NFC - Near Field Communication

Near Field Communication, kurz NFC, ist eine drahtlose Übertragungstechnik, die zum kontaktlosen Datenaustausch zwischen Geräten oder Gegenständen mit einer Distanz von bis zu 10 Zentimetern dienen kann. Bei den zuständigen Standardisierungsgremien wurde die technische Seite von NFC umfangreich spezifiziert (ISO 18092, ECMA 340, ETSI TS 102 190).

Die typischen Anwendungen von NFC sind der Austausch von Informationen zwischen zwei nahe aneinander gehaltenen Geräten oder Gegenständen. Beispielsweise kann man so den Zugriff auf Inhalte gewähren und Dienste, wie kontaktloses Bezahlen oder elektronisches Ticketing, realisieren.
Letzteres wird auch über bildgebende Verfahren realisiert. Das heißt, es wird ein Barcode auf dem Smartphone-Display angezeigt und von einem Scanner abgetastet. Dieser Vorgang ist leider fehleranfällig und lässt zu viel Raum für Manipulationen, und schließt sich somit bei vielen Anwendungen aus Sicherheitsgründen aus.

Die NFC-Technik stammt aus dem Jahr 2002 und wurde von der ehemaligen Philips-Tochter NXP zusammen mit Sony entwickelt. Dabei wurde auf Standards wie Bluetooth und RFID zurückgegriffen. An der Weiterentwicklung von NFC sind die im NFC-Forum organisierten Firmen beteiligt.

NFC-Technik

  • Frequenzband: 13,56 MHz (lizenzfrei)
  • Übertragungsrate: 106 kBit/s, 212 kBit/s und 424 kBit/s
  • Reichweite: maximal 10 Zentimeter
  • Betriebsarten: Lese-Schreib-Modus, Peer-to-Peer-Modus, Kartenemulationsmodus

Der Funkstandard NFC wurde gezielt auf eine geringe Reichweite im Zentimeterbereich entwickelt, um das Ausspähen der übertragenen Daten zu erschweren. Durch die extrem kurze Distanz sind unbeabsichtigte Verbindungen nahezu ausgeschlossen. NFC arbeitet im Frequenzband von 13,56 MHz mit einer Übertragungsrate von maximal 424 kBit/s und einer Reichweite von bis zu 10 Zentimetern (je nach Anwendung auch mehr).
Technisch ist NFC durchaus mit RFID und Bluetooth vergleichbar. Dabei sind diese Funksysteme keine Konkurrenz zueinander. Bluetooth und RFID werden typischerweise mit einer Reichweite über einen Meter betrieben.

Jedes NFC-Gerät unterstützt zwei Betriebsmodi. Neben den passiven Chips, die von aktiven Strom-versorgten Lesegeräten abgefragt werden, arbeiten NFC-Geräte sowohl im aktiven als auch im passiven Modus.

Passiver Modus

Im passiven Modus ist der Gegenstand eine Smartcard oder das Gerät emuliert eine Smartcard. Ein Datenaustausch kann auch dann erfolgen, wenn das Gerät ausgeschaltet ist. Im passiven Modus zieht NFC die Energie aus dem RF-Feld einer aktiven Gegenstelle.
Mit dieser Technik ist es möglich, Anwendungen zur Identifikation und Abwicklung von Transaktionen zu integrieren. Zum Beispiel Fahrscheinkauf und das Bezahlen mit dem Smartphone.

Aktiver Modus

Im aktiven Modus fungiert das Gerät als Lesegerät oder arbeitet im Peer-to-Peer-Modus zum Datenaustausch zwischen zwei Geräten. Hierfür benötigt das Gerät eine eigene Energiequelle. Als stationärer Betrieb oder mit einem Akku.

NFC-Standards

  • NDEF (NFC Data Exchange Format) spezifiziert wie sich Daten plattformübergreifend mit NFC austauschen lassen.
  • SNEP (Simple NDEF Exchange Protocol) ermöglicht den direkten Austausch von Daten zwischen zwei NFC-fähigen Geräten. Es hebt die Unterschiede zwischen den beiden NFC-Modi peer-to-peer und read/write auf. Dazu definiert SNEP zwei einfache Nachrichten (GET und PUT) und einen Standard-Server, der lediglich PUT-Requests akzeptiert und nur Nachrichten entgegen nimmt.
  • SWP (Single Wire Protocol) ist eine Hardware-Schnittstelle zwischen SIM-Karte und NFC-Chip, um NFC-Anwendungen in der SIM-Karte eines Mobilfunktelefons zu steuern. SWP wurde als Standard vom ETSI verabschiedet.

Anwendungen

  • In Parkhäusern können mit NFC-Technik ausgestatteten Handys die Schranken öffnen.
  • Bargeld- und kontaktlose Zahlung beim Einkaufen.
  • An touristisch interessanten Orten stehen Terminals, die Informationen und Erläuterungen zu den jeweiligen Sehenswürdigkeiten versenden.
  • Digitale Eintrittskarte bei Großveranstaltungen.

Anwendung: Automatisches Pairing für Bluetooth

Das Verbinden zweier Geräte (Pairing) gilt bei Bluetooth als äußerst umständlich. Aus Sicherheitsgründen muss man die Verbindung zwischen zwei Geräten auf beiden Seiten immer manuell bestätigen. Statt dem händischen Bluetooth-Pairing würde man bei NFC die beiden Geräte einfach nur aneinander halten. NFC würde das Pairing zwischen den Geräten einleiten. Danach würden sich die Geräte über Bluetooth miteinander verbinden und Daten austauschen. Mit NFC wäre das Verbinden, z. B. zwischen Headset und Handy, mit weniger Aufwand verbunden.

Anwendung: Bargeldlos Bezahlen mit NFC-Kreditkarte oder Smartphone (Mobile Payment)

Das größte Potential für NFC ist das bargeldlose Bezahlen. Gerne wird es als Mobile Payment bezeichnet. Die NFC-Technik ist in der Regel in jeder Bank- und Kreditkarte enthalten. Kleine Beträge können mit diesen Karten kontaktlos auch ohne PIN-Abfrage bezahlt werden.
Die NFC-Funktion kann auch in einem Smartphone integriert sein. Während die Bank- oder Kreditkarte rein passiv arbeiten, beherrscht das Smartphone unter Umständen auch den aktiven Modus. Die Idee dahinter ist, die Kreditkarte nicht mehr mitzuführen, sondern direkt ins Smartphone als Anwendung zu integrieren und kontaktlos zu bezahlen.
In Ländern, in denen die Kreditkarte ein gängiges Zahlungsmittel ist, ist kontaktloses Bezahlen per Smartphone üblich. Die einzige Voraussetzung ist, dass das Bezahlterminal an der Kasse auch über NFC verfügt und die Zahlung per Smartphone annimmt.

Wie sicher ist NFC?

Über NFC gehen immer mal wieder Gerüchte um Sicherheitsrisiken herum. Insbesondere im Bereich des kontaktlosen Bezahlens mit Mobile-Payment-Systemen nach dem EMV-NFC-Standard. Dazu muss man wissen, dass der Mikrochip in der Karte wahlweise durch das Kontakte-Interface oder die NFC-Antenne angesprochen werden kann. Was man verwendet ist egal, weil die Daten aus dem gleichen Chip kommen.

Was gegen kriminelles Ausnutzen spricht:

  1. Jedes Bezahlterminal darf erst ins Bezahlnetz der Kartenunternehmen, wenn vorher ein Akzeptanzvertrag geschlossen wurde.
  2. Der Dieb müsste das Terminal zwingend mit einem Bankkonto koppeln – und ein Konto kann man nur mit Identitätsnachweis eröffnen.

Jede heimlich durchgeführte Phishing-Transaktion würde über die Terminal-ID direkt zum Betrüger führen. Für Kriminelle ist das zuviel Offenbarung.

Die Angst vor einer unbemerkten und unberechtigten Nutzung der NFC-Funktion der eigenen Bank- oder Kreditkarte ist also ungegründet. In der Regel ist die Gefahr an einem kompromitierten Kartenterminal oder Bankautomat zu bezahlen höher. Denkbare Angriffsszenarien über NFC sind unpraktikabel und sehr aufwändig.

Auch die Angst vor dem Bezahlen mit dem Smartphone ist unbegründet. Beim Smartphone schützen entweder Fingerabdruck, Tastendruck oder Gesichtsscan vor Missbrauch der Payment-Funktion an der Kasse sowie in Online-Shops. Damit ist das Bezahlen mit Smartphone sicherer als mit herkömmliche Karten mit Drahtlos-Funktion.

Bewerbung der Sicherheitsrisiken im Detail:

  • Daten auf der Bank- und Kreditkarte sind unverschlüsselt gespeichert
  • Bankkarte wird unbemerkt per Funk belastet
  • Verlorenes Smartphone

Sicherheitsrisiko: Daten auf der Kreditkarte sind unverschlüsselt gespeichert

Angeblich sind die Daten auf einer NFC-Kreditkarte unverschlüsselt gespeichert. Das ist richtig. Allerdings muss man dazu sagen, dass in Deutschland die Kreditkartennummer und das Ablaufdatum auch auf jeder Kreditkarte unverschlüsselt gespeichert sind. Diese Angaben sind sogar auf der Vorderseite einer Kreditkarte gut lesbar aufgedruckt. Dabei handelt es sich nicht um besonders sicherheitsrelevante Daten. Ganz anders dagegen sind Name des Karteninhabers und die Kartenprüfnummer (CVV) verschlüsselt gespeichert, die auch auf einer Karte aufgedruckt sind. Von erheblichen Sicherheitsrisiken kann deshalb keine Rede sein.
Technisch wäre eine vollständige Verschlüsselung möglich. In der Praxis profitiert man jedoch von einem Geschwindigkeitsvorteil bei der Verarbeitung der unverschlüsselten Daten. Dem Komfort kann man an dieser Stelle den Vorzug geben.

Sicherheitsrisiko: Bankkarte wird unbemerkt per Funk belastet

Das Szenario, dass eine fremde Person die eigene Bank- oder Kreditkarte unbemerkt per NFC-Funk belasten kann, scheint eine weit verbreitete Vorstellung zu sein. Damit das gelingt, müsste der Angreifer im Vorfeld ein enormes organisatorisches und technisches Geschick aufwenden, um zum Beispiel im Gedränge einer Menschenmenge oder Kassenschlange der Zielperson "unbemerkt" so nahe zu kommen, dass ein Abstand von unter 4 cm zwischen der eigenen Bankkarte und dem fremden Kassenterminal erreicht wird. In der Praxis ist dieses Szenario wenig realistisch. Denkbar wäre es, dass ein Angreifer mit etwas mehr Aufwand (Hardware und Energieversorgung) die Reichweite vergrößert.
Nehmen wir an, einem geübten Angreifer gelingt es mit dieser Vorgehensweise unbemerkt Zahlungen zu tätigen, dann könnte der Angreifer nur Kleinstbeträge abbuchen, da für größere Beträge immer noch eine PIN-Eingabe notwendig ist.
Und dann muss das Geld irgendwann auf ein Bankkonto gebucht werden. Sowohl Zahlungsterminal und Bankkonto sind mit einer Person oder Organisation verknüpft, die im Fall eines Betrugs ermittelbar ist. Das heißt, das funktioniert auch nur eine kurze Zeit. Im großen Stil lohnt sich das nicht, weil das Entdeckungsrisiko zu groß und die Beute durch die Kleinstbeträge zu gering ist.

Die weit verbreitete Methode, mehrere NFC-Karten übereinanderzulegen, und damit die Lesegeräte zu verwirren, schützt nicht zuverlässig. Ohne Schutzhülle mit abschirmender Wirkung, können alle Karten unbemerkt erfasst werden.
Um das beschriebene Risiko weiter zu verringern kann man die NFC-Bank- oder Kreditkarte im Smartphone registrieren und die Karte gar nicht erst mitführen. Die NFC-Funktion ist im Smartphone generell ausgeschaltet, was sich Aufgrund der begrenzten Akkulaufzeit empfiehlt. Der Bezahlende aktiviert NFC über eine App nur dann, wenn er eine Zahlung beabsichtigt. Nach der Zahlung wird NFC vom Smartphone wieder deaktiviert. Das unbemerkte Bezahlen per Smartphone ist praktisch ausgeschlossen. Außerdem ist das Verlustrisiko beim Smartphone geringer. Die meisten Menschen passen auf ihr Smartphone besser auf, also auf Ihren Geldbeutel.

Sicherheitsrisiko: Verlorenes Smartphone

Prinzipiell kann ein verlorenes oder gestohlenes Smartphone dazu führen, dass jemand anderes damit bezahlt, wenn darin eine Bank- oder Kreditkarte registriert ist. Schützen kann man sich dadurch, dass das Gerät per PIN oder Fingerabdruck vor unberechtigtem Zugriff geschützt ist. Desweiteren muss die NFC-Zahlung per Pin der Karte bestätigt werden (außer Kleinstzahlungen).
Außerdem lässt sich eine virtuelle Kreditkarte in einem Smartphone bei Verlust durch eine einfache SMS deaktivieren. Dann streikt auch das Bezahlen an einem Offline-Terminal.
Im Vergleich dazu nehmen Offline-Terminals auch gesperrte Karten an. In so einem Fall bleibt der Händler oder die Bank auf dem Schaden sitzen. Allerdings kommt man im Zweifelsfall auch als Karteninhaber in Beweisnot. Das heißt in der Regel, dass man zur Auskunft verpflichtet ist und in der Regel schriftlich bestätigen muss, dass man die Transaktion nicht ausgeführt hat.

Sicherheitsrisiko: Bewegungsprofile durch Tracking

Die Idee, eine NFC-Karte im Smartphone zu registrieren, ist generell eine gute Idee. Denn ohne Schutzhülle mit abschirmender Wirkung, können alle mitgeführten NFC-Karten unbemerkt erfasst werden.
Speziell für die Parkraumüberwachung und Logistik gibt es Long Distance NFC Reader. Diese können die eigentlich wenigen Zentimeter der NFC-Funkreichweite weit überbrücken. An Gebäudeeingängen, Fahrstühlen und sonstigen Engstellen ist das Tracking von Personen und Erstellung von Bewegungsprofilen möglich, und damit die Privatsphäre gefährdet.
Spezielle NFC-Reader könnten an bestimmten Positionen in einem Ladengeschäft aufzeichnen, wie lange sich ein Kunde dort aufhält und anschließend könnte an der Kasse geprüft werden, ob der Kunde das Produkt auch gekauft hat. Durch das Bewegungs-Tracking der NFC-Karte und anschließender Zahlung mit der Karte ist eine Verknüpfung möglich.
Hat man nur sein Smartphone dabei, mit dem man auch kontaktlos bezahlt, dann ist kein Tracking möglich, weil die NFC-Funktion nur dann im Smartphone aktiv ist, wenn man die Bezahlfunktion aufruft.

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Alles was Sie über Kommunikationstechnik wissen müssen.

Kommunikationstechnik-Fibel

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!

Alles was Sie über Kommunikationstechnik wissen müssen.

Kommunikationstechnik-Fibel

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!