Pitch von Apple Pay: Einfacher ist besser. Aber einige Sicherheitsexperten sind anderer Meinung.

Als Apple im vergangenen Herbst seine Pay-by-Smartphone-Funktion einführte, warb das Unternehmen für die Einfachheit des Setups. Alles, was die Käufer tun mussten, war, ihr iPhone vor einem speziellen Scanner an der Kasse zu winken – ohne in Taschen und Geldbörsen nach Plastikkarten oder Ausweisen zu fummeln.

Aber ein starker Anstieg von Berichten über betrügerische Apple Pay-Transaktionen wirft Fragen zur Sicherheit des ersten mobilen Zahlungssystems auf, das einen Maßstab für den Erfolg der Bevölkerung gefunden hat. Ein Zahlungsanalyst, Cherian Abraham, schätzte, dass bis zu 6 % der Apple Pay-Käufe werden mit gestohlenen Kreditkarten oder dem 60-fachen der altmodischen Plastikdurchschlagsrate abgeschlossen.

Das Problem ist, dass Apple Pay möglicherweise zu einfach einzurichten ist, sagten Sicherheitsanalysten. Betrüger laden gestohlene Karten auf iPhones, um Dinge in Geschäften zu kaufen. Wie sich herausstellte, wäre es möglicherweise besser gewesen, wenn Apple Pay von den Benutzern verlangt hätte, mehr zu tun, um ihre Identität nachzuweisen, wenn sie sich für den Dienst anmelden, sagten diese Experten.

Das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit hat Technologen seit langem verteufelt, insbesondere diejenigen, die auf ein neues Zahlungssystem drängen, um die für Diebe sehr anfälligen Plastikkarten zu ersetzen. Dieser Bedarf ist dringlicher geworden, da Kreditkarten-Hacks – wie diejenigen, die Target und Home Depot in den letzten Jahren heimgesucht haben – an Umfang und Häufigkeit zugenommen haben.

Mobile Payment bietet eine mögliche Lösung. Sie gelten als viel schwieriger zu hacken als herkömmliche Zahlungssysteme. Und sie vermeiden das Durchziehen – ein entscheidender Fortschritt, da viele Kreditkartennummern von gefälschten Kartenlesern gestohlen werden. Aber Verbraucher, Banken und Einzelhändler haben die Technologie nur langsam angenommen, teilweise wegen ihrer Komplexität.

Kevin Lynch von Apple spricht am 9. März in San Francisco über die Apple Pay-Funktion der neuen Apple Watch. (Eric Risberg/AP)

Apple Pay wurde im Oktober eingeführt und wurde als einfach zu verwenden in Rechnung gestellt, und die Zahl der Geschäfte und Banken, die den Dienst akzeptieren, ist in den letzten Monaten stetig gewachsen. Apple rühmt sich, dass Apple Pay mittlerweile an Hunderttausenden von Filialen akzeptiert wird. Laut Bank of America haben Kunden in den ersten zwei Monaten von Apple Pay 1,1 Millionen ihrer Kredit- und Debitkarten zu Apple-Geräten hinzugefügt. JPMorgan Chase zitierte eine ähnliche Zahl.



Doch Betrugsmeldungen lassen Händler und Banken nun innehalten.

„Die Emittenten waren wahrscheinlich so begierig daran beteiligt zu werden, dass sie Best Practices vergessen und einige Verfahren umgangen haben, die sie normalerweise gehabt hätten, um Apple Pay zu akzeptieren“, sagte Michelle Evans, Senior Analyst für Consumer Finance bei Marktforschungsunternehmen Euromonitor.

Das wesentliche Problem bei Apple Pay sei die Einrichtung, sagten Sicherheitsanalysten. Nutzer müssen lediglich die App auf ihrem Smartphone öffnen und eine Kreditkartennummer, das Ablaufdatum und den drei- oder vierstelligen Verifizierungscode eingeben. Apple stuft die Verbraucher als sicher oder riskant ein, basierend auf dem, was es über ihre Kaufgewohnheiten in seinen Geschäften oder bei iTunes weiß. Die Bewertung von Apple und die Kreditkarteninformationen werden an den Kartenaussteller gesendet, der entscheidet, ob ein Benutzer abgelehnt wird oder nicht.

In den meisten Fällen fallen die Entscheidungen von Apple und den Kartenherausgebern innerhalb weniger Sekunden.

Im Vergleich zu herkömmlichen Kreditkarten tut Apple Pay nicht genug, um schlechte von guten Verbrauchern zu unterscheiden, sagten Sicherheitsanalysten. Das habe es Skrupellosen leicht gemacht, Banken und andere Finanzunternehmen dazu zu bringen, gestohlene Karten zu genehmigen, sagten sie.

Kriminelle können Kreditkartennummern und ihre Verifizierungscodes im Bündel kaufen – und das günstig – online, sagte Cybersicherheits-Blogger Brian Krebs. Sie stecken diese Zahlen dann in entsperrte Apple-Geräte, die schwer zu verfolgen sind.

Hayley Tsukayama von der Washington Post zeigt, wie man das neue Apple Pay-System nutzt, Apples Schritt in die mobile Zahlungsbranche. (Hayley Tsukayama und Jhaan Elker/The Washington Post)

„Viele der Betrüger [bei den Banken] waren verärgert, dass sie sich darauf einstürzten, ohne darüber nachzudenken“, sagte Avivah Litan , ein Sicherheitsanalyst bei Gartner. „Man kann sich überhaupt nicht auf iTunes verlassen – sie sollten ihre eigenen Prozesse und ihre eigenen Aufzeichnungen verwenden.“

Betrügerische Einkäufe im stationären Handel werden von den Kartenherausgebern und Banken gedeckt. Und Apple sagte, es sei an ihnen, die Prüfung von Apple Pay-Antragstellern zu verstärken.

„Apple Pay ist so konzipiert, dass es extrem sicher ist und die persönlichen Daten eines Benutzers schützt“, sagte Apple in einer Erklärung an die Washington Post. „Während der Einrichtung verlangt Apple Pay von den Banken, jede einzelne Karte zu überprüfen, und die Bank bestimmt und genehmigt dann, ob eine Karte zu Apple Pay hinzugefügt werden kann. Banken überprüfen und verbessern ständig ihren Genehmigungsprozess, der je nach Bank unterschiedlich ist.“

Aber wenn Kartenaussteller einen viel komplizierteren Antragsprozess für Apple Pay einführen – oder eine Vielzahl verschiedener Verfahren einführen – würde dies mit ziemlicher Sicherheit die Anmeldung verlangsamen oder die Verbraucher insgesamt abschrecken.

„Ein konsistenter Prozess ist zum Vorteil der Verbraucher“, sagte Jason Malo, CEB TowerGroups Spezialist für Cybersicherheit.

Die Angst vor Apple Pay könnte zunehmen, da Apple und andere Unternehmen, die mobile Zahlungsdienste anbieten, Online-Käufe ins Visier nehmen, sagte Amitabh Saxena, der Gründer des Beratungsunternehmens für digitale Zahlungen Digital Disruptions. Bei Online-Betrug haftet der Händler und nicht die Banken.

'Ich denke, Online-Händler haben berechtigte Bedenken', sagte er. 'Sie werden wissen wollen, wie viele fehlerhafte Karten sich im System befinden, und das könnte ihnen etwas mehr Pause geben.'

Andere sagen jedoch, dass dieser Betrug in seiner jetzigen Form eher ein wachsender Schmerz als ein großes Problem für Apple Pay oder andere mobile Zahlungssysteme auf der ganzen Linie ist.

„Das ist eher ein Implementierungsproblem als die Technologie selbst“, sagte Krebs, der Sicherheitsblogger. Egal, wie man es aufschneidet, sagte er, die technische Strategie von Apple sei „ein solider und ein viel besserer Ansatz, als sich auf diese unsicheren Streifen“ auf Plastikkarten zu verlassen.

Und während Apple seinen Ruf verlieren könnte, während Schlagzeilen über Betrug fliegen, sagten andere Sicherheitsanalysten, das Unternehmen sollte in der Lage sein, dies zu überstehen.

„Kriminelle werden immer dem Geld folgen und Zahlungskartenbetrug wird immer ein Thema sein“, sagte Darren Hayes , ein Assistenzprofessor an der Pace University, der Cybersicherheit studiert. „Aktuell hat Apple Pay ein sehr großes Ziel auf dem Rücken.“

Korrektur: In einer früheren Version dieser Geschichte wurde fälschlicherweise angegeben, dass die Apple Pay-Kreditkarteninformationen von Verbrauchern an Apple gesendet werden. Dieser Beitrag wurde auch aktualisiert, um deutlich zu machen, dass Kartenaussteller und nicht Apple entscheiden, ob ein Benutzer, der versucht, sich für Apple Pay anzumelden, akzeptiert oder ablehnt.