Mit der Einführung von Apple Pay in Deutschland stellt sich für viele jetzt die Frage: Wie sicher ist das Bezahlen mit dem Handy eigentlich? Könnte womöglich ein Dieb damit auf Shopping-Tour gehen, wenn er mir das iPhone klaut? Und wo landen meine Zahlungsdaten? Schließlich gibt es immer wieder Berichte über Hackerangriffe, bei denen die Daten von Millionen Kunden von Unternehmensrechnern kopiert werden.

Volker Koppe, Digitalchef von Visa in Europa, will die Nutzer beruhigen. Bei dem Kreditkartenanbieter steht im Kern der Absicherung ein Verfahren, das als Tokenisierung bezeichnet wird. Zwar werden dem Bankkunden auf seinem iPhone die letzten Ziffern seiner Kreditkartennummer angezeigt, tatsächlich wird aber eine ganz andere Nummer gespeichert. Bei Apple Pay heißt sie "Geräteaccountnummer", bei Google Pay "Virtuelle Kontonummer". Allgemein werden solche Nummern als "Token" bezeichnet.

Dafür wird mit der Kamera des Smartphones die Nummer auf der Kreditkarte gescannt und an Visa übermittelt. Die Kreditkartenfirma überprüft dann, ob die ausstellende Bank Apple Pay anbietet. Ist die Prüfung erfolgreich, wird sozusagen eine virtuelle Kreditkartennummer erzeugt, der Token eben, an Apple gesendet und verschlüsselt auf dem iPhone gespeichert.

Die echte Kreditkartennummer hingegen bekommt Apple laut Koppe nicht zu sehen, den einmal erzeugten Token kann nur Visa dem zugehörigen Kreditkartenkonto zuordnen. Die Datentransfers zwischen dem iPhone und den Visa-Servern sind laut Koppe verschlüsselt.

Die Entkopplung von Plastik- und Mobilwelt

So werde "die Plastikwelt von der Mobile-Welt entkoppelt", sagt Koppe. Wenn man dieselbe Kreditkarte beispielsweise bei Apple Pay, Google Pay und Netflix einsetzt, wird für jeden Anbieter eine andere virtuelle Kartennummer - ein anderer Token - berechnet.

"Jeder Token, der erzeugt wird, kann spezifisch für ein Gerät (z. B. ein Smartphone), einen Händler (z. B. Netflix) oder eine Nutzungsart (z. B. E-Commerce) sein. So wird der Token für Betrüger wertlos, wenn sie versuchen, ihn zu stehlen und anderweitig zu verwenden", sagt Koppe.

Auch wenn man Apple Pay auf einem iPhone und einem iPad einrichtet, werden auf den beiden Geräten unterschiedliche Tokens für dieselbe Karte gespeichert. Der Vorteil: Verliert man etwa sein Smartphone, kann man dessen Token sperren, die dahinter liegende Kreditkarte aber weiter benutzen. Wenn umgekehrt beispielsweise die Kreditkarte gestohlen und deshalb ausgetauscht wird, würde Visa die Kreditkartendaten in seinem System aktualisieren. Die auf verschiedenen Systemen und Geräten gespeicherten Tokens könnte man weiter verwenden.

Ist das der Durchbruch?

Demnach scheint das Bezahlen mit dem Smartphone sicherer zu sein als mit der Kreditkarte, deren Nummer beispielsweise beim Bezahlen im Restaurant kopiert werden könnte. Eine solche Möglichkeit gibt es bei Apple Pay und Google Pay nicht, schon weil die Kreditkartennummer dort nie in Erscheinung tritt. Die Tokenisierung schafft zudem zusätzliche Sicherheit, weil jeder Dienst, jedes Gerät seine eigene virtuelle Kreditkartennummer hat, die bei Bedarf separat gesperrt werden kann.

Doch noch ist das Bezahlen per Smartphone in Deutschland weit davon entfernt, Alltag zu sein. Anders als in Ländern, die schon über die Abschaffung von Bargeld diskutieren, so wie Schweden, überwiegt hierzulande die Skepsis gegenüber bargeldlosen Zahlungen.

"Laut EHI Retail Institute erfolgt etwa die Hälfte der Umsätze in Deutschland noch mit Bargeld. Andere Märkte sind viel weiter als wir. In England, Frankreich, Skandinavien, Osteuropa und Spanien ist es ganz normal, dass ich meinen Zwei-Euro-Kaffee mit der Karte bezahle", sagt Koppe.

Der Visa-Manager gibt sich aber überzeugt, dass sich das nun ändern könnte. Er sagt: "Ich glaube tatsächlich, dass Apple und Google das Zeug haben, das zu ändern. Denn Apple hat den Coolness-Faktor. Und wenn sie das einmal ausprobiert haben, werden die Leute einfach merken, wie schnell das Bezahlen mit dem Handy ist. Das freut auch die Supermärkte, weil das Abkassieren schneller geht. Und in Bezug auf die Kosten macht es auch keinen Unterschied."