Die Token -Technologie revolutioniert elektronische Zahlungen

Ab Mitte April 2015 stellt Visa Europe seinen europäischen Mitgliedsbanken den Visa Token-Service zur Verfügung. Die Token-Technologie bildet die Basis der neuen mobilen und Online-Bezahllösungen. Weil Kartendaten maskiert werden und stattdessen nur Platzhalter das sichere System zwischen Visa und seinen Mitgliedsbanken verlassen, können Zahlungen auch mit mobilen Endgeräten, die nicht über ein sogenanntes Secure Element verfügen, sicher durchgeführt werden. Damit legt die Token-Technologie den Grundstein für eine neue Ära und markiert die größte Revolution des sicheren elektronischen Bezahlens seit der Einführung der Chip- und PIN-Technologie in den neunziger Jahren.

Ob Amazon und Zalando im Einzelhandel, Expedia und Trivago in der Reisebranche oder Netflix und Buzz-Feed im Medienbereich - viele Branchen befinden sich infolge neuer digitaler Angebote und Anbieter im Umbruch. Mit diesen Erfahrungen steigt die allgemeine Erwartungshaltung der Verbraucher, auch in Bezug auf ihre eigene Bank. Die aktuelle Studie "Digitale Revolution im Retail-Banking" von Visa Europe und Roland Berger zeigt, dass sich Verbraucher digitale Angebote ihrer Banken wünschen. Die Studie basiert auf einer umfangreichen Analyse und liefert fundierte Erkenntnisse zu den Erwartungen der Kunden an die Bank der Zukunft. Dazu wurden insgesamt 3 000 Kontoinhaber aus Deutschland und der Schweiz befragt. Die Studie zeigt, dass digitalaffine Kundengruppen bereits 60 Prozent des Gesamteinkommens in Deutschland repräsentieren. Dabei besteht der Wunsch nach digitalen Banking-Angeboten keinesfalls nur in der jungen Generation, sondern altersübergreifend. Chancen tun sich hier für europäische Banken zum Beispiel in Bezug auf neue Zahlungsmöglichkeiten per Smartphone und über das Internet auf.

Visa Europe erwartet, dass bis zum Jahr 2020 rund 60 Prozent aller Visa-Transaktionen in Europa mit mobilen Endgeräten erfolgen werden. Damit wurde die Prognose aus dem Vorjahr noch einmal um zehn Prozentpunkte angehoben. Voraussetzung für die Marktdurchdringung sind digitale Bezahllösungen, die benutzerfreundlich und sicher zugleich sind. Im Geschäft innerhalb einer Sekunde zu bezahlen, indem man sein Smartphone nur kurz wenige Zentimeter vor ein NFC-fähiges Kassenterminal hält, geht fraglos einfacher, bequemer und schneller, als Kleingeld zu zählen.

Nur - wie lässt sich für mobile Geräte, mit denen Millionen Nutzer täglich durch die Weiten des World Wide Web surfen, die nötige Sicherheit gewährleisten? Auf diese Frage gibt es zwei grundverschiedene Antworten: entweder über mehr Sicherheit im Telefon oder über eine Verringerung des Wertes der gespeicherten Informationen.

Ersterer Ansatz liegt den SIM-basierten Projekten zugrunde; hierbei wird die Kartennummer über eine hochsichere Datenverbindung in einen speziellen Speicherbereich der SIM-Karte eingespielt. Auch neuere Smartphones verfügen oft über ein fest eingebautes "Secure Element", in dem diese Information sicher gespeichert werden kann. Dieses Modell ist im Prinzip eine direkte Übertragung des heutigen Kartenkonzepts, bei dem die Kartennummer sicher im Chip auf der Bank- oder Kreditkarte abgelegt ist und hierüber alle Transaktionen verschlüsselt werden.

Anders dagegen der Token-Ansatz: Statt auf zusätzliche Sicherheit im mobilen Endgerät zu setzen, verlagert die Token-Technologie die Speicherung sensibler Kartendaten ins Backend und beschränkt die Übermittlungswege echter Daten auf die beiden Teilnehmer im Vier-Parteien-System, die die Kartennummern ohnehin kennen - die kartenausgebende Bank und Visa. Auf dem Smartphone wird nur noch ein Token gespeichert, mit sehr begrenztem Wert für jeden Angreifer.

Tokens im Vier-Parteien-System:

Datenspeicherung im Backend

Tokenisierung ist der Prozess, bei dem Kartennummern - auch Primary Account Numbers (PAN) genannt - durch spezielle Transaktionsnummern ersetzt werden, die sogenannten Tokens. Diese sehen aus wie die 16-stelligen PANs. Sie funktionieren nach den gleichen Regeln wie die echten PANs und enthalten die gleiche Bank Identification Number (BIN), mit der Transaktionen im globalen Zahlungsnetzwerk an Acquirer und kartenausgebende Banken weitergeleitet werden. Die echten Kartennummern verbleiben in hochsicheren Rechenzentren der Banken selbst oder denen von zentralen Token Service Providern wie Visa Europe. Beim Bezahlvorgang wird ein Kryptogramm an das Kassenterminal übermittelt und über die Netze der Zahlungsdienstleister an den Visa Token Service geschickt. Dieser überprüft die Authentizität des Tokens, wandelt ihn in die zugehörige echte PAN um und schickt diese an die kartenausgebende Bank zur Zahlungsfreigabe. Erteilt die Bank die Zahlungsfreigabe, verwandelt der Visa Token Service die PAN zurück in den Token und der Händler erhält die Zahlungsautorisierung.

Dieses Konzept ist nicht nur im Rahmen von Mobile Payment am PoS interessant, sondern auch im E-Commerce, wo viele Internet Payment Service Provider dies bereits anwenden. Denn eine große Menge gespeicherter Kartendaten in der Händlerdatenbank weckt das Interesse krimineller Hacker - wie spektakuläre Datendiebstähle der jüngeren Vergangenheit vor allem in den USA belegen. Wenn die Händler statt echter Kartennummern nur noch Tokens speichern, wird der Wert dieser Daten für Kriminelle dadurch deutlich reduziert.

Banken können Anwendungsbereiche selbst steuern

Durch die Token-Technologie wird das Risiko des Missbrauchs von Kartendaten deutlich verringert. Sie erlaubt Banken und Finanzdienstleistern unter anderem, die Anwendungsbereiche zu steuern, in denen Tokens eingesetzt werden können. Zum Beispiel kann ein Token, der für kontaktloses Bezahlen ausgegeben wurde, nicht für Einkäufe im Internet genutzt werden. Auch können Tokens so konfiguriert werden, dass sie nur mit einem bestimmten Endgerät funktionieren. Und um das E-Commerce-Beispiel aufzugreifen: Ein Internet-Händler ruft für jede vom Kunden hinterlegte Bezahlkarte stattdessen einen Token von einem zentralen Token Service Provider ab. Mit seiner Händlerbank trifft er nun eine Vereinbarung, dass der Token nach einem etwaigen Datenabgriff niemals woanders zum Bezahlen eingesetzt werden kann.

Visa Europe ist überzeugt, dass das Vertrauen von Verbrauchern in das digitale Bezahlen hierdurch deutlich gefestigt werden kann. Und die Mitgliedsbanken haben den großen Vorteil, dass sie individueller und zielgerichteter reagieren können. Neue digitale Services können einfacher, schneller und zu geringeren Kosten eingeführt werden. Außerdem kann ein Token sofort und einfach von der kartenausgebenden Bank deaktiviert werden, etwa wenn ein mobiles Gerät verloren geht oder gestohlen wird. Die aufwendige Kartensperrung und Ausgabe einer neuen Plastikkarte entfällt, weil die echten Kartendaten nicht auf dem Mobilgerät gespeichert sind. Die Sperrung eines Tokens hat also keine Auswirkung auf bestehende Produkte und Prozesse.

Keine Beschränkung auf bestimmte Smartphone-Hersteller

Die Token-Technologie wurde so konzipiert, dass neben den Banken auch neue Teilnehmer der Zahlungsindustrie sowie Hersteller von Endgeräten, soziale Netzwerke und andere Technologieunternehmen Bezahllösungen in ihre Plattformen integrieren können. Das Verfahren ist nicht an bestimmte Hersteller oder Gerätetypen gebunden. Beim mobilen Bezahlen werden so zum Beispiel Systeme mit physischem Sicherheitselement - wie es im i-Phone 6 von Apple verbaut ist -, SIM-basierte oder Cloud-basierte Systeme unterstützt. Einige Mitgliedsbanken von Visa Europe setzen Host Card Emulation (HCE) bereits zum sicheren kontaktlosen Bezahlen ein. Technisch ist HCE eine Software-Architektur, die auch ohne physisches Sicherheitselement im Gerät ein Höchstmaß an Sicherheit gewährleistet.

Seit Google erstmals die Integration von HCE in die Kitkat-Version des Betriebssystems Android (Version 4.4) angekündigt hat, arbeitet Visa eng mit Mitgliedsbanken und anderen Finanz- und Technologieunternehmen zusammen. So wird sichergestellt, dass NFC-Zahlungen mit der HCE-Funktionalität die strikten Anforderungen an Bezahllösungen unter der Marke Visa erfüllen. Die Erfolge stützen die langfristige Strategie von Visa, mit verschiedenen Partnern zusammenzuarbeiten. Dazu gehören führende Mobilfunkbetreiber, Smartphone-Hersteller und Entwickler von Betriebssystemen. Ziel dabei ist es, den Mitgliedsbanken ein Portfolio von Lösungen anzubieten, mit denen sie ihren verschiedenen Kundensegmenten mobiles Bezahlen mittels der neuesten Technologien ermöglichen können.

Zentrale Plattform für Innovationen

Sieben Mitgliedsbanken nutzen den Visa Token Service bereits für mobile Bezahllösungen mit Android-Apps. Darunter befinden sich neben Banken aus Finnland, der Slowakei, der Türkei und Italien auch spanische Banken wie Bankinter und BBVA, deren App bereits von mehr als 200 000 Kunden genutzt wird. Viele weitere Banken in Europa werden Apps für das cloudbasierte Bezahlen mit Visa in Google Play bis Ende 2015 verfügbar machen. Auch erste Banken in Deutschland arbeiten bereits an der Einführung. Im Laufe des Jahres werden mehr und mehr Verbraucher an den derzeit 57 000 Terminals im Handel kontaktlos mit Visa per Smartphone einkaufen. Und die gleiche Token-Technologie kommt auch bei der digitalen Wallet V.me by Visa zum Einsatz, die ab Ende 2015 von den ersten deutschen Banken ihren Kunden angeboten wird.

Die gemeinsame Studie von Visa Europe und Roland Berger hat gezeigt, dass Kunden das digitale Erlebnis wollen. Dabei stehen die Banken vor der Herausforderung, den "Spagat" zwischen der erforderlichen Sicherheit und dem vom Verbraucher erwarteten Komfort zu meistern. Dies ist von elementarer Bedeutung, denn Lösungen, die sich allein auf ein Maximum an Sicherheit fokussieren, verspielen mit komplizierten Registrierungsprozessen und häufig auch Medienbrüchen die Chance auf eine schnelle Marktdurchdringung. Denn letztlich entscheidet sich der Großteil der Verbraucher immer für die einfache und bequeme Lösung. Dass diese auch sicher ist - gerade wenn sie von seiner Bank kommt - wird dabei vorausgesetzt.

Die letzten Jahre haben gezeigt, dass die Einführung von Mobile-Payment-Initiativen mit Herausforderungen verbunden ist. In einem komplexen Umfeld sind zahlreiche Parteien erforderlich, um ein solches Projekt umzusetzen. Dazu müssen Banken, Mobilfunknetzbetreiber und Smartphone-Hersteller zusammenarbeiten, auch weil die technische Integration hohe Investitionen erfordert. Gleichzeitig ist die Technologie-Landschaft im konstanten Umbruch, und wird sich weiterentwickeln. Banken müssen in diesem Umfeld mit den sich ändernden Anforderungen ihrer Kunden Schritt halten. Gleichzeitig müssen sie ihre Investitionen so planen, dass sie auch zukünftige neue Ansätze unterstützen.

Die Token-Technologie schafft nun eine zentrale Plattform für Innovationen, die es Banken ermöglicht, weiterhin relevant zu bleiben und die Kontrolle über die Technologien zu behalten, über die sie ihre Services anbieten möchten. Nicht zuletzt werden Verbraucher mit dem Smartphone oder der digitalen Wallet im Internet bequem einkaufen - und dabei von einer bisher unerreichten Balance aus Benutzerfreundlichkeit und Sicherheit profitieren.