Mobile Payment ist hierzulande zwar bekannt, aber bei den Verbrauchern noch nicht etabliert - das ergibt die neueste Studie der Bundesbank. Grund dafür seien aber weniger die Sicherheitsaspekte, sondern vielmehr die Einsatzmöglichkeiten und die Usability.1) Doch woran liegt diese Entwicklung hierzulande, während das mobile Bezahlen beispielsweise in England, Polen oder Spanien heute schon alltäglich ist?
Die Technologielandschaft beim mobilen Bezahlen war und ist in Deutschland noch heute sehr vielfältig. Aktuell können Kunden zwischen zahlreichen Übertragungsstandards und mobilen Bezahlmethoden wählen. Dazu zählen, mit der breitesten Akzeptanz im Handel, kontaktlose Zahlungen per Near-Field-Communication (NFC).
Die Kontaktlos-Technologie hat besonders durch die Ankündigung von Apple Pay im September 2014 eine starke Nachfrage erfahren. Wer mit seinem Smartphone kontaktlos bezahlen möchte, muss für die meisten Bezahldienste aktuell ein paar Voraussetzungen erfüllen:
- Neben einem Handy mit entsprechender NFC-Technik ist
- eine NFC-fähige SIM-Karte mit einem funkfähigen Chip von dem jeweiligen Mobilfunkanbieter notwendig. Für Handys, die noch nicht über das Kontaktlos-Feature verfügen, kommen als Brückentechnologie sogenannte NFC-Sticker ins Spiel, die auf das Handy angebracht werden können.
- Und nicht zuletzt muss der Handel ein entsprechendes Akzeptanzterminal bereitstellen, welches die Übertragung von Transaktionsdaten mittels Nahfeldkommunikation von Endgerät zu Endgerät ermöglicht.
Um die Infrastruktur auf Handelsseite noch mehr zu etablieren, haben die Card Schemes jüngst verkündet, dass sie diesen Weg vorgeben werden. Zwischen den Jahren 2018 und 2020 müssen die Terminals aller Händler zusätzlich zu den normalen Funktionalitäten auch NFC-Zahlungen akzeptieren.
Host Card Emulation - Treiber für das mobile Bezahlen?
Mobile Payment scheint trotz aller Bemühungen noch nicht im alltäglichen Leben aller Verbraucher angekommen zu sein. Die zentrale Frage lautet also: Wie kann dem Endkunden Mobile Payment schnell und einfach zugänglich gemacht werden, sodass dieser Gefallen daran findet, mit einem Mobiltelefon - oder gar der neuesten Generation, einem Payment-Wearable - zu bezahlen?
Als aussichtsreiche Treibertechnologie auf Basis des Nahfunkstandards NFC wird besonders Host Card Emulation, kurz HCE, bewertet. Die softwarebasierte Technologie bietet die Möglichkeit, innerhalb kürzester Zeit eine marktreife Mobile-Payment-Lösung auf den Markt zu bringen. HCE ist die neue Art der Digitalisierung von NFC-Bezahlkarten für Android-, Windows- oder Blackberry-Smartphones. So kann potenziell eine Vielzahl an Usern erreicht werden. Denn dem Marktforschungsunternehmen Statista zufolge erreichten Geräte mit einem solchen Betriebssystem im Jahr 2014 weltweit einen Marktanteil von gut 86 Prozent (Android 82,3 Prozent, Windows 2,7 Prozent und andere Betriebssysteme 1,1 Prozent).2) Zusammen mit Apple Pay, welches sein Betriebssystem für die HCE-Technologie derzeit nicht öffnet, können damit zukünftig alle Kunden mit entsprechenden Mobiltelefonen adressiert werden.
Ursprung und Funktionsweise
Die Host Card Emulation wurde erstmals von dem Gerätehersteller RIM (Research in Motion) eingeführt. Die Technik, damals noch unter anderem Namen, wurde mit dem Blackberry 7 OS zur Verfügung gestellt. Heute ist NFC Host Card Emulation Standard in jedem Android-Gerät ab der Version Android 4.4 (KitKat), Windows 10 sowie Blackberry 10 OS.
Host Card Emulation ist eine mobile Technologie, die mittels Software eine physische Smart Card emuliert. Mit HCE sind sichere, NFC-basierte Transaktionen für Zahlungen und Services in mobilen Applikationen möglich - unabhängig von der Verfügbarkeit eines Secure Elements (SE) auf der SIM-Karte beziehungsweise eines embedded Secure Elements (eSE) auf dem Handy. Um eine HCE-Applikation nutzen zu können, sind lediglich ein Mobiltelefon mit einem der genannten Betriebssysteme inklusive NFC-Modus sowie die App eines Finanzinstituts oder einer Bank, in welche die HCE-Funktionalität integriert ist, notwendig. Sobald der User die App aus einem App Store geladen und sich registriert hat, kann er loslegen.
Unabhängig von Hardware
Im Vergleich zu den bisher bekannten NFC-basierten Ansätzen verschlankt HCE die Prozessschritte. In einem HCE-Ökosystem ist nur die Issuing-Bank und gegebenenfalls ein HCE-Dienstleister oder -Processor involviert. Die Issuer benötigen somit keine Vereinbarung mit dem Mobilfunkanbieter oder Gerätehersteller, den Eigentümern des Secure Elements.
Weiterhin muss keine Vertragsbeziehung mit einem TSM-Provider eingegangen werden. Dies ist die Partei, welche die Daten von der Bank auf die SIM-Karten einspielt. Denn alle Daten, die für eine Zahltransaktion benötigt werden, sind nicht mehr auf dem physischen Hardware-Element (Secure Element) gespeichert. Folglich entfällt das Provisionieren (Speichern) und Personalisieren der Kartendaten auf eine SIM-Karte oder ein embedded Secure Element auf dem Gerät. Mit HCE sind die sensiblen Daten des Users zentralisiert in einem PCI-zertifizierten Rechenzentrum hinterlegt. Zur Verschlüsselung der Kartendaten werden pro Transaktion Einmal- oder limitierte Token erzeugt, die abhängig von den Risikoeinstellungen des Issuers regelmäßig nachgeladen werden müssen. Die Token sind zur Durchführung einer Transaktion auf dem Mobiltelefon abgelegt. Bei Mastercard handelt es sich dabei um Single-Use-Token, also Einmal-Token. Visa stellt sogenannte Limited-Use-Keys bereit. Das sind Token, die mehrmals mit bestimmten Restriktionen verwendet werden können.
EMV-kompatibel und sicher
Ein HCE-Bezahlvorgang ist mit dem EMV-Standard kompatibel. Diese Spezifikation gilt für den chipgestützten, sicheren Zahlungsverkehr im Bereich der Debit- und Kreditkarten sowie Chipkartengeräte. Eine HCE-Bezahlung ist folglich einer Kreditkartenzahlung mit Chiptechnologie von Visa, Mastercard und American Express, Debitkartenzahlung (Maestro) und V-Pay am Point of Sale gleichzusetzen.
Die Vorteile von Chip & PIN beziehungsweise EMV liegen vor allem in der erhöhten Sicherheitsgewährleistung bei Bezahltransaktionen. Das wesentliche Ziel bei der Einführung der Chiptechnologie lag in der Verbesserung der Zahlungssicherheit und der Verhinderung von missbräuchlicher Verwendung durch die PIN-Eingabe. Durch die Kompatibilität von HCE mit dem EMV-Standard müssen Händler bei ihren vorhandenen, kontaktlosfähigen Kassenterminals keine Anpassungen in der Hardware vornehmen.
Die persönlichen Sicherheitsregeln legt ein User selber fest. Beispielsweise lassen sich somit Beträge über 25,00 Euro mit einer PIN-Eingabe schützen. Aktuell erfordert Mastercard immer eine PIN-Eingabe, hat jedoch Änderungen an dieser Regelung angekündigt.
Wo geht die mobile Reise hin?
Fakt ist, Mobile Payment ist keine Revolution, sondern eine Evolution. Die Technologie Host Card Emulation, zusammen mit Apple Pay für i-Phones, ist für das mobile Bezahlen ein bedeutender Schritt in die richtige Richtung, um auch in Deutschland die Akzeptanz beim mobilen Bezahlen zu erhöhen.
Für HCE liegen die Gründe in extrem einfachen und schlanken Echtzeitprozessen. So sind für die Zukunft unzählige Szenarien denkbar, die vor ein paar Jahren noch nicht einmal ansatzweise möglich waren. Beispielsweise können Banken ihren Kunden im Verlustfall eine mobile Ersatzkarte ausstellen - und das in Echtzeit. Auch Firmen können künftig viel flexibler agieren, wenn sie ihre Mitarbeiter auf Reisen schicken und diese beispielsweise eine Leistung ad hoc vor Ort bezahlen müssen und nun über Corporate Cards in Echtzeit zahlfähig gemacht werden.
Fraud-Raten im E-Commerce senken
Einen ganz anderen Aspekt bietet HCE dem Onlinehandel: Es macht das E-Commerce-Geschäft sicherer und senkt somit die Fraud-Raten der Banken. Wie das geht? Bezahlt ein Kunde in einer Händler-App, können Payment Service Provider (PSP) dem Händler ein Software Development Kit (SDK) zur Verfügung stellen, welches den gesamten Bezahlprozess in der App nativ umsetzt und aus den HCE-Token dieselben Informationen erhält, wie bei einer PoS-Transaktion. Das sichert den Online-Einkauf.
Diese ersten Anwendungsbeispiele zeigen auf, dass Cloud-based Payments unzählige Möglichkeiten bieten werden. Fest steht: Banken und Unternehmen, die diese positive Entwicklung von Beginn an begleiten und aktiv gestalten, werden profitieren.
Fußnoten
1) Zahlungsverhalten in Deutschland 2014, Deutsche Bundesbank.
2) Prognose zu den Marktanteilen der Betriebssysteme am Absatz vom Smartphones weltweit in den Jahren 2014 und 2018, Statista 2015/http://de.statista.com/statistik/daten/studie/182363/umfrage/prognostizierte-marktanteile-beismartphone-betriebssystemen.
Susanne Steidl, Geschäftsführerin, Wirecard Acquiring & Issuing GmbH, Aschheim
Durch die Software-basierte Struktur ermöglicht Host Card Emulation Banken einen raschen Marktzugang. Die Bank kann die Funktionalität zusammen mit einem Processor oder durch einen spezialisierten Dienstleister selbst zur Verfügung stellen. Dabei sind keine Änderungen in den IT-Systemen einer Bank erforderlich. Zunächst wird für die Bank eine BIN (Bank Identification Number) für HCE aufgesetzt oder freigeschaltet. Über ein Software Development Kit (SDK) kann die HCE-Funktionalität nun beliebig in eine bestehende Banken-App integriert werden. Der User überträgt die neue Funktion ganz automatisch mit einem Software-Update auf sein persönliches Smartphone. Oder aber die Bank entscheidet sich für eine eigenständige HCE-App.Jeder mit einem Android, Windows oder Blackberry-Betriebssystem (siehe Vergleich von NFC-basierten Ansätzen) kann die Lösung sofort aus einem App-Store laden. Nach dem Download scannt der Benutzer bei der Registrierung die vorhandene Plastikkarte seiner Hausbank und führt anschließend eine Verifizierung über 3D Secure/Verified by Visa durch. Dabei erfolgt im Hintergrund eine Prüfung der BIN der Bank. Durch diesen benutzerfreundlichen Prozess ist eine direkte Anmeldung des Kunden ohne jegliche Schnittstellenintegration möglich. Nach der erfolgreichen Prüfung wird über die BIN der Bank eine mobile Karte für den User erzeugt. Diese wird der gescannten Karte zugeordnet und auf PCI-gesicherten Servern hinterlegt. Anstelle der Kartendaten werden Token auf das Mobilgerät übertragen, die bei einem Bezahlvorgang zum Einsatz kommen. Das Telefon steht nun für einen mobilen, NFC-basierten Bezahlvorgang bereit. Bezahlt der Kunde jetzt mit seiner HCE-App, erhält das Issuing-Processing-System in Echtzeit eine Information über die Transaktion. Nach erfolgter Verifizierung des mittels Token und weiterer Transaktionsdaten erzeugten Kryptogramms wird die Autorisierung zum Processor der Bank zur Genehmigung weitergeleitet.
