Wie funktioniert kontaktloses Bezahlen? NFC, Apple Pay und Google Wallet erklärt

Wie funktioniert kontaktloses Bezahlen? NFC, Apple Pay und Google Wallet erklärt

Tech-Wissen · Hintergrund
Dieser Artikel geht tiefer als unsere üblichen Ratgeber. Oben steht die verständliche Erklärung mit dem praktischen Fazit, weiter unten der Abschnitt für alle, die die Technik dahinter genau wissen wollen. Mit Quellen zum Nachlesen.

Du hältst dein Handy an ein Terminal, es macht kurz Klick, fertig. Kein Bargeld, keine Karte, oft nicht einmal eine PIN. Das wirkt fast zu einfach, um sicher zu sein. Genau das Gegenteil ist der Fall: Damit dieser eine Moment funktioniert, laufen im Hintergrund mehrere Schutzschichten ab, die eine Kartenzahlung an der Kasse in mancher Hinsicht sogar übertreffen. Dieser Ratgeber zeigt dir, wie das Handy mit dem Terminal spricht, warum deine echte Kartennummer dabei nie den Weg zum Händler nimmt und was Apple Pay und Google Wallet technisch eigentlich anders machen.

Talkis Tipp. Wenn du dir nur eine Sache merkst: Auf deinem Handy liegt nicht deine Kartennummer, sondern nur ein Platzhalter dafür. Beim Bezahlen geht dieser Platzhalter plus ein Code raus, der nur für diese eine Zahlung gilt. Selbst wenn den jemand abfängt, kann er damit nichts anfangen. Das ist dieselbe Idee wie beim Passkey: Das eigentliche Geheimnis verlässt dein Gerät nie. — Talki, dein Berater

Das Wichtigste in Kürze

  • NFC ist Nahfunk. Handy und Terminal reden über ein Funkfeld, das nur wenige Zentimeter weit reicht. Die kurze Reichweite ist selbst schon ein Schutz.
  • Nicht die echte Karte liegt im Handy. Statt deiner Kartennummer speichert das Gerät ein gerätegebundenes Token, einen Platzhalter. Die echte Nummer bleibt bei deiner Bank.
  • Ein neuer Code pro Zahlung. Für jeden Bezahlvorgang erzeugt das Handy ein Einmal-Kryptogramm. Abgefangen ist es wertlos, weil es sich nicht wiederverwenden lässt.
  • Der Händler sieht deine Kartennummer nie. Ein Datenleck beim Händler betrifft nur Token, nicht deine Karte.
  • Du gibst die Zahlung frei. Erst nach Face ID, Fingerabdruck oder PIN wird gezahlt. Ein fremdes Handy zahlt nicht von allein.
  • Apple Pay und Google Wallet nutzen dasselbe Prinzip. Beide legen das Token in einen abgeschotteten Chip, das Secure Element, und lassen dich per Biometrie freigeben.

Der verständliche Teil: Handy ans Terminal halten

Kontaktloses Bezahlen läuft über NFC, kurz für Near Field Communication, auf Deutsch Nahfeldkommunikation. Der Name sagt schon das Wichtigste: Es ist Funk für die ganz kurze Distanz. Zwei Geräte, die NFC beherrschen, dein Handy und das Kassenterminal, bauen zwischen sich ein Funkfeld auf, sobald sie sich nah genug kommen. Über dieses Feld tauschen sie die Zahlungsdaten aus. Nimmst du das Handy weg, bricht die Verbindung sofort ab.

Das NFC Forum, das Industriegremium hinter dem Standard, beschreibt NFC als Funk auf einer festen Grundfrequenz von 13,56 Megahertz mit sehr kurzer Reichweite. Technisch arbeitet NFC nicht mit klassischen Funkwellen über Distanz, sondern mit induktiver Kopplung: Das Terminal baut ein magnetisches Wechselfeld auf, und dein Handy koppelt sich in dieses Feld ein, sobald es hineingehalten wird. Ein solches Feld fällt mit der Entfernung sehr schnell ab, anders als eine Funkwelle, die weit trägt.

dein HandyZahlterminalNFC-Funkfeld · 13,56 MHznur wenige Zentimeter, im Laden meist 3 bis 4

Diese kurze Reichweite ist kein Nachteil, sondern der erste Schutz. Weil das Feld nur über wenige Zentimeter trägt, muss man das Handy bewusst und dicht ans Terminal halten. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, nennt für den Bezahlvorgang im Geschäft in der Regel drei bis vier Zentimeter. Aus einiger Entfernung, etwa aus der Nachbarschlange, kommt gar keine Verbindung zustande. Das allein macht kontaktloses Bezahlen aber noch nicht sicher. Der eigentliche Schutz liegt darin, was über das Feld geht, und genau das ist der nächste Teil.

Warum niemand deine Kartennummer bekommt: Tokenisierung

Ab hier wird es interessant, denn hier steckt der eigentliche Trick. Der naheliegende Gedanke wäre: Das Handy funkt einfach die Kartennummer ans Terminal. Genau das passiert aber nicht. Deine echte Kartennummer, im Fachjargon PAN für Primary Account Number, landet gar nicht erst auf dem Handy und schon gar nicht beim Händler.

Der Fachbegriff dafür ist Tokenisierung. Das Branchengremium EMVCo, das hinter dem weltweiten Kartenzahlungsstandard steht, beschreibt sie als den Vorgang, die Kartennummer durch einen anderen, eingeschränkt nutzbaren Wert zu ersetzen. Dieser Ersatzwert heißt Token. Wenn du deine Karte in Apple Pay oder Google Wallet hinterlegst, prüft deine Bank die Karte und vergibt für genau dieses Gerät ein solches Token. Bei Apple heißt es Device Account Number, bei Google device token. Es sieht aus wie eine Kartennummer, ist aber keine, und es gilt nur für dein Gerät.

Dieses Token wird in einem besonders geschützten Chipbereich deines Handys abgelegt, dem Secure Element. Das ist ein abgeschotteter Baustein, an den weder Apps noch das Betriebssystem im Klartext herankommen. Google formuliert den Zweck klar: Es entsteht eine gerätespezifische virtuelle Kontonummer, damit deine echte Kartennummer nicht auf dem Gerät gespeichert und nicht an Händler weitergegeben wird. Apple beschreibt in der Apple-Pay-Sicherheitsübersicht dasselbe Prinzip: Die tatsächlichen Kartennummern liegen weder auf dem Gerät noch auf Apple-Servern, gearbeitet wird mit der geräteeigenen Device Account Number.

Bank · Tresorechte Kartennummer (PAN)verlässt die Bank niedein HandySecure ElementTOKENPlatzhalter stattKartennummerTerminal · Händlersieht nur Token +Einmal-KryptogrammDatenleck hier = wertlos1. Tokenhinterlegt2. Token +KryptogrammNach außen geht nur ein gerätegebundenes Token, nie die echte Kartennummer.

Dazu kommt die zweite Schicht: Bei jeder Zahlung erzeugt das Secure Element ein dynamisches Kryptogramm, einen Code, der nur für diesen einen Vorgang gilt. Das BSI beschreibt es so: Beim Bezahlvorgang wird ein Token samt kryptografischer Verschlüsselung übertragen, und dieser Datensatz ist nur für diesen einen Bezahlvorgang gültig. Über das Funkfeld geht also nie ein Wert raus, den man mitschneiden und später wiederverwenden könnte. Das Token allein reicht nicht, ohne das passende, jedes Mal neue Kryptogramm ist es wertlos.

Damit fällt die klassische Gefahr weg. Wird ein Händler gehackt und seine Zahlungsdaten gestohlen, liegen dort nur Token und verbrauchte Einmal-Codes, nicht deine echte Kartennummer. EMVCo bringt genau das auf den Punkt: Die Tokenisierung entfernt das für einen Betrüger wertvollste Datum aus der Zahlung, die Kartennummer. Ein gestohlenes Token richtet ungleich weniger Schaden an als eine offene Kartennummer, zumal es an dein Gerät gebunden ist. Das ist übrigens dieselbe Grundidee wie beim Passkey: Das eigentliche Geheimnis bleibt im Gerät, nach außen geht nur etwas, das für sich genommen nutzlos ist.

Der Bezahlablauf Schritt für Schritt

Im Alltag merkst du von alldem nichts. Du hältst das Handy hin, gibst die Zahlung frei, fertig. Dahinter läuft in Sekundenbruchteilen eine feste Abfolge ab.

1HandyFace/Touch ID · PIN2Terminalliest das Token3Zahlungsnetzleitet weiter4Bankprüft KryptogrammErst nach der Freigabe erzeugt das Secure Element das Einmal-Kryptogramm für genau diese Zahlung.

Schritt 1, Freigabe am Handy. Du hältst das Handy ans Terminal und gibst die Zahlung frei, per Face ID, Fingerabdruck oder Geräte-PIN. Erst diese Freigabe schaltet das Secure Element frei, das Token zu verwenden und ein Kryptogramm zu erzeugen. Ohne sie passiert nichts. Wie diese biometrische Freigabe technisch abläuft, steht im Ratgeber Wie funktioniert Face ID und der Fingerabdruck.

Schritt 2, Terminal. Über das NFC-Feld übernimmt das Terminal das Token und das Einmal-Kryptogramm. Deine echte Kartennummer bekommt es nie zu sehen.

Schritt 3, Zahlungsnetz. Das Terminal reicht die Daten über den Händler und dessen Bank an das Kartennetz weiter, das die Zahlung an die richtige Bank leitet. Der Weg ist derselbe wie bei einer normalen Kartenzahlung, nur mit Token statt Kartennummer.

Schritt 4, Bank prüft. Deine Bank löst das Token wieder zu deiner echten Karte auf, prüft das Kryptogramm und stellt fest, ob es echt und noch nicht verbraucht ist. Passt alles, wird die Zahlung freigegeben. Passt das Kryptogramm nicht, wird abgelehnt.

Wie sicher ist das wirklich

Ehrlich gesagt: Kein Bezahlverfahren ist absolut sicher, und wir geben dir hier kein Sicherheitsversprechen. Was sich aber sachlich sagen lässt, ist, warum kontaktloses Bezahlen per Handy mehrere Schwachstellen älterer Verfahren gar nicht erst hat.

Der Kern ist die Kombination aus drei Dingen. Erstens liegt deine echte Kartennummer nicht auf dem Handy, sondern nur ein gerätegebundenes Token. Zweitens gilt der Zahlcode jedes Mal nur für genau eine Transaktion, ein Mitschnitt bringt einem Angreifer also nichts. Drittens sitzt das alles im Secure Element, einem eigenen abgeschotteten Chip, an den das Betriebssystem und Apps nicht im Klartext herankommen. Fällt eine dieser Schichten, halten die anderen.

Dazu kommt die Freigabe. Anders als eine Plastikkarte, die man einfach ans Terminal halten kann, zahlt ein Handy in aller Regel erst nach Face ID, Fingerabdruck oder PIN. Ein fremdes oder gefundenes Handy zahlt also nicht von allein an der Kasse. Verlierst du das Gerät, ist die Karte im Wallet zudem nicht mit dem Klartext der Kartennummer verbunden, und du kannst das Token bei deiner Bank oder über den Geräte-Suchdienst sperren lassen, ohne gleich die physische Karte tauschen zu müssen. Google weist darauf hin, dass das Token an dein Konto gebunden ist, nicht an die physische Karte, sodass du dieselbe Zahlungsquelle behältst, selbst wenn die Karte einmal ersetzt wird.

Ganz ohne Restrisiko ist nichts. Das BSI rät deshalb zu den bekannten Vorsichtsmaßnahmen: die Kontoumsätze regelmäßig prüfen und ein verlorenes Gerät zügig sperren. Das ist aber gute Praxis bei jedem Zahlungsmittel und kein spezielles Problem von NFC.

Häufige Fragen

Kann jemand im Vorbeigehen einfach Geld von meinem Handy abbuchen? Praktisch nicht. Das NFC-Feld reicht nur wenige Zentimeter, im Laden meist drei bis vier, du müsstest das Handy also bewusst dicht ans Lesegerät halten. Dazu zahlt das Handy in der Regel erst nach deiner Freigabe per Face ID, Fingerabdruck oder PIN. Ein heimliches Auslösen aus der Distanz scheitert schon an der Reichweite.

Was ist, wenn ich mein Handy verliere? Dann kommt niemand ohne deine Freigabe an eine Zahlung, weil die Biometrie oder die PIN davorhängt. Zusätzlich liegt auf dem Gerät nur ein Token, nicht deine echte Kartennummer. Du kannst das Token über deine Bank oder den Geräte-Suchdienst sperren lassen, oft ohne die physische Karte tauschen zu müssen. Prüfe trotzdem deine Kontoumsätze, so wie es das BSI generell empfiehlt.

Ist Bezahlen per Handy sicherer als mit der Karte? In einigen Punkten hat es strukturelle Vorteile. Auf dem Handy liegt nur ein Token statt der echten Kartennummer, jede Zahlung nutzt einen Einmal-Code, und in der Regel musst du sie per Biometrie oder PIN freigeben, was eine kontaktlose Karte so nicht verlangt. Ein pauschales sicherer für jede Lage behaupten wir aber nicht, weil am Ende auch dein Umgang mit dem Gerät zählt.

Funktioniert kontaktloses Bezahlen ohne Internet? An der Kasse ja. Das Token und das Kryptogramm liegen im Secure Element und werden lokal über NFC an das Terminal übergeben, dafür braucht dein Handy keine eigene Internetverbindung. Das Terminal wiederum braucht eine Verbindung zum Zahlungsnetz, um die Zahlung zu prüfen und freizugeben. Neue Karten ins Wallet aufnehmen oder Token erneuern lassen setzt aber eine Onlineverbindung voraus.

Brauche ich dafür ein neues Handy? Nicht unbedingt. Nötig ist ein NFC-Chip und die passende Wallet-App, also Apple Pay auf iPhones oder Google Wallet auf Android. Beides bringen schon seit vielen Generationen die allermeisten Smartphones mit. Ein geprüftes gebrauchtes Gerät reicht dafür in aller Regel genauso wie ein neues. Worauf du beim Gerät achten kannst, siehst du in unserer Auswahl geprüfter und neuer Smartphones.

Sieht der Händler meine Kartennummer oder meinen Fingerabdruck? Nein. Der Händler bekommt nur das Token und das Einmal-Kryptogramm, nicht deine echte Kartennummer. Und deine biometrischen Daten verlassen das Handy ohnehin nie, sie schalten lokal nur die Zahlung frei. Das ist derselbe Gedanke wie beim Passkey, bei dem der private Schlüssel das Gerät nie verlässt.

Was ist der Unterschied zwischen Apple Pay und Google Wallet? Technisch sind sie sich sehr ähnlich. Beide hinterlegen statt der Kartennummer ein gerätegebundenes Token in einem Secure Element und lassen dich per Biometrie oder PIN freigeben. Der Unterschied liegt vor allem im Ökosystem: Apple Pay läuft auf iPhone und Apple Watch, Google Wallet auf Android-Geräten. Das Grundprinzip Token plus Einmal-Kryptogramm ist bei beiden gleich.

Warum werde ich manchmal doch nach der PIN gefragt? Bei kleineren Beträgen erlauben die Kartensysteme das Zahlen ohne zusätzliche Karten-PIN am Terminal. Aus Sicherheitsgründen fordert das System aber stichprobenartig und ab bestimmten Summen doch eine PIN oder eine erneute Freigabe an. Beim Handy übernimmt diese Freigabe in der Regel ohnehin schon deine Biometrie.

Quellen und zum Weiterlesen

Fazit

Der ganze Zauber des kontaktlosen Bezahlens lässt sich auf einen Satz eindampfen: Nicht deine Kartennummer wandert durch die Gegend, sondern ein Platzhalter, der an dein Gerät gebunden ist, plus ein Code, der nur für diese eine Zahlung gilt. NFC sorgt dafür, dass das nur auf wenige Zentimeter passiert, das Secure Element hütet das Token, und deine Freigabe per Gesicht, Finger oder PIN löst das Ganze aus. Deshalb ist ein Datenleck beim Händler für deine Karte wertlos und ein fremdes Handy zahlt nicht von allein. Es ist dieselbe Idee, die auch hinter Passkeys steckt: Das eigentliche Geheimnis verlässt dein Gerät nie. Wenn du ein Gerät suchst, das NFC, Apple Pay oder Google Wallet mitbringt, findest du bei uns geprüfte und neue Smartphones.

NFC-fähige Smartphones ansehen

Über diesen Ratgeber

Diesen Ratgeber hat Talki zusammengestellt, der digitale Assistent von talk-point. Du hast eine Frage, die hier nicht beantwortet wird, oder brauchst Hilfe bei der Geräteauswahl? Frag Talki — er hilft dir direkt weiter.

Weiterlesen

Vorheriger Artikel Neues iPhone oder generalüberholt? Was sich 2026 lohnt
Nächster Artikel Wie funktioniert Face ID, und wie liest der Fingerabdrucksensor deinen Finger?
z