💳📱Apple Pay vs. Google Pay: Vergleich der Sicherheit für mobiles Bezahlen 📱💳

Bild generiert durch OpenAI's DALL·E

Apple Pay wurde im Oktober 2014 von Apple vorgestellt und ermöglichte es Nutzern erstmals, mit ihren iPhones kontaktlos zu bezahlen. Google Pay, ursprünglich als Android Pay bekannt, startete im Jahr 2015 und wurde 2018 in Google Pay umbenannt. In Deutschland sind beide Dienste allerdings erst seit 2018 verfügbar. Die NFC-Technologie bildet die Grundlage für sichere und schnelle Transaktionen bei beiden Bezahldiensten.

In den USA dominiert Apple Pay den Markt für mobile Zahlungen mit einem Anteil von 92 % im Jahr 2020, während Google Pay lediglich 3 % ausmachte. In Deutschland hingegen ist die Nutzung von Apple Pay und Google Pay weniger verbreitet, da traditionelle Zahlungsmethoden wie Bargeld und EC-Karten weiterhin bevorzugt werden. Dennoch steigt die Akzeptanz beider Dienste kontinuierlich, insbesondere in urbanen Gebieten und bei jüngeren Verbrauchern. Laut einer Studie aus dem Jahr 2023 nutzen mittlerweile 23 % der Deutschen regelmäßig mobile Bezahldienste.

Die Akzeptanz wächst kontinuierlich – Doch wie sicher sind Apple Pay und Google Pay?

Apple Pay vs. Google Pay sind moderne digitale Bezahlsysteme, die kontaktlose Zahlungen per Smartphone, Smartwatch oder Tablet ermöglichen. Beide Dienste basieren auf der NFC-Technologie, die eine drahtlose Kommunikation zwischen dem Gerät und dem Zahlungsterminal erlaubt. Dabei setzen sie auf Tokenisierung, um die sensiblen Kartendaten der Nutzer zu schützen. Anstelle der tatsächlichen Kredit- oder Debitkartennummer wird ein eindeutiger, verschlüsselter Token übertragen, der nur für diese Transaktion gültig ist.

Apple Pay speichert diese Tokens in der Secure Enclave, einem hardwarebasierten Sicherheitsmodul auf den Apple-Geräten, das physisch von anderen Teilen des Systems isoliert ist. Google Pay verwaltet und speichert die Tokens in der eigenen Cloud, wodurch eine nahtlose Synchronisation zwischen verschiedenen Geräten ermöglicht wird. Dieser Ansatz bietet eine hohe Flexibilität bei der Nutzung, da keine spezielle Hardware erforderlich ist und die Kompatibilität mit einer Vielzahl von Android-Geräten gewährleistet wird.

Im Vergleich zu physischen Karten bieten beide Dienste zusätzliche Schutzmechanismen. Transaktionen werden durch biometrische Daten wie Face ID oder Fingerabdruck (Apple Pay) beziehungsweise Fingerabdruck oder Gesichtserkennung (Google Pay) freigegeben. Zudem wird beim Verlust des Smartphones keine direkte Sperrung der Karte erforderlich, da die digitalen Tokens unabhängig von den Kartendaten funktionieren und leicht zurückgesetzt werden können.

Zusammenfassung und zentrale Erkenntnisse vorab

Im Folgenden werden die einzelnen Aspekte im Detail betrachtet. Für alle, die es eilig haben, findet sich an dieser Stelle eine kurze Zusammenfassung sowie die zentralen Erkenntnisse, die normalerweise am Ende stehen würde.

Apple Pay und Google Pay verfolgen unterschiedliche Ansätze bei der Zahlungsabwicklung, die beide auf modernen Sicherheitsstandards basieren, jedoch spezifische Stärken und Schwächen aufweisen. Apple Pay setzt auf eine lokale Verarbeitung sämtlicher sensibler Zahlungsdaten, die im Secure Element des Geräts gespeichert werden. Diese isolierte Hardware schützt Token und kryptografische Schlüssel effektiv vor Manipulationen und Angriffen. Da die Zahlungsautorisierung vollständig offline erfolgt und keine Transaktionsdaten über Apple-Server laufen, minimiert dies potenzielle Angriffsvektoren. Dies bedeutet, dass Apple weder Zugriff auf die Zahlungsinformationen hat noch personenbezogene Daten speichert.

Google Pay hingegen kombiniert cloudbasierte Verarbeitung mit der sicheren Umgebung des Android-Betriebssystems, wie dem Trusted Execution Environment (TEE) und dem Android Keystore. Diese ermöglichen die sichere Speicherung von Tokens und kryptografischen Schlüsseln auf dem Gerät. Allerdings erfordert Google Pay für die meisten Transaktionen eine aktive Internetverbindung, da die Zahlungsautorisierung über die Google-Server abgewickelt wird. Dies ermöglicht eine größere Geräteflexibilität und Synchronisation, stellt jedoch ein höheres Risiko dar, da sensible Informationen zentral gespeichert und verwaltet werden. Google Pay nutzt Tokenisierung und dynamische Kryptogramme, basiert jedoch auf einer cloudbasierten Architektur, die moderne Verschlüsselungsstandards verwendet und eine zentrale Datenverwaltung beinhaltet, was potenzielle Angriffsvektoren mit sich bringen kann.

Für die Wahl des passenden Bezahldienstes sind Sicherheitsprioritäten entscheidend. Apple Pay bietet durch die lokale Verarbeitung und vollständige Isolation der Zahlungsdaten ein hohes Maß an Schutz und Privatsphäre. Google Pay punktet mit Flexibilität und einer breiten Geräteunterstützung, muss sich jedoch mit einer stärkeren Abhängigkeit von der Cloud und zentralisierter Datenverwaltung auseinandersetzen. Beide Systeme setzen auf robuste Sicherheitsmechanismen, aber für mich persönlich hat es einen Wechsel zurück zu einem iPhone bewirkt.

Apple Pay: Architektur im Überblick

Apple Pay setzt auf ein Sicherheitsmodell, das die Prinzipien der Tokenisierung und lokalen Verarbeitung kombiniert. Beim Hinzufügen einer Karte zur Wallet-App werden die Kartendetails über eine verschlüsselte Verbindung direkt an die Bank oder den Kartenanbieter gesendet. Der dabei erstellte gerätespezifische Token, die sogenannte Device Account Number (DAN), wird ausschließlich von der Bank oder dem Kartenanbieter generiert und ist fest an das jeweilige Gerät gebunden. Anschließend wird die DAN im Secure Element, einem isolierten und zertifizierten Chip (Secure Element) gespeichert. Dieser Bereich verarbeitet alle sensiblen Zahlungsdaten unabhängig vom Betriebssystem und schützt sie effektiv vor unbefugtem Zugriff oder Manipulation.

Während des Bezahlvorgangs kommuniziert das Smartphone per NFC mit dem Zahlungsterminal, nachdem der Nutzer die Transaktion durch biometrische Verfahren wie Face ID oder Touch ID autorisiert hat. Dabei wird die im Secure Element gespeicherte Device Account Number (DAN) genutzt, ergänzt durch einen dynamischen Kryptogramm-Code, der speziell für diese Transaktion generiert wird. Dieser Code enthält gerätespezifische sowie transaktionsspezifische Daten wie einen Zeitstempel und eine eindeutige Einmalkennung. Durch diesen Mechanismus wird sichergestellt, dass die Zahlungsdaten weder wiederverwendet noch manipuliert werden können.

Die Zahlungsautorisierung bei Apple Pay findet vollständig lokal auf dem Gerät statt, wodurch für den eigentlichen Bezahlvorgang keine Internetverbindung erforderlich ist. Dies gewährleistet, dass Zahlungen unabhängig von der Netzabdeckung sicher und zuverlässig durchgeführt werden können. Eine Internetverbindung ist lediglich während der Einrichtung einer neuen Karte in der Wallet-App notwendig. In diesem Schritt wird die Karte durch die Bank oder den Kartenanbieter verifiziert, und ein gerätespezifischer Token wird erstellt und sicher im Secure Element des Geräts gespeichert. Nach der einmaligen Freischaltung durch die Bank arbeitet Apple Pay vollständig autark, ohne weitere Kommunikation mit den Servern von Apple.

Google Pay: Architektur im Überblick

Google Pay setzt auf ein Sicherheitsmodell, das die Prinzipien der Tokenisierung und serverseitigen Verarbeitung kombiniert. Beim Hinzufügen einer Karte zur Google Pay-App werden die Kartendetails über eine verschlüsselte Verbindung an die Server von Google gesendet. Dort wird ein gerätespezifischer Token, die sogenannte Device Primary Account Number (DPAN), generiert. Dieser Token wird mit dem Gerät verknüpft und von der Bank oder dem Kartenanbieter autorisiert. Im Gegensatz zu Apple Pay erfolgt die Speicherung der DPAN nicht in einem dedizierten Hardware-Modul wie dem Secure Element, sondern in der sicheren Umgebung des Android-Betriebssystems.

Die Speicherung der DPAN erfolgt in der sicheren Umgebung des Android-Betriebssystems, die auf Technologien wie dem Trusted Execution Environment (TEE) oder der Android Keystore-Architektur basiert. Das TEE ist ein isolierter Bereich des Hauptprozessors, der von Apps oder dem Betriebssystem nicht direkt zugänglich ist und sensible Daten wie kryptografische Schlüssel oder DPANs schützt. Die Android Keystore-API bietet darüber hinaus eine Schnittstelle für sichere Speicher- und Verschlüsselungsoperationen. Je nach Geräteausstattung bzw. Hersteller werden diese Daten entweder in hardwarebasierten Keystores oder in einer softwarebasierten sicheren Umgebung gespeichert, um die Integrität der sensiblen Informationen zu gewährleisten.

Während des Bezahlvorgangs kommuniziert das Smartphone per NFC mit dem Zahlungsterminal, nachdem der Nutzer die Transaktion durch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung autorisiert hat. Die im Gerät gespeicherte DPAN wird zusammen mit einem dynamischen Kryptogramm-Code genutzt, der speziell für die jeweilige Transaktion generiert wird. Dieser Code enthält transaktionsspezifische Daten wie einen Zeitstempel und eine eindeutige Kennung, wodurch die Sicherheit der Transaktion gewährleistet wird und die Daten nicht wiederverwendet werden können.

Die Zahlungsautorisierung bei Google Pay benötigt eine aktive Internetverbindung, da die Verifizierung und Freigabe der Transaktion auf den Servern von Google stattfindet. Für den eigentlichen Bezahlvorgang ist somit eine Netzwerkverbindung erforderlich. Dies ermöglicht gleichzeitig die Synchronisation von Zahlungsdaten und Karteninformationen über mehrere Geräte hinweg - eine erneute Verknüpfung mit einem weiteren Gerät und der Karte ist trotzdem erforderlich.

Apple Pay vs. Google Pay - Sicherheitslücken

Beide Systeme weisen eine vergleichbare Sicherheitsbilanz auf, da in der Vergangenheit Schwachstellen identifiziert wurden, die jedoch von Apple und Google zeitnah behoben werden konnten. Beispiele hierfür sind Replay-Angriffe bei Visa-Karten im Zusammenhang mit Apple Pay sowie die NFC-Datenexfiltration bei gesperrten Geräten im Fall von Google Pay.