvorgänge sicher sein. Die mindestens zu berücksichtigenden Sicherheitsfunktionen werden auch in die Hardware der Mobilgeräte integriert. Erfolgte Qualifizierungen ausgeführter Geräte nach ISO/IEC 15408 sind bisher nicht publiziert.

Stand der Normung

Die ersten Entwürfe wurden 2002 gemeinsam von NXP Semiconductors (vormals Philips) und Sony veröffentlicht. Die Entwicklung von mehreren internationalen Normen (mehrere Dokumente ISO/IEC 13157, -16353, -22536, -28361, abschließend verabschiedet oder im Status der Abstimmung^[7]) ist nicht abgeschlossen. Der Stand der Bearbeitung ist bei der ISO veröffentlicht.

Stand der Einführung

An einer Lösung mit dem Namen ERGOSUM^[8] wird seit 2008 in Frankreich gearbeitet. Dort kooperieren die Mobilfunkanbieter Bouygues Telecom, Orange und SFR mit Banken wie Cofidis und Banque Accord sowie Handelsketten wie Auchan, Carrefour und Fnac, um die mobile Bezahlung auf Basis von NFC großflächig einzuführen. In Asien oder Polen wird NFC für Bezahldienste bereits häufig eingesetzt. Eine nicht mehr ganz aktuelle Meldung zu diesem Vorgehen stammt aus dem Oktober 2009.^[9]

Organisatorische und technische Randbedingungen

NFC soll den Austausch verschiedener Daten, wie zum Beispiel Telefonnummern, Bildern, MP3-Dateien oder digitaler Berechtigungen, zwischen zwei kurzzeitig ohne besondere Anmeldung gepaarten Geräten ermöglichen, die nahe aneinander gehalten werden, ohne dass es Fehler bei der wechselweisen Zuordnung der Paare gibt.

Mit NFC sollen Anforderungen unterstützt werden, bei denen

die Zuordnung der gepaarten Geräte ohnehin durch den oder die Benutzer erfolgt,
die Personalisierung des eingebuchten Mobiltelefons die erste Authentifizierung bietet,
die erneute Authentisierung des Benutzers je nach Kritikalität der Transaktion eingebunden werden kann,
beide beteiligten Geräte oder das Mobilgerät aktiv senden können (Verbindung kann aufgebaut werden),
bestimmte komplexe Sicherheitsmerkmale der Übertragung das unerwünschte Mitlesen ausschließen sollen,
unbeteiligte Dritte nicht durch einfaches Mithören Informationen abschöpfen können und
das Mobiltelefon als ohnehin vorhandenes Gerät als Lesegerät verwendet werden soll.

Geschichte

NFC basiert auf RFID. RFIDs ermöglichen einem Lesegerät auf Basis von Funkwellen, einen passiven elektronischen Transponder (Sender/Empfänger) für die Identifizierung, Authentifizierung und Tracking auszulesen.

1983: Das erste Patent mit der Abkürzung „RFID“ wird auf Charles Walton ausgestellt.^[10]
2002: Sony und Philips einigen sich am 25. März 2002 auf eine technische Spezifikation.^[11] Die technologischen Grundlagen von Seiten Philips stammen von Franz Amtmann und Philippe Maugars und ihren Entwicklungsteams, die dafür 2015 mit dem Europäischen Erfinderpreis ausgezeichnet werden.^[12]^[13]
2004: Nokia, Philips und Sony etablieren das Near Field Communication (NFC) Forum^[14]
2006 wird die erste Spezifikation für NFC-Tags veröffentlicht^[15]
2006 wird die Spezifikation für „SmartPoster“-Einträge verabschiedet^[16]
Nokia 6131 im Jahre 2006 ist das erste NFC-fähige Mobiltelefon^[17]
2008 startet im Dezember das vom BMBF geförderte Forschungsprojekt Mobile Hybricare mit dem Ziel, Lösungen für die intelligente Verzahnung von Produkt- (RFID- und NFC-unterstütztes Ernährungsmanagement) und Dienstleistungselementen (ärztlich, pflegerisch, medizintechnisch; Modellanwendung im ambulanten Ernährungsmanagement) zu entwickeln.^[18]
2009, im Januar, veröffentlicht das NFC-Forum Peer-to-Peer-Standards zum Übertragen von Kontakten, URLs, Bluetooth-Verbindungen etc.^[19]
Im Jahre 2011 wird auf der Konferenz „Google I/O“ in einem Vortrag „How to NFC“ veranschaulicht, wie man mit Hilfe von NFC ein Spiel startet oder Kontakte, URLs, Apps, Videos etc. weitergibt („teilen“).

Anwendungsfälle mit ortsfesten Geräten

NFC kann mit aktiven Geräten als Zugriffsschlüssel an Terminals auf Inhalte und für Dienste verwendet werden, wie beispielsweise

Bargeldloser Zahlungsverkehr (Girogo, Paypass, Visa payWave, Apple Pay, Google Pay etc.)
papierlose Eintrittskarten (E-Ticket)
Abrechnung von Beförderungsdienstleistungen (zum Beispiel Touch and Travel)
Smart Posters in der Außenwerbung
Online-Streaming oder Herunterladen von Inhalten
Zugangskontrolle
Wächterkontrollsysteme zum Nachweis der Anwesenheit eines NFC-Lesegerätes an einem bestimmten Kontrollpunkt mit montiertem oder geklebtem NFC-Tag.
Steuerung des Smartphones durch im Handel verfügbare NFC-Tags (z. B. SmartTags von Sony, TecTiles von Samsung, oder universell einsetzbare BluewaveTags)
Onlinebanking^[20]
Zwei-Faktor-Authentisierung nach dem U2F-Standard der FIDO-Allianz

Für eine problemlose Verwendung reichen jedoch die in den genannten Normen spezifizierten technischen Merkmale allein kaum aus. Über Vorschläge zur organisatorischen Einbettung ist bisher nichts publiziert.

Verbreitung bei mobilen Geräten

Von Samsung und Nokia (Nokia 6210 und Nokia C7) werden seit 2008 NFC-fähige Geräte angeboten. Im Jahr 2013 existierten weltweit über 100 NFC-fähige Mobilfunkgerät-Modelle.^[21] Weitere Hersteller, insbesondere von Android-Geräten, sind seither gefolgt. Im September 2014 hat Apple das iPhone 6 und die Apple Watch vorgestellt, die mit einem NFC-Modul ausgestattet sind.

Allgemeiner Vorteil von NFC bei Mobilgeräten ist, dass damit auch bei ausgeschalteten Geräten oder solchen mit leerem Akku eine Kommunikation via NFC möglich ist.^[22]

Mobilfunk-Dienstangebote

Eine Bezahlfunktion mit einem Mobiltelefon in bestehende SIM-Karten-Infrastrukturen zu integrieren, ist ein für die Anbieter unwirtschaftliches Modell, da diese SIM-Karten in der Regel von Netzbetreibern verwaltet werden, die Bezahlanwendung aber von einer Bank herausgegeben wird. Zudem stellt die Bank gegebenenfalls zusätzliche Sicherheitsanforderungen an die Hard- und Software. Im Oktober 2012 startete O2 als erster der Netzbetreiber den Handypayment-Dienst mpass auf NFC-Basis.^[23] Verschiedene weitere Lösungsansätze haben Mastercard, Visa und PayPal auf der MWC 2013 vorgestellt.^[24]

Bankdienste-Zertifizierung

Eine aufwendige Anforderung stellt die Bereitstellung der notwendigen Software mit verschiedenen Mobiltelefonen dar. Aus Sicht nach Stand der Technik 2009 (mit Verabschiedung der Common Criteria ISO/IEC 15408) muss die Software für jedes zukünftig auf den Markt kommende Mobilgeräte-Modell und im jeweiligen Betriebssystem (Apple iOS, Android, Symbian, Bada etc.) angepasst werden. Jede dieser Anpassungen muss von den unterstützenden Banken oder einem Institut für die Kombination von Mobilgerät, Anpassung und Bank zertifiziert werden.

Mobilgerät als Autoschlüssel

Mittlerweile können mit Hilfe des Smartphones und dessen NFC-Funktionalität bei verschiedenen Herstellern (BMW, Hyundai^[25], Mercedes^[26]) die Autotüren entriegelt und persönliche Einstellungen der Komfortoptionen im Automobil (Sitz- und Spiegelpositionen, Senderwahl) vorgenommen werden. Eine erweiterte Personalisierung wird durch das Bluetooth- oder WiFi-Pairing mittels NFC erreicht. Dabei kann, beispielsweise über einen NFC-Touchpoint in der Mittelkonsole eines Autos, das eigene Smartphone eine Bluetooth- oder WLAN-Verbindung mit dem Fahrzeug herstellen.^[27]

Smartposter

Mit Smartposter sind im Kontext von NFC Schautafeln gemeint, in welche NFC-Sender/Empfänger („tags“) physisch integriert sind. Benutzer können so z. B. mittels eines NFC-fähigen Smartphones mit dem Poster interagieren, d. h. durch Annähern an so ein „tag“ Informationen auslesen. In der Regel wird dabei nur der Hash-Wert des Tags ausgelesen, und die Logik, welche Informationen ausgetauscht werden, liegt in der Anwendung auf dem Mobilgerät. Im Gesundheitsbereich eignet sich dieses Interaktionsschema besonders zur patientenseitigen Dokumentation von Gesundheitszuständen.^[28]

Authentisierung

Über NFC können universelle zusätzliche Faktoren für die Zwei-Faktor-Authentisierung mit Betriebssystemen oder Webbrowsern kommunizieren, wie zum Beispiel Security-Tokens für den offenen U2F-Standard. Nachteilig sind die geringe Datenübertragungsrate für NFC-Tags und die resultierende schwache Transaktionsbindung (ohne galvanische Kopplung wie bei FIDO) unter verschiedenen Angriffsszenarien.

Technische Details

Der technische Ansatz bietet eine Vielzahl von Möglichkeiten, die sich für das bisher bekannte Mobiltelefon ohne Erweiterung nicht empfehlen. Grundsätzlich sind zwei Anwendungstypen erkennbar:

Kommunikation bei unmittelbarer Paarung

Die NFC-Technik basiert auf der Kombination aus Smartcard- und kontaktlosen Verbindungstechniken.^[29] Sie arbeitet bei einer Frequenz von 13,56 MHz und bietet eine Datenübertragungsrate von maximal 424 kBit/s bei einer Reichweite von nur zehn Zentimetern. Dies ist gewünscht, damit die Kontaktaufnahme als Zustimmung zu einer Transaktion gewertet werden kann. NFC ist durch ISO 14443, 18092, 21481 ECMA 340, 352, 356, 362 beziehungsweise ETSI TS 102 190 genormt.

Die Kommunikation zwischen NFC-fähigen Geräten kann sowohl aktiv-passiv als auch aktiv-aktiv sein (Peer-To-Peer), im Gegensatz zur herkömmlichen Kontaktlostechnik in diesem Frequenzbereich (nur aktiv-passiv). Daher stellt NFC eine Verbindung zur RFID-Welt dar. NFC ist größtenteils kompatibel mit weithin verwendeter Smartcard-Infrastruktur, basierend auf ISO/IEC 14443-A (z. B. NXPs Mifare-Technik) bzw. ISO/IEC 14443-B (vor allem in frankophonen Ländern) wie auch mit Sonys FeliCa-Card (z. B. Octopus-Karte in Hong Kong), die für elektronische Fahrkarten im öffentlichen Nahverkehr und für Zahlungsanwendungen genutzt werden. Seit Oktober 2015 gibt es auch eine NFC-Spezifikation basierend auf der ISO-15693-Technologie, welche meist eine etwas größere Reichweite als der ISO-14443-Standard bietet.

Wegen der extrem kurzen Reichweite ist NFC keine Konkurrenz zu Bluetooth oder Wireless LAN. Es kann aber als Ersatz für Strichcodes in den oben genannten Bereichen (elektronischer Kauf von Fahr- oder Eintrittskarten etc.) eingesetzt werden, in denen die Kapazitäten von Barcodes für die benötigten Datenmengen nicht mehr ausreichend sind. (Die DataMatrix ist zum Beispiel auf 1558 Byte pro Barcode beschränkt.) Die Verbindung zwischen Smartphone und NFC-Tag stellen Applikationen wie NFC Taginfo, NFC Reader oder Trigger her.^[30]

Vor allem wird NFC aber dort eingesetzt, wo zwei Geräte kryptografisch gesichert miteinander kommunizieren (etwa bei Bezahl-Anwendungen).

Kommunikation mit geringem Abstand

Ergänzend wird für Zugangskontrolle und -steuerung Bluetooth berücksichtigt, weil dieser neue Funkstandard (Version 4.0) weltweit verbreitet wird. Der bisher verwendete Bluetooth-Standard (Version 2.1) ist im Protokollaufbau relativ langsam (länger als eine Sekunde) und energiezehrend (Batteriezyklus kleiner als zwei Tage). Die entsprechenden Chips (Bluetooth low energy) wurden nicht vor Anfang 2011 in Großserien verwendet. Dabei werden Reichweiten von einem bis zu drei Metern erreicht (Bluetooth Klasse 3), was die Definition des NFC-Konzepts (+ 0,1 m) erkennbar verlässt.

NFC-Forum

Die Unternehmen NXP Semiconductors, Sony und Nokia gründeten 2004 gemeinsam das NFC-Forum,^[31] das die Implementierung und Standardisierung der NFC-Technik vorantreiben und die Kompatibilität zwischen Geräten und Diensten sicherstellen soll. Das NFC-Forum unterstützen auch andere Unternehmen, wie zum Beispiel American Express, Mastercard, Panasonic, Microsoft, Motorola, NEC, Samsung, Texas Instruments, Infineon Technologies, Hewlett-Packard, VISA International Service Association, Vodafone, Sprint, Postbank, Telefónica und France Télécom.

Vorbereitungen der Gerätehersteller

Lange war nur ein NFC-fähiges Mobiltelefon kommerziell erhältlich, das 6131 NFC von Nokia. Der finnische Hersteller brachte im dritten Quartal 2008 mit dem Nokia 6212 und zu Anfang 2011 mit dem Nokia C7-00^[32] weitere Geräte auf den Markt. Weitere Hersteller haben Prototypen oder NFC-Mobiltelefone in limitierter Stückzahl für Feldversuche entwickelt. 2009 und 2010 wurden weltweit rund 25 NFC-Feldversuche in den unterschiedlichsten Anwendungsgebieten gestartet, um zu untersuchen, auf welche Art diese neue Technik angewandt werden kann.

Das Smartphone Eluga von Panasonic, wie auch das Nexus 5, waren eine der ersten Smartphones, welche mit NFC-Technik ausgestattet wurden.^[33] Visa und Mastercard gaben bereits 2014 bekannt, dass es ab 2020 möglich sein wird, in ganz Europa an jedem POS-Terminal mit NFC zu bezahlen.^[34]^[35] Laut einer Umfrage vom EHI Retail Institute aus dem Jahr 2014 boten damals bereits 28 % der befragten berührungsloses Zahlen via Karte und 24 % via mobile Payment an.^[36]

Feldversuche

Im April 2006 wurde in Hanau bei Frankfurt die NFC-Technik vom Rhein-Main-Verkehrsverbund (RMV), Nokia und Vodafone nach einem erfolgreichen zehnmonatigen Feldversuch in den Regelbetrieb („NFC Handy Ticketing“) übernommen. Die Fahrkarten für das Busnetz der hessischen Stadt konnten elektronisch bezahlt, gespeichert und entwertet werden, indem NFC-fähige Handys an das jeweilige Terminal gehalten wurden. Darüber hinaus wurde in die Handys auch eine neu eingeführte regionale Freizeitkarte, die „RMV-ErlebnisCard Hanau“ integriert. Sie räumt dem Inhaber günstige Konditionen in lokalen Einzelhandelsbetrieben und bei Veranstaltungen ein.^[37]

Im Juli 2007 startete der RMV zusammen mit seinem Systempartner T-Systems sowie Nokia einen weiteren NFC-Pilotversuch in Frankfurt am Main. Hier dienten passive NFC-Funkchips (sogenannte „ConTag“) zum automatischen Starten der in Frankfurt bereits seit längerem eingesetzten Handyticketing-Lösung.

Vodafone hatte auf der CeBit 2007 in Zusammenarbeit mit der Deutschen Bahn das Projekt „Touch&Travel“ vorgestellt, das zwischenzeitlich im Fernverkehr bundesweit im Betrieb war.^[38] Zunächst war eine Variante des Motorola SLVR V7 mit NFC-Aufsatz im Einsatz, die später durch das Samsung GT-S5230N ersetzt wurden. Ab 1. Januar 2010 wurde das Pilotgebiet um die Strecken von Hannover über das Ruhrgebiet bis nach Köln erweitert. Zwischenzeitlich wurden auch die Mobilfunkanbieter T-Mobile und O2 Projektpartner.^[39] Das System wurde jedoch zum 30. November 2016 aufgrund der offenbar zu schlechten Kundenannahme außer Betrieb genommen.^[40]

Auf der WIMA-Konferenz 2009 in Monaco präsentierte Nokia sein neues NFC-Handy 6216 classic.^[41] Dieses Handy setzt auf den neuesten NFC-Chipsatz von NXP und ist das erste weltweit, welches den neuen Kommunikationsstandard SWP umsetzt.^[42] SWP zeichnet sich dadurch aus, dass es eine Kommunikation zwischen dem Secure Element (der SIM-Karte) und dem NFC-Chipsatz ermöglicht.

Auf der ECIS-Konferenz 2012 in Barcelona sind Ergebnisse von mobilen EDC-basierten Systemen im Gesundheitswesen präsentiert worden^[43] Patienten die an der amyotrophen Lateralsklerose (ALS) erkrankt sind und eine Einschränkung der Feinmotorik aufweisen, konnten in einem zwölfwöchigen Test ihren Gesundheitszustand dokumentieren. Hierfür erhielten die Patienten ein NFC-fähiges Mobiltelefon und ein Poster, das auf der Rückseite mit NFC-Tags beklebt war. Auf der Vorderseite des Posters waren Fragen zum Gesundheitszustand abgebildet, die die Patienten mit dem Mobiltelefon berühren und anschließend bewerten konnten.^[44]

Projekt Ingeborg ist ein Kulturprojekt aus Klagenfurt, Österreich. Das im Juli 2012 gestartete Projekt stellt regelmäßig regionale Kunstschaffende vor. Dabei kann durch Scannen von Smart Labels, die im öffentlichen Raum verteilt wurden, digitaler Inhalt zur vorgestellten Künstlerin oder zum vorgestellten Künstler am Smartphone abgerufen werden, wobei das Projekt mit NFC gestartet wurde, dann aber aufgrund der bekannten Limitationen von NFC bei bestimmten Betriebssystemen auf QR-Code erweitert wurde.

Echteinsatz

2005 startete der VDV eTicket-Service in Deutschland. Mit diesem kann man bargeldlos Tickets kaufen und Abos verwalten. Zur Ticketkontrolle werden spezielle Lesegeräte in Bahnen und Bussen genutzt. Heute nutzen über 400 Nahverkehrsbetriebe^[45] diese eTickets.

Mobilkom Austria startete im September 2007 berührungsloses Bezahlen bei den ÖBB und Wiener Linien.^[46] Auch in Helsinki^[47], in der Metro Moskau^[48] und im öffentlichen Nahverkehr in London^[49] werden NFC-Tags als Fahrkarten genutzt.

NFC-kompatibel ist seit 2011 auch der neue Personalausweis der Bundesrepublik Deutschland.Am 1. November 2011 führte die Deutsche Bahn an allen Fernbahnhöfen Touchpoints mit der Nahfunktechnik NFC ein.

Seit August 2012 sind alle neuen EC-Karten (Girokarten) des Sparkassenverbands und der Genossenschaften mit NFC-fähigen Chips ausgerüstet. Sie sollen für die Bezahlung von Kleinstbeträgen bis zu 20,00 Euro verwendet werden (Girogo). Der Geldbetrag wird zuvor auf die Karte am Geldautomaten, per Aboladen oder PIN-Autorisation am PoS geladen. Dieser NFC-Standard ist eine weitere Schnittstelle zum Chip. Sie soll das kontaktbehaftete Stecken der Karte (z. B. auch bei der Altersverifizierung am Zigarettenautomaten) ablösen.

Nach und nach führen Mastercard (PayPass), Visa (PayWave) und weitere Zahlkartenorganisationen neue Karten mit einem NFC-Chip ein, um den Bezahlvorgang in Geschäften zu beschleunigen und zu vereinfachen.

Eine ganz andere Einsatzmöglichkeit nutzt Sony, um mit marktüblichen Smartphones qualitativ hochwertige Fotografie zu ermöglichen. Besondere mit Basis-Technik ausgestattete Vorsatz-Objektive (Serie DSC-QX) nutzen bei direktem Andocken an das Smartphone NFC-Technik zur schnellen Kommunikation zwischen dem Smartphone und den aus Profi-Geräten bewährten Kameraobjektiven als Alternative zum hierbei langsameren und gelegentlich störungsanfälligen WLAN, das wiederum die Einsatzmöglichkeit für Entfernungen bis zu 15 m zwischen Objektiv und Gerät erweitert.

Einzelhandel

Laut einer Umfrage vom EHI Retail Institute aus dem Jahr 2014 bieten bereits 28 % der befragten berührungsloses Zahlen via Karte und 24 % via mobile Payment an.^[50] Visa und Mastercard gaben im selben Jahr bekannt, dass sie bis 2020 alle von ihnen unterstützten Kassen-Terminals in Europa derart umrüsten, dass diese kontaktloses Bezahlen per Karte und mobiles kontaktloses Bezahlen mit dem Smartphone akzeptieren.^[51]^[52]

Kunst und Kultur

In Österreich entstand mit Projekt Ingeborg ein Netzkulturprojekt, das Künstler im öffentlichen Raum auf Smart Labels vorstellt und dafür NFC-Tags nutzt.

Logistik

Die Österreichische Post nutzt NFC seit Anfang 2016 für Empfangsboxen, die in größeren Wohnhäusern installiert sind. Die im Postkasten zugestellten Benachrichtigungen enthalten einen NFC-Tag, der die Empfangsbox öffnet.^[53]

Kritik

NFC ist grundsätzlich abhängig von den Einstellungen der Handgeräte. Die Funktion kann deaktiviert werden, ist aber inzwischen für viele Anwendungen erforderlich. Allerdings funktioniert NFC nur aus sehr geringer Distanz, was die Möglichkeit eines Missbrauchs deutlich einschränkt.

Verlust- und Sicherheitsrisiken

Es kann folgende Situation konstruiert werden: Mobiltelefon weg – Geld weg – Schlüssel weg.

Die Schlüsselfunktion ist bei Bindung an die SIM-PIN-Funktion mit dem Ausschalten des Mobiltelefons nicht mehr wirksam. Bis zu diesem Ausschalten ist ein Missbrauch möglich.
Der aktuelle lokale Geldbestand wird nach Verlust des Mobiltelefons nicht wiederhergestellt. Der aktuelle Geldbestand auf dem Mobiltelefon ist nach verschiedenen Konzepten nicht an die SIM-PIN-Funktion gebunden und dann bei Verlust nicht geschützt.
Die Authentifizierung mit dem Mobiltelefon ist mit oder ohne SIM-PIN-Funktion an dieses eine Gerät oder Medium gebunden und damit generell nicht völlig unabhängig in zwei Sicherheitsmerkmalen zu implementieren.
Ohne Transaktionsbindung bleiben alle Implementierungen vergleichsweise unsicher.

Beweislage für abgeschlossene Transaktionen

Soweit das Mobiltelefon keine Belege auf Papier erzeugt oder Transaktionsdaten speichert, ist der Benutzer von der Unterstützung des Diensteanbieters abhängig. Reklamationen sind ohne dessen Beteiligung meist nicht möglich. Allerdings können die Daten zum Beispiel mit entsprechender Zugriffsberechtigung auch von einem beliebigen anderen Gerät über das Internet abgerufen werden.

Schutz des Geldvorrats bei Verlust

Bisher ist völlig unklar, welcher Mechanismus außer einer zeitbezogenen Höchstgrenze den Kontoinhaber vor unerwünschten Abbuchungen schützt, wenn das eingeschaltete Mobilgerät in falsche Hände gerät. Ebenso ist unklar, welche Sicherung die Schlüsselfunktion hat, wenn der Zugriff nicht einmal an die SIM-Karte gebunden ist.^[54]

Komplexe Lösungen zu diesem Problem werden bisher nur vereinzelt vorgeschlagen^[55] und erfordern entweder eine Bedienhandlung für ein Sicherheitsmerkmal oder eine zweite Komponente als unabhängigen Sicherheitsfaktor.

Sicherheitsrisiko bei Kreditkarten mit NFC-Chip

Funkübertragung von Information kann generell durch Attacken unbefugter Dritter ausgespäht werden. Auch Man-in-the-Middle-Angriffe sind möglich. Insbesondere der Bezahlvorgang mit Funkübertragung ist somit gefährdet.^[56]^[57]

Eine technisch wirksame Verbesserung wird durch die kombinierte Verwendung mehrerer Authentisierungsfaktoren erreicht. Auch solche Kombinationen können durch kombinierte Attacken überwunden werden.

Notwendige Sicherung seitens des Benutzers ist die Begrenzung der Bezahlvorgänge für den einzelnen Vorgang und für die Summe der Vorgänge je Periode (Tag, Monat) sowie die getrennte Aufbewahrung von Geräten und technischen Hilfsmitteln (Kreditkarte nicht zusammen mit dem Handy).

Abbuchung mit NFC-fähigen Endgeräten

Laut Report München ist diese Technik weder ausgereift noch zertifiziert und anfällig für Angriffe durch Dritte. So können mittels einer einfachen Applikation und eines NFC-fähigen Endgeräts die Kreditkartendaten etwa durch ein kurzes Darüberstreifen aus einer Entfernung von maximal 4 cm, beispielsweise über das Portemonnaie, ausgelesen werden.^[58] Mit diesen Daten kann in dem zuvor vereinbarten Verfügungsrahmen im Internet eingekauft werden, solange der Zahlungsempfänger nicht den dreistelligen optischen Card Validation Code (CVC) von der Rückseite der Kreditkarte verlangt, denn dieser wird beim Auslesen nicht übertragen.^[59]

Der CVC kann aber bei manchen Banken per Brute-Force-Methode ermittelt werden, was Report München in einem Folgebeitrag dokumentierte.^[60] Ohne Eingabe des CVC soll laut Stellungnahme der Kreditkartengesellschaften die Haftung im Betrugsfall beim Zahlungsempfänger liegen. Im Bericht unberücksichtigt blieben Kreditkarten, die zusätzlich über 3-D Secure (zusätzliche Passworteingabe oder mTAN) gesichert sind.

Es werden NFC-Schutzhüllen angeboten, die ein unautorisiertes Abbuchen verhindern sollen.^[61]

Literatur

Philipp Demeter: Near Field Communication im Handel. Peter Lang, Frankfurt 2014, ISBN 978-3-631-64518-5.
Josef Langer, Michael Roland: Anwendungen und Technik von Near Field Communication (NFC). Springer, Berlin 2010, ISBN 978-3-642-05496-9.
Andreas Prinz: Interaction Design Patterns für NFC-basierte Electronic Data Capture Anwendungen. (PDF; 877 kB) Prinz Publishing, Dieburg 2014, ISBN 978-3-9816875-0-7.
Niklaus Stadler: Mobile Tagging im Marketing: Ein Überblickswerk mit Schwerpunkten Near Field Communication (NFC) und QR-Code. AVM, München 2010, ISBN 978-3-89975-372-1.

Weblinks

Commons: Near Field Communication – Sammlung von Bildern

Nahfeldkommunikation. NFC (near field communication) bei itwissen.info
NFC Java-API für JavaME (JSR-257) (englisch)
ISO 18092
Franz Amtmann & Philippe Maugars - Near Field Communication (NFC) technology (Video, englisch)

Einzelnachweise

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

Search