Kontaktloses Bezahlen mit dem Smartphone

"Der Mehrwert ist die Geschwindigkeit"

Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Beate Wöhe leitete als Director Experts Network das IDG Experten-Netzwerk für alle Online-Portale der IDG Tech Media GmbH. Sie hatte diese Position nach über zehnjähriger Tätigkeit als Redakteurin und leitende Redakteurin des IDG-Titels ChannelPartner im Juli 2014 übernommen. 
Immer mehr Finanz-, Dienstleistungs- und Handelsunternehmen springen auf den Zug mobiler Bezahlmöglichkeiten per Smartphone auf. Doch zu diesem Thema sind noch viele Fragen offen. Michael Kuemmerle von Giesecke & Devrient GmbH stellte sich diesen Fragen.

IT-Hersteller, Mobilfunk-Provider, Kreditkarteninstitute und Banken arbeiten zusammen, um neue Mobile-Payment-Modelle zu entwickeln. Was glauben Sie, welches Verfahren in Zukunft das Rennen machen wird?

Michael Kuemmerle: Von den verschiedenen Verfahren am Markt gehört die Übertragungstechnologie NFC sicherlich zu den am weitesten verbreiteten. Die Technologie profitiert von der zunehmenden Verbreitung von kontaktlosen Kreditkarten wie Visa payWave und Mastercard PayPass. Hier können die gleichen Leseterminals genutzt werden. Mit der weltweiten Zunahme kontaktloser Karten wächst auch die Anzahl der kontaktlosen Kassenterminals, die für das Bezahlen mit dem Smartphone via NFC vorbereitet sind. Aktuell gibt es weitere alternative Zugangsverfahren wie beispielsweise QR-Codes. Ganz gleich, welche Zugangstechnologie zum Einsatz kommt - als G&D sind wir der Spezialist für die Absicherung des mobilen Bezahlverfahrens mit Hilfe unserer Produkte und Lösungen.

Wann wird Mobile Payment per NFC in Deutschland und Europa eine sichtbare Marktdurchdringung erreicht haben?

"Heute bezahlen Sie im Geschäft mithilfe des sicheren Datenspeichers auf der Kreditkarte und morgen mit der SIM-Karte im Mobiltelefon." Michael Kuemmerle, Mitglied der Geschäftsführung und Leiter des Geschäftsbereichs Mobile Security bei der Firma Giesecke & Devrient GmbH
"Heute bezahlen Sie im Geschäft mithilfe des sicheren Datenspeichers auf der Kreditkarte und morgen mit der SIM-Karte im Mobiltelefon." Michael Kuemmerle, Mitglied der Geschäftsführung und Leiter des Geschäftsbereichs Mobile Security bei der Firma Giesecke & Devrient GmbH
Foto: Giesecke & Devrient GmbH

Kuemmerle: Es gibt dazu kaum einheitliche Prognosen. Die Zahlen der verschiedenen Marktbeobachter schwanken. Entscheidend für uns ist: Banken und Netzbetreiber im In- und Ausland setzen sich intensiv mit der Technologie und möglichen Anwendungsszenarien auseinander. Die Frage ist nicht mehr, wann und ob Mobile Payment mit NFC kommen wird, sondern wie schnell wir eine deutliche Marktdurchdringung schaffen werden.

Laut Gartner werden in diesem Jahr fast eine viertel Milliarde Nutzer weltweit Mobile Payment nutzen. Viele NFC-basierte Bezahlprojekte haben daran einen wesentlichen Anteil. Aktuell zählen Länder wie die USA, Korea, Japan, UK und Skandinavien zu den Vorreitern der NFC-Technologie. Auch in anderen Ländern nimmt die Verbreitung von kontaktlosen Bezahlterminals weiter zu. Schon jetzt liefern die führenden Terminalhersteller nur noch Geräte aus, die eine kontaktlose Schnittstelle unterstützen. Gleichzeitig haben mehr und mehr neue Mobiltelefone die NFC-Technologie bereits integriert. Die Weichen in Richtung des mobilen Bezahlens sind gestellt.

Deutschland ist in Sachen Mobile Payment per NFC noch Entwicklungsland. Worin sehen Sie die Gründe dafür?

Kuemmerle: Es gibt auch in Deutschland erste Mobile-Payment-Projekte: O2-Kunden können seit Februar dieses Jahres mit einer von G&D gesicherten, virtuellen Kreditkarte kontaktlos mit ihrem Mobiltelefon bezahlen. In Dortmund bietet die Volksbank gemeinsam mit G&D Kreditkartenzahlungen auf dem Mobiltelefon an. Allerdings gibt es auch Gründe, wieso Deutschland nicht zu den führenden Ländern bei der Einführung der NFC-Technolgie gehört. Ein wichtiger Punkt ist das Kaufverhalten in Deutschland. In Deutschland werden unterschiedlichste Zahlungsmittel wie Bargeld, Überweisung, Scheck, Lastschriftverfahren, EC- und Kreditkarten nebeneinander genutzt. Statistiken zeigen, die Deutschen bezahlen am liebsten bar. Entsprechend steigen die Umsätze für alternative Zahlungsmethoden, wie Kartenzahlungen langsamer als in Ländern wie Großbritannien oder Spanien.

Entscheidend für den Erfolg neuer Bezahlverfahren wie Mobile Payment sind das Vertrauen der Kunden in die Lösung und der sichtbare Mehrwert gegenüber den herkömmlichen Verfahren. Der Mehrwert ist vor allem die Geschwindigkeit des Bezahlens mit dem Mobiltelefon und die Einfachheit, speziell bei kleineren Beträgen. Letztlich wird es aber nur dann nennenswerte Fortschritte in Deutschland geben, wenn die Zahl der kontaktlosen Terminals flächendeckend zunimmt.

Was machen andere Länder anders oder besser?

Kuemmerle: Die Infrastruktur für das elektronische Bezahlen hatte in Deutschland schon sehr früh einen hohen Reifegrad erreicht, als in Deutschland viele Stakeholder das kontaktlose Bezahlen per NFC-Mobiltelefon noch nicht auf ihrem Radar hatten. In Polen beispielsweise war die Infrastruktur für das elektronische Bezahlen per Bankkarte bis vor kurzem nicht stark ausgebaut. Nun hat Polen gegenüber Deutschland den Vorteil dass man dort durch den späteren Einstieg in elektronische Bezahlverfahren eine Technologiegeneration - das kontaktbehaftete Bezahlen am Terminal - direkt übersprungen hat. Gleichzeitig hat mit deren Einführung auch die Beliebtheit elektronischer Zahlungsmittel rapide zugenommen.

Können Sie Aussagen darüber machen, wie viele Smartphone-Modelle derzeit in Deutschland auf dem Markt sind, mit denen das Bezahlen per NFC bereits möglich ist?

Kuemmerle: Eine genaue Aussage darüber ist schwer zu treffen. Mit dem Samsung Galaxy S III und S IV, dem Nexus von Google oder dem Sony Xperia sind vier absolute Topseller mit NFC ausgestattet - ein Trend, der anhalten wird.

Woran liegt es, dass diese Zahl im Vergleich zum weltweiten Handymarkt noch so gering ist?

Kuemmerle: Fast alle großen Mobiltelefonhersteller bis auf Apple haben mittlerweile NFC-fähige Modelle in ihrem Sortiment. Viele der aktuellen Top-Modelle sind mit der Technologie ausgestattet. Mittlerweile nimmt aber auch die Zahl der Smartphones im gehobenen und sogar mittleren Preissegment zu, die mit NFC-Technologie ausgestattet sind. Damit steigen die Anteile vor allem in den Industriestaaten rapide an.

Warum ist das für die Sicherheit zuständige "Secure Element" in der SIM-Karte verbaut und wird nicht gleich als fester Hardwarebestandteil in das Smartphone integriert?

Kuemmerle: Für die Integration des sicheren Elements gibt es drei verschiedene Ansätze, die alle ihre Rechtfertigung haben und für deren Absicherung G&D entsprechende Lösungen bereitstellt. Das Secure Element kann entweder fest im Gerät verbaut, oder auf der SIM-Karte oder einer MicroSD-Karte integriert sein. Welcher der drei Ansätze zum Tragen kommt, hängt dabei eng von regionalen Marktgegebenheiten ab. Entscheidend ist, dass alle drei Lösungen eine, bei Smart-Cards üblichen, hohen Sicherheitsstandard zum Schutz der wichtigen Daten bieten.

Wie oft wurde das Secure Element schon gehackt?

Kuemmerle: Das Secure Element entspricht einer Smartcard-Technologie der höchsten Sicherheitsstufe, die in der Regel nach Common Criteria oder EMVCo zertifiziert ist. Das Secure Element dient dabei als Tresor, um sicherheitssensible Anwendungen sicher zu speichern. Um allerdings eine hohe Sicherheit beim mobilen Bezahlen zu gewährleisten, ist es auch notwendig, die Sicherheit anderer Komponenten des Systems genau zu untersuchen und abzusichern.

Um auch künftig die Sicherheit zu gewährleisten, forschen wir selbst kontinuierlich an neuen Angriffsszenarien auf sichere Systeme, um daraus effiziente Gegenmaßnahmen abzuleiten und den Hackern einen Schritt voraus zu sein.

Funktioniert Mobile Payment mit allen NFC-fähigen Devices, die ein SIM-Karten-Modul besitzen, oder wird das Payment-Modul mit dem Smartphone in irgendeiner Weise gekoppelt?

Kuemmerle: Nein, das ist nicht erforderlich. Das kontaktlose Bezahlen ist mit allen NFC-fähigen Handys möglich. Notwendig dafür ist ein Sicheres Element mit der entsprechenden Bezahlapplikation im Mobiltelefon und ein standardisiertes Kontaktlos-Terminal, das in Geschäften oder Restaurants zur Verfügung steht.

Wie funktioniert eigentlich das Secure-Element-Ökosystem?

Kuemmerle: Nicht wesentlich anders als das heutige, bewährte sichere, elektronische Bezahlsystem. Heute bezahlen Sie im Geschäft mithilfe des sicheren Datenspeichers auf der Kreditkarte. Morgen mithilfe der SIM-Karte im Mobiltelefon. Benötigt wird dazu eine sichere Form der Personalisierung des Datenspeichers wie heute bei der Kreditkarte auch - das macht G&D im Auftrag der Bank.

Neu ist der Weg, wie die Kreditkarte zum Kunden kommt. Der Kunde bekommt dann keine Plastikkarte mehr mit der Post zugeschickt, sondern die Kreditkarte wird über eine hochsichere Verbindung des Mobilfunknetzes auf der SIM-Karte des Mobiltelefons installiert und über die digitale Geldbörse im Handy verwaltet..

Eine SIM-Karte wird mit den einzelnen Modulen bestückt.
Eine SIM-Karte wird mit den einzelnen Modulen bestückt.
Foto: Giesecke & Devrient

Wer hat die Oberhand über das Freischalten und den jeweiligen Service?

Kuemmerle: Die Oberhand über die Freischaltung hat derjenige, der die Schlüssel zum sicheren Datenspeicher besitzt, in dem die Anwendungen bereitgestellt werden sollen. Der Datenspeicher, wir nennen es Secure Element, kann entweder ein fest im Mobiltelefon eingebauter Speicher oder die SIM-Karte des Geräts sein. Im Secure Element lassen sich sogar mehrere Anwendungen gleichzeitig speichern.

Sie müssen sich das Secure Element wie ein Mehrfamilienhaus vorstellen. In jede Wohnung kann eine Anwendung einziehen. Das kann eine Kreditkarte genauso wie ein Nahverkehrsticket oder auch eine Bonuskarte sein. Die Schlüssel für all diese Wohnungen hat der Hausschlüsselverwalter, der so genannte Trusted Service Manager (TSM). Diese Rolle übernimmt G&D. So lassen sich auf einem Mobiltelefon verschiedene Anwendungen speichern, die jeweils noch einmal unabhängig voneinander geschützt sind.

Aber was muss der Anwender tun, um überhaupt EC-Karte, Kreditkarte, Bahncard, Vielfliegerkarte, Autovermieterkarte, Tankkarte etc. über sein Smartphone abwickeln zu können?

Kuemmerle: Voraussetzung ist natürlich, dass der jeweilige Serviceanbieter wie eine Bank oder der Nahverkehrsbetreiber seinen Dienst auch mobil anbietet. Ist das der Fall, dann kann der Serviceanbieter auf Betreiben des Kunden den TSM - also G&D - mit dem Download und der Personalisierung der Applikation beauftragen. Mit einer so genannten Wallet, wie wir sie mit unserer SmartTrust Portigo anbieten, kann der Anwender die Vielzahl seiner NFC-Dienstleistungen bequem verwalten und wie bei der klassischen Geldbörse die gewünschte Karte auswählen.

Und wer schaltet dem Kunden den Dienst auf der Karte frei? Erhält der Kunde mit jedem neuen Dienst eine neue SIM-Karte?

Kuemmerle: Nein - eine neue SIM-Karte ist nicht jedes Mal erforderlich. Die Anwendungen werden alle auf einer SIM-Karte der neusten Generation gespeichert, nachdem sie vom Trusted Service Manager heruntergeladen wurden. Nach dem Download und der Personalisierung der Applikation ist die Anwendung sofort einsatzbereit.

Die Tür zum Mehrfamilienhaus wird also durch den TSM aufgesperrt, um unser Bild noch einmal aufzugreifen. Eine spezielle Aktivierung ist anschließend nicht mehr notwendig. Jede neue Anwendung, die sich der Benutzer herunterlädt, ergänzt schon bestehende Applikationen auf derselben NFC-fähigen SIM-Karte. (bw)

Giesecke & Devrient GmbH (G&D)

Das in München ansässige Unternehmen wurde am 1. Juni 1852 in Leipzig als "Typographisches Kunstinstitut Giesecke & Devrient" gegründet. Zunächst spezialisierte sich G&D auf den Banknotendruck mit den dazugehörigen Sicherheitspapieren und Maschinen. Heute ist G&D in 32 Ländern vertreten und gilt als Spezialist für Sicherheitstechnologien. Insbesondere die Bereiche Chipkarten, elektronischer Zahlungsverkehr, Personenidentifizierung, Internetsicherheit und Sicherheitslösungen für den Mobilfunk gehören zu den Hauptgeschäftszweigen.

Zur Startseite