STRATEGIE19. Juli 2020

“Das Öffnen der NFC-Schnittstelle würde die Bedienung von Apple Pay verschlechtern!”

Apple soll die NFC-Schnittstelle nicht öffnen - aus Usability, nicht wegen der Security - meint Dr. Michael Roland, Buchautor und Post-Doc am Institut für Netzwerke und Sicherheit der Johannes Kepler Universität Linz
Dr. Michael Roland, Buchautor und Post-Doc am Institut für Netzwerke und Sicherheit der Johannes Kepler Universität LinzDr. Michael Roland

Dr. Michael Roland ist Post-Doc am Institut für Netzwerke und Sicherheit der Johannes Kepler Universität Linz und einer der weltweit führenden Experten zum Thema NFC. Sein Buch „Anwendungen und Technik von Near Field Communication (NFC)“, das er zusammen mit Josef Langer verfasst hat, ist das Standardwerk zum Thema. Darüber hinaus deckte Michael Roland bereits 2012 eine Sicherheitslücke in der „Google Wallet“ auf. Sicherheitskritische Themen von NFC Smartphones behandelt sein Buch :„Security Issues in Mobile NFC Devices“. Dr. Michael Roland im Interview über NCF, Apple Pay, Security und Usability.

Herr Dr. Roland, planen Sie eigentlich eine Neuauflage ihres Buches „Anwendungen und Technik von Near Field Communication (NFC)“?

Nein, inzwischen gibt es genügend Literatur zum Thema. Die Entwicklungszyklen sind mittlerweile zu schnell für ein Buch mit dem Anspruch, den Gesamtüberblick zu liefern.

Was gibt es denn an Neuem im Bereich NFC? Wie hat sich der Markt verändert?

Im Vergleich zum Buch hat sich die Verwendung komplett verändert. Es gibt keine Smartposter, wie wir damals annahmen. Tags verweisen im Wesentlichen nur auf URLs oder lösen Aktionen aus. Das Pairing hat sich entgegen aller Erwartungen nicht durchgesetzt. Allerdings hoffe ich hier auf die neue „Form Connection Handover“ des NFC Forums.

Warum weichen bei NFC die damaligen Erwartungen und die tatsächliche Entwicklung so weit voneinander ab?

Vieles was den NFC-Standard betrifft, wurde in einer Zeit vor den Smartphones entwickelt. Man kann sich heute gar nicht mehr richtig vorstellen, wie die Geräte aussahen, die man damals im Auge hatte. Zudem waren Google und Apple lange Zeit nicht mit Mitglied des NFC-Forums. Sie kannten die Standards nicht und entwickelten die Technik, so wie sie das für richtig gehalten haben.

Im hinteren Teil ihres Buches kommen Sie auf das Thema Secure Elements (SE) zu sprechen. Glauben Sie, dass das Secure-Element-Konzept noch ein Revival erlebt?

In dieser Form auf keinen Fall. Wie wir am Beispiel Android sehen, geht es ja auch ohne SE.”

Allerdings sollte auch hier dedizierte Security Hardware in Form eines Smartcard-Chip im Smartphone als generischer Keystore verwendet werden.

Wie sieht es beim iPhone aus?

Dr. Michael Roland
Dr. Michael Roland ist Post-Doc am Institut für Netzwerke und Sicherheit der Johannes Kepler Universität Linz. Er forscht im Bereich digitaler Identitäten, NFC, Chipkarten und Drahtlostechnologien mit den Schwerpunkten Sicherheit und Privatsphäre. Er ist Autor der Bücher “Anwendungen und Technik von Near Field Communication (NFC)” und “Security Issues in Mobile NFC Devices” (beide erschienen im Springer-Verlag). Hr. Roland absolvierte das Bachelorstudium Hardware/Software Systems Engineering (2007) sowie das Masterstudium Embedded Systems Design (2009) an der FH Oberösterreich und promovierte 2013 zum Dr. techn. im Fachbereich Informatik an der Johannes Kepler Universität Linz. Website: https://mroland.at/, Twitter: @_mroland
Die Situation in der IOS-Welt ist eine andere. Wir haben ein sehr homogenes Ökosystem. Apple übernimmt die Rolle des TSM und legt die Bedingungen fest, wer reinkommt. Das funktioniert reibungslos.

Können Sie dafür ein Beispiel außerhalb des Payment nennen?

In den USA gibt es die Firma Blackboard, einen Anbieter von Studentenausweisen mit einem dominierenden Marktanteil. Durch die Kooperation mit Apple ist das der quasi Mobile Standard für dieses Marktsegment.

Apple behauptet, durch ein Öffnen der NFC-Schnittstelle wäre die Sicherheit von Apple Pay gefährdet. Können Sie dieses Argument nachvollziehen?

Nein! Das Öffnen der NFC-Schnittstelle würde die Bedienung von Apple Pay verschlechtern! Aber bestimmt nicht die Sicherheit. Unter diesem Aspekt der Bedienbarkeit kann ich aber nachvollziehen, warum Apple so handelt.”

Was Sie hier ansprechen, sind die Konflikte in der Android-Welt, wenn mehrere NFC-Programme sich gegenseitig behindern. Was könnte Google denn noch dazu beitragen, um solche Konflikte zu verhindern, ohne die Schnittstelle gleich komplett zu schließen?

Ich glaube, Google hat schon sehr viel gemacht. Aber NFC-Bezahlapplikationen unterschiedlicher Anbieter können auf einem Smartphone nur schlecht koexistieren. Das ist ähnlich, wenn Sie mehrere kontaktlose Kreditkarten im Geldbeutel haben. Sobald man den an ein Zahlungsterminal hält, gibt es einen Zielkonflikt!

Ist die Öffnung der NFC-Schnittstelle auf dem iPhone, abseits von „Card Emulation“, mittlerweile ausreichend, um dafür NFC-Lösungen zu programmieren?

Der volle Umfang ist immer noch nicht da. Aber durch den Druck aus Großbritannien hat sich viel getan.

Wieso war man in UK an dem Thema so interessiert?

Die Briten brauchten für ihre Brexit App dringend Funktionalitäten zum Auslesen des Reisepasses. Laut Hörensagen hat Apple daraufhin die Tür für alle einen Spalt weit geöffnet.”

Herr Dr. Roland, von Ihnen gibt es auch die App „NFC Tag-Info“. Das ist ein sehr nützliches Tool, allerdings auf Android begrenzt? Planen Sie auch eine Version für das iPhone.

Nein, definitiv nicht! Das hat aber nichts mit Apple zu tun. Ich habe sogar eine fast fertige Version 2 für Android. Ich bin frustriert darüber, wie die Nutzer auf ein kostenloses Angebot reagiert haben. Wenn man sich die Kommentare zur App bei Google Play durchliest, kann man nur den Kopf schütteln.

Die Fragen stellte Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.

Ich würde gerne noch einmal auf das Thema Secure Element zurückkommen. Die Mobilfunk-Unternehmen hatten ja mit Global Platform einen Standard entwickelt. Kann man sagen, dass dieser Ansatz durch die eSIM tot ist?

Das sehe ich nicht zwingend. Entscheidend wird sein, wieviel Speicherplatz sie dort zur Verfügung haben und ob sie dort selbstständig Security Domains erstellen können. Zu Beginn war das so nicht möglich, aber die Chips beherrschen jetzt auch die Verwaltungsdelegation.

Wie sieht es denn mit den ganzen Applets aus, wenn der Kunde sein eSIM-Profil löscht, sind die dann auch weg?

Die Mobilfunker müssen dann alle diese Verträge an den nächsten weiterreichen. Was aber vor allem bleibt, ist das Grundproblem der TSM-Infrastruktur!

Einer der USPs der NFC-Lösung der Telkos war der Low-Battery-Mode. Also die Möglichkeit, seine Karten am Smartphone auch dann benutzen zu können, wenn die Batterie leer ist. Geht das auch mit embedded SEs?

Das hängt von vielen Faktoren ab. Da spielt der verwendete Chipsatz eine Rolle und was der Smartphone-Hersteller für diesen Fall vorgesehen hat. Bei Host Card Emulation geht das natürlich auf keinen Fall. Ich weiß aber nicht, was Apple hier abseits des Payments plant.

Kennen Sie Optimos 2.0, die Initiative des BMWI, und welche Chancen sehen Sie für das Projekt?

Ich muss mich hier leider wiederholen. Durch die Fokussierung auf eine TSM-Infrastruktur halte ich das Projekt für unrealistisch.”

Aber wie soll eine mobile Identität sicher auf einem Smartphone abgelegt werden?

Tokenisation geht auch für den ID Use Case. Man sollte den sicherheitskritischen Teil dem Hardwarehersteller überlassen. Der Keystore erstellt hierbei temporäre Schlüssel (Token), diese werden an das Server Backend weitergeleitet und dort zertifiziert.

Für mich haben Sie gerade FIDO beschrieben!

Im Prinzip ja, ob FIDO alle Use Cases umsetzt, weiß ich nicht. Fido ist vor allem auf den Online-Anwendungsfall fokussiert.

Österreich hat bei der Entwicklung von NFC eine führende Position in der Welt. Woher kommt das?

Sind wir wirklich führend? Ein wesentlicher Punkt ist wohl, dass Mikron, der Vorläufer von NXP ein österreichisches Unternehmen ist. Wir haben es quasi erfunden! Außerdem gibt es in Hagenberg eine gute Forschungskooperation mit NXP.

Wie sehen Sie die Zukunft von NFC, was dürfen wir von dieser Technik noch alles erwarten?

Ich betrachte nicht nur NFC explizit, sondern die kontaktlos Technologie generell. Die kurze Distanz von Nahfeld-Kommunikation ist der Trigger. Dadurch können Aktionen eindeutig einem Nutzer zugeordnet werden. Das geht bei Bluetooth und WLAN nicht!

Als nächstes folgt die Substitution von Karten, trotzdem wird Plastik so schnell nicht komplett aus unserem Leben verschwinden. Wir werden noch lange mit einer sehr bunten Welt leben! Wobei NFC bestimmt nicht das Ende der Entwicklung sein wird.

Gerade im Bereich Identität muss man sich fragen, wird dort überhaupt noch Hardware benötigt, oder kann Inhärenz diese Aufgabe komplett übernehmen? All diese Themen behandeln wir unserem neuen Forschungszentrum Digidow.

Herr Dr. Roland, vielen Dank für das Gespräch!Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert