NFC vs BLE. Oder Apple vs Google. Oder die Zukunft des Mobile Payments

Das Smartphone hat die nächste Evolutionsstufe erklommen. Nachdem die Geräte seit längerem Kommunikationszentrale, Agenda, Spielkonsole und Minicomputer in einem sind, übernehmen sie jetzt weitere Funktionen. Wie diejenige der Geldbörse. Swisscom hat vor kurzem Tapit vorgestellt, eine auf NFC-basierte App, mit der an entsprechenden Terminals mit dem Handy bezahlt werden kann. Zwar steht die Funktionen aktuell nur zur Verfügung, wenn man nebst NFC-fähigem Smartphone auch eine Visakreditkarte von Cornercard besitzt. Das Ökosystem wird aber erweitert werden, so dass Mobile Payment in fünf Jahren Normalität sein wird, hofft Swisscom-Chef Urs Schaeppi. Ob dafür aber NFC der Standard sein wird, bleibt abzuwarten. Denn Apple, das in ihren Geräten kein NFC anbietet, hat andere Pläne. Vor einem Jahr haben die Cupertiner iBeacon eingefhrt, seit iOS7 ist iBeacon Teil der Core Location Services. iBeacon ist ein Standard für Navigation in geschlossenen Räumen und basiert nicht auf NFC, sondern Bluetoth Low Enery (BLE).

NFC entspricht RFID beziehungsweise kontaktlosen Chipkarten. Bei NFC gibt es einen «aktiven» Teil, der im Smartphone sitzt. Als Gegenstück fungiert ein kleiner Chip, der keine eigene Energie benötigt und in der Herstellung sehr günstig ist (weniger als 10 Rappen, schätzt Friedemann Mattern vom Department of Computer Science der ETH Zürich). Diesen passiven Chip kann man in jegliche Produkte einbauen und ihn anweisen, dass dieser Chip dem Mobiltelefon etwas zufunkt. Den passiven Chip kann man auch in eine Kreditkarte einbauen, und damit einen Bezahlvorgang berührungslos auslösen, wenn das Kassensystem die aktive Komponente besitzt. Oder in ein Schliesssystem, dann fungiert das Smartphone als Türöffner. Bei NFC können auch beide Einheiten aktiv sein, benötigt wird aber nur eine. BLE, iBeacon von Apple baut darauf auf, hingegen ist eine «gewöhnliche» Funktechnologie, in der beide Einheiten aktiv senden. Ein iBeacon brauchen deshalb (im Gegensatz zum passiven NFC-Chip) Energie. Auch wenn der Energieverbrauch gering ist, sind die beiden Kommunikationseinheiten von BLE im Normalfall einiges teuerer als NFC. Dafür beträgt die BLE-Reichweite bis zu 70m, eine Rasterung ist bis auf 5cm möglich. Die Reichweite von NFC beträgt maximal 10cm.

Gemäss Tom Sprenger, CTO von AdNovum hat iBeacon in der Schweiz noch einen weiteren Vorteil: 80 Prozent der Smartphones in der Schweiz sollen iBeacon-fähig sein, bei NFC sind es keine 50 Prozent. Hierzu ist zu sagen, dass Swisscom-CEO Urs Schaeppi ankündigte, bis Ende Jahr Tapit auch für iPhone-Kunden verfügbar zu machen. Wie die Lösung aussieht, wird nicht verraten. Sie dürfte aber NFC-basierend sein. Und zwar aus dem gleichen Grund, der für Apple zum Problem werden dürfte: das Ökosystem für NFC ist hierzulande mittlerweile relativ gross. Migros, Coop oder Valora haben ihre Terminals mittlerweile für einiges Geld auf NFC umgerüstet. Bluetooth aber wird nicht ermöglicht, eine nochmalige Umrüstung steht zurzeit nicht zur Debatte. Jedenfalls nicht auf vermehrte Nachfrage der Computerworld, die das Thema seit Monaten beobachtet. Insgesamt sind in der Schweiz von 120 000 Zahlungsterminals zwei Drittel bereits NFC-fähig, 2015 soll der komplette Handel ausgerüstet sein. Lesen Sie auf der nächsten Seite: die Vorteile von iBeacon

Dabei könnte sich BLE für die Discounter lohnen. Besonders die Marketingabteilungen der Firmen beobachten die Entwicklung mit Argusaugen. Weil die Reichweite derart gross ist, bietet die Technologie weit mehr, als nur Bezahl- oder Produktinformationsfunktionen, wofür NFC momentan fast ausschliesslich eingesetzt wird. So könnten verschiedene Sender (genannt Beacon) - in einem Geschäft angebracht werden, die über die Position der Kunden und die Laufwege Auskunft geben. Oder sie werden für «Proximity Marketing» gebraucht, das Aufschalten von passender Werbung an einem bestimmten Ort. Dies können auch Gutscheine oder Live-Watchlist-Alerts sein. Immer vorausgesetzt, der Kunde hat die entsprechende App des Unternehmens auf seinem Handy. Tom Sprenger von AdNovum gibt zu bedenken, dass die Marketingabteilungen die Funktionen des Proximity-Marketings mit Bedacht einsetzen sollten. Wichtig dabei sei, dass der Kunde, im Sinne eines «Opt-in»-Ansatzes, jederzeit die Kontrolle über die Art der Informationen behalten könne, beziehungsweise welche Gutscheine er erhalten möchte und was ihn nicht interessiere. Ansonsten könne BLE sehr schnell unbeliebt werden. Ein Use-Case, wie es gemacht werden sollte, hat die Baseball-Profiliga MLB in den USA geschaffen. Sie hat ihre Stadien mit Beacons ausgestatet. Besucht ein Zuschauer ein Spiel, wird ihm sein Ticket angezeigt, der Weg zu seinem Platz und Gutscheine für beispielsweise Hot Dogs oder Süssgetränke. Apropos Hot Dog: theoretisch könnten die Beacons auch dazu benutzt werden, dem Zuschauer zu sagen, an welchem Stand er die kürzeste Warteschlange vorfinden wird, die Anwendungsmöglichkeiten sind zahlreich. Ein anderer Use-Case ist das Wiederauffinden verlorener Gegenstände. Ein Start-up hat Beacons in Brillenränder implementiert. Sobald das Smartphone merkt, dass es zu weit von der Brille entfernt ist, sendet es ein Signal mit dem entsprechenden Aufenthaltsort. Etwas, für das NFC nicht geeignet ist. Und natürlich kann auch iBeacon für Mobile Payment gebraucht werden. Apple ? und andere Firmen ? rüsten ihre Verkaufsstellen mit iBeacon aus. Hat der Kunde die entsprechende App, wird er beim Eingang getriggert und automatisch «angemeldet». Der Angestellte kann an der Kasse dann den Kunden aus einer Liste auswählen, der Kunde seine Ware per Smartphone bezahlen. Oder der Kunde wird nicht registriert, bringt sein Smartphone in die Nähe des iBeacons an der Kasse und löst den Zahlungsprozess auf diese Weise aus. Dem Kunden ist das lieber, das Unternehmen bevorzugt die Tracking-Methode.

Nebst den möglichen Marketingschwierigkeiten stellen sich bei BLE aber auch einige Sicherheitsfragen. So findet zwar keine Übertragung kritischer Informationen zwischen Beacon und dem Smartphone statt, die eigenen Informationen sind also geschützt. Doch können die Signale der Beacons sehr einfach aufgezeichnet und an einem anderen Ort beliebig oft abgespielt werden. So können beispielsweise Bonuspunkte gestohlen werden. Oder ein Angreifer stört die Indoor-Navigation, indem er die entsprechende Beacon-ID aufnimmt und an einem anderen Ort erneut platziert. So weiss das System nicht mehr, wo es sich nun befindet. In Kaufhäusern kein Problem, für Spitäler oder Schulhäuser aber durchaus. Eine weitere Angriffsvariante ist das sogenannte «Kuckucks Beacon». Damit wird eine falsche Beacon-ID in fremdem Kontext gesendet. Ein Kunde ist beispielsweise in der Migros und will ein Produkt mittels Beacon ansehen. Ein Angreifer  hat dort aber zusätzlich ein Beacon der Konkurrenz angebracht, so sieht der Kunde auch das Produkt von beispielsweise Coop ? und ist nicht erfreut. Die letzte Möglichkeit ist, die App zu «kidnappen». Man stelle sich vor, ein Autohändler bietet den Kunden seine Sonderangebote mittels Beacon an. Wer in den Laden tritt, sieht also, welche Autos zu welchem Preis verfügbar sind. Nun könnte ein Konkurrent oder ein Preisvergleichsportal den Beacon manipulieren, dass die App auf fremde iBeacon-IDs triggert. So würden alle Auto-Angebote im Umkreis angezeigt. Der Autohändler hätte ein Problem, ausser er wäre wirklich der Günstigste.

Da alle dieser Angriffsszenarien relativ einfach umsetzbar sind und bei entsprechender Verbreitung schnell eingesetzt würden, arbeiten Sicherheitsfirmen bereits an Lösungen. AdNovum spricht von einem Ansatz, der zur Verbesserung der Sicherheit auf einem sogenannten hybriden Beacon aufsetzt. Dieses kommuniziert beispielsweise mit dem Server-Backend und variiert sein Beacon-Signal, wodurch Angriffe abgewehrt werden können. Alternativ kann zur Verhinderung von Missbrauch auch eine Challenge/Response-Kryptooperation zwischen Beacon und Smartphone, vom Ansatz ähnlich wie beim e-Banking, eingesetzt werden. Die Sicherheit ist auch bei NFC ein Problem, so dass diese nicht den Ausschlag für oder gegen Apples iBeacon geben wird. Sondern das Ökosystem. Wer es schafft, mehr Discounter, Verkehrsbetriebe oder Kreditkartenhersteller von seiner Technologie zu überzeugen, wird auf dem Smartphone in Zukunft Ton angebend sein. Oder, was auch möglich und vermutlich die beste Lösung ist, man nutzt die Technologien parallel. NFC wäre prädestiniert für Bezahlen und Produktinfos ? BLE könnte für Tracking und beispielsweise Gutscheinaktionen genutzt werden. Doch ob eine Symbiose von den Technologieherstellern gewollt ist, bleibt abzuwarten. Vorerst jedenfalls nicht.