Unterschreiben war gestern – MasterCard startet mit biometrischer Authentifizierung in Europa

MasterCard beginnt mit biometrischen Zahlungen in Europa
© leaf / 123RF

Biometrische Zahlungsvarianten – Datenschützer horchen bereits jetzt auf – macht MasterCard ab jetzt in zahlreichen europäischen Ländern möglich. Ziel ist es, insbesondere den Betrug bei Geldtransfers über das Internet einzudämmen und Einkäufe bequemer zu machen. Alle technischen Voraussetzungen sind erfüllt, die Software steht in den Startlöchern – aber wie steht es um die Sicherheit?

Online-Einkauf als Versuchskaninchen

Um Irrtümer aus dem Weg zu räumen, sei kurz erwähnt, was biometrische Zahlungsverfahren überhaupt auszeichnen: Gemeint sind alle Möglichkeiten, eine Zahlung durch bestimmte “biologisch verfügbare” Eigenschaften zu autorisieren. Dazu zählen etwa Scans der Iris, die Stimmerkennung, Fingerabdrücke oder auch Fotos des Gesichts.

MasterCard lässt seinen Kunden im anfänglichen Testzeitraum die Wahl: Entweder mithilfe eines Fingerabdrucks oder eines Selfies soll die Authentifizierung gelingen. Fingerabdruckscanner sind in vielen Premium-Smartphones und einigen Modellen der Mittelklasse enthalten, eine Kamera ist fester Bestandteil von praktisch jedem heute verkauften Smartphone. Um die Verifizierung der Daten zu gewährleisten, hat MasterCard eigens ein System namens Identity Mobile Check ins Leben gerufen. In derzeit zwölf Ländern in Europa – darunter auch Deutschland sowie angrenzende Staaten wie Österreich – steht das System jetzt zur Verfügung. Ein Zwang besteht für Partner von MasterCard aber nicht. Sie selbst können entscheiden, ob Biometrie in die eigenen Käufe und Verkäufe eingebunden werden soll oder nicht.

Welches Ziel verfolgt MasterCard?

Neben VISA ist MasterCard der größte Finanzdienstleister im Bereich der Kreditkartenvergabe. Entsprechendes Interesse hat das Unternehmen daran, die Zahlungsabwicklung zu beschleunigen und Betrug bei Zahlungsvorgängen zu verhindern oder zu reduzieren. Einige Sicherheitsvorkehrungen sollen dabei helfen, dieses Ziel zu erreichen:

  • Ein Foto wäre eine denkbare Möglichkeit, das System hinter der Selfie-Erkennung auszutricksen. MasterCard vertraut auf einen einfachen Trick: Der Kunde muss einmal zwinkern, um die Zahlung zu autorisieren.
  • Der Transfer der Aufnahme an einen Server des Unternehmens geschieht verschlüsselt. Dort erfolgt die Abgleichung mit einem Template, das vorher vom Kunden angelegt wurde.
  • Das neue Foto wird nach Angaben von MasterCard sofort nach Erhalt und Authentifizierung gelöscht, um einem eventuellen Datenmissbrauch vorzubeugen.

Kunden, die den Weg über den Fingerabdruck für Zahlungen gehen, müssen diesen Vorgang übrigens nicht im selben Umfang vornehmen: Gespeichert wird dann nur ein Token, also im weitesten Sinne eine einfache Bestätigung, für den Server. Nur dieses Token wird dann hochgeladen, der eigentliche Scans des Fingerabdrucks bleibt auf dem Smartphone. In Zukunft möchte MasterCard dieses System auch für die eigene Handy-App nutzen, bislang ist diese Variante aber noch auf die Kommunikation mit externen Servern beschränkt.

Linktipp: Mehr zu Kreditkarten erfahren Sie auf unserer Seite www.kreditkarte24.de

Und die Stimme?

Ein weiteres wichtiges Erkennungsmerkmal des Menschen bleibt zunächst außen vor: Die Stimmerkennung erweist sich noch als zu fehlerbehaftet, um praxistauglich in alltägliche Zahlungstransfers integriert zu werden. Insbesondere Hintergrundgeräusche in belebten Gegenden machen es schwierig – während ein Foto oder ein Fingerabdruck beispielsweise immer konstant und damit wiederkennbar bleibt. Die Arbeiten an der Stimmerkennung schreiten jedoch voran, in absehbarer Zukunft dürfte somit auch dieses System einsatzbereit sein.

Dass es mit Selfies und Fingerabdrücken bislang schon funktioniert, zeigt ein Test mit insgesamt 750 Personen aus Holland: Über 90 % der Teilnehmer waren vom System überzeugt, an der Präzision der Erkennungsmethode scheint es somit keine Zweifel zu geben. Ab sofort ist es möglich, das Verfahren auch in Deutschland zu nutzen – wenn Kartenherausgeber, Kunde und Händler damit einverstanden sind.

Verfügbar ist der Mobile Identity Check derzeit entweder direkt in eigenen Apps eines Kartenherausgebers – sofern diese eine eigene App anbieten – oder auch als separates Programm direkt von MasterCard. Das Unternehmen konzentriert sich derzeit nur auf iOS und Android, ob Windows 10 Mobile folgen wird, dürfte fraglich sein. Nutzer von Smartphones mit installiertem Jailbreak werden aber wahrscheinlich außen vor gelassen: Nicht zuletzt aufgrund erheblicher Sicherheitsbedenken dürfte die App auf gerooteten Systemen nicht funktionieren. Da die App das verwendete Smartphone überprüft, wird ein Jailbreak sofort auffallen. Es ist nicht davon auszugehen, dass MasterCard dieses Verfahren ändern wird.