NFC und mobiles Bezahlen in Deutschland – die nächste Blase?

tl;dr / English summary below. (scroll down bravely)

Und wieder einmal naht nun bald das Weihnachtsgeschäft für die Mobilfunkindustrie, wo es wie immer darum geht, potenzielle Kunden mit möglichst eindrucksvollen neuen Funktionen und Anwendungen zum Kauf ihres nächsten Gerätes zu bewegen.
Was erwartet uns in diesem Jahr? Mal abgesehen von der Einführung der ersten Nokia Lumia Geräte mit Windows Phone, dürfte auch NFC so langsam immer mehr an Popularität gewinnen.

Nein, keine Angst, ich werde hier jetzt nicht auch noch anfangen, groß und breit zu erklären, was das genau sein soll und was man theoretisch alles damit machen könnte und überhaupt.
Im Gegenteil, der Anlass dieses Beitrages ist vielmehr, dass mich gerade das ein wenig nervt:
Die Situation fühlt sich momentan noch an wie Bullshit-Bingo in der Dotcom-Blase – alle reden plötzlich vom mobilen Bezahlen mit dem Handy, und trotzdem ist man hinterher noch genauso schlau wie vorher.
Offenbar kann es sich heute kein großes Unternehmen der Branche mehr leisten, nicht auch noch irgendwie in diesen boomenden Zukunftsmarkt mit involviert zu sein, und so sieht liest man die zahlreichen Insellösungen geradezu überall aus dem Boden sprießen…

Aber der Reihe nach. Ich denke die Situation bei Kreditkarten eignet sich schon jetzt ganz gut als Einstieg in die Problematik, die mit NFC demnächst auf uns zukommen könnte:

Ein Kreditkartenunternehmen ist keine Bank

Das heißt, ich kann als Kunde nicht einfach zu Mastercard oder Visa gehen, um eine Karte zu beantragen – vielmehr bin ich auf eine Bank angewiesen, die mir diese Karte ausstellt. Soweit so gut.
Nun waren Kreditkarten in Deutschland – im Gegensatz zu den USA – schon immer relativ wenig verbreitet, zumal man für die Beantragung volljährig sein musste und der Bank idealerweise auch noch irgendwelche Sicherheiten vorweisen können sollte.
Das Einkaufen bei Online-Händlern außerhalb Deutschlands war (Jahre vor der PayPal-Ära) also ohne Kreditkarte so gut wie unmöglich, bis irgendwann die Prepaid-Karte erfunden wurde (die man sogar als Minderjähriger bekommen kann, um eine solche Diskriminierung bei Zahlungsmethoden zu vermeiden – zumindest in der Theorie). Nur: wo bekam man sie? Auf jeden Fall schonmal nicht direkt bei Mastercard oder Visa…

Und so erinnere ich mich noch gut daran, wie ich vor einigen Jahren mal spaßeshalber bei meiner Bank nach einer solchen Prepaid-Mastercard gefragt hatte, durchaus in der Erwartung, für derart komische Fragen höchstens nur mal wieder verständnislos angeguckt zu werden. Die Antwort meiner Kundenberaterin lautete daraufhin jedoch sinngemäß: “Nein, solche Karten bieten wir nicht an. Aber mein Sohn hatte sich die auch irgendwo aus dem Internet bestellt…”
Okay, die Nachfrage dafür schien in der Durchschnittsbevölkerung auf dem Land wohl nicht sonderlich groß zu sein.

Fassen wir kurz zusammen:
Ich (als Kunde) beantrage also im Normalfall eine Karte einer bestimmten Dachmarke (Mastercard, Visa) bei einem kartenausgebenden Institut (Bank), mit einem bestimmten Abrechnungsmodell (Prepaid, Standard, Platinum, …), die wiederum von einem bestimmten Typ sein soll (nur nostalgischer Magnetstreifen, mit EMV-Chip, oder sogar schon kontaktlos?), und das ganze am besten auch noch zu halbwegs hinnehmbaren jährlichen Kosten. (Für die Jahresgebühr so manch aggressiv im Unterschichtsfernsehen beworbener Prepaid-Karten (“ohne Schufa!” usw.) bekäme man als Business-Kunde sicher schon beinahe die goldfarbene Variante, mit deutlich mehr Inklusivleistungen…)

Am Ende bleiben dann gar nicht mehr so viele Möglichkeiten für die persönliche Wunsch-Kombination übrig – insbesondere im Bereich Prepaid oder kontaktlos (PayPass / payWave) ist man hier schnell bei (jeweils!) nur noch einer handvoll Banken, die soetwas überhaupt anbieten würden.
(Nun dürft ihr raten, woher ich z.B. die VfB-Fankarte habe: Als “Sammlerstück”, gebraucht über eBay! Einzige Alternative: selbst nach Stuttgart fahren und vor Ort kaufen… Nach eigenen Angaben übrigens europaweit die einzige Prepaid+PayPass-Karte, die auch noch übertragbar ist.)

Bis hierhin ist also alles noch sehr einfach: Habe ich tatsächlich einmal die gewünschte Kombination gefunden, bekomme ich von der jeweiligen Bank schließlich eine kleine bunte Plastikkarte per Post zugesandt, die ich dann einfach in mein Portemonnaie stecken kann.
Überraschenderweise funktioniert dies sogar völlig unabhängig davon, wer der Hersteller des Portemonnaies ist, und wo es ursprünglich mal gekauft wurde! (zugegeben, ich weiß es nichtmal mehr)

Stellen wir uns nun jedoch vor, dass es nicht bloß bei einem Stück Polyvinylchlorid bleiben soll, das in ein Stück Textilimitat gesteckt wird – vielmehr soll eine solche Zahlungsfunktion jetzt also “irgendwie ins Handy” reinkommen…

Hierfür zunächst nochmal etwas allgemeiner (und ein wenig vereinfacht) zur Funktionsweise von heutigen Zahlungskarten:

Die Sache mit dem Sicherheitselement

Betrachten wir den Magnetstreifen schonmal direkt als Relikt aus der Vergangenheit, so findet sich heute auf den meisten Karten ein EMV-Chip (die drei Buchstaben bezeichnen lediglich die Unternehmen “Europay, Mastercard und Visa”, die sich ursprünglich mal die Spezifikationen dafür ausgedacht hatten). Darauf befinden sich – bereits im Auslieferungszustand der Karte! – die geheimen Schlüssel der jeweilig unterstützten Zahlungsapplikationen, mit denen die Transaktionsdaten verschlüsselt werden können. (Sämtliche Sicherheit basiert also im Grunde nur darauf, dass man aufgrund der mechanischen Beschaffenheit der Chipkarte nicht einfach mit einem Schraubenzieher anrücken und die ‘Festplatte ausbauen’ kann, um deren Daten auszulesen… zumal man in so einem Chip weder x86-Architektur noch FAT32-Dateisystem o.ä. vorfinden wird, um mit irgendwelchen wie auch immer ausgelesenen Daten überhaupt etwas anfangen zu können.)

Die geheimen Schlüssel für die Zahlungsapplikation gelangten also bereits während des Herstellungsprozesses (im Auftrag der Bank) auf die Karte.

Möchte man jetzt aber ein Mobiltelefon als “Kreditkarte” verwenden, so würde ein Zahlungsdienstleister natürlich erwarten, dass das Gerät derartige Informationen auch möglichst geheim halten kann – konkret: die Schlüssel können nicht einfach in irgendeiner App im normalen Flash-Speicher des Geräts abgelegt werden, wo sie nach Jailbreak/Root/… sowie Reverse-Engineering der Anwendung vergleichsweise leicht auszulesen wären.
Stattdessen verwendet man wiederum physische “Chipkarten”, die in das Mobiltelefon integriert werden: sogenannte “Sicherheitselemente”.
Dort können dann beispielsweise die geheimen Schlüssel für Zahlungsfunktionen hinterlegt werden.

Aber wie kommen die da nachträglich rein? Zum sicheren Transport der Daten wird zunächst mal eine verschlüsselte Verbindung zum Sicherheitselement benötigt, und gleichzeitig muss der jeweilige Zahlungsdienstleister diesem Element auch vertrauen können, dass es die Daten an niemanden weitergeben wird (es sollte sich also z.B. nicht um einen Emulator o.ä., sondern um ein “echtes” im Gerät verbautes Element handeln, dem man die Schlüssel anvertrauen kann).

Letztendlich bedeutet das, dass wiederum irgendjemand die geheimen Schlüssel zur Kommunikation mit diesem Sicherheitselement verwalten muss (die bereits vor dessen Auslieferung an den Nutzer eingebracht wurden), und damit die alleinige Kontrolle darüber besitzt, später weitere Anwendungen darauf installieren (=deren geheime Schlüssel hinterlegen) zu können.

Über die Position dieser Sicherheitselemente herrscht nun nach wie vor Uneinigkeit:
Nokia hatte z.B. ursprünglich bei den ersten NFC-Prototypen (6131 NFC und 6212 classic) ein solches Element fest in den Geräten verbaut.
Was bedeutet das für den Nutzer? Man erhält das Sicherheitselement schon beim Kauf des Gerätes, ist aber darauf angewiesen, einen Anbieter zu finden, der auch bereit wäre, mit diesem Gerätehersteller zu kooperieren, bzw. seine Zahlungsanwendung über dessen Plattform anzubieten. Vorteil für den Nutzer: funktioniert unabhängig vom Netzbetreiber! Aber eben auch nur in genau diesem Gerät.

Die stattdessen für die Zukunft favorisierte Lösung heißt nun SWP: das “Single Wire Protocol” beschreibt die direkte Kommunikation zwischen NFC-Hardware und SIM-Karte, das heißt die sicherheitskritischen Anwendungen lassen sich damit auf der SIM-Karte (statt fest im Gerät) unterbringen. So hat z.B. Nokia es nun auch beim C7-00 implementiert: kein eigenes Sicherheitselement mehr verbauen, sondern es stattdessen der SIM-Karte überlassen. Bedeutet für den Nutzer: Erstmal einen Netzbetreiber finden, der einem eine solche Karte zur Verfügung stellt, und dann wiederum einen Zahlungsanbieter, der seine Anwendung auch über die SIM-Plattform genau dieses Netzbetreibers anbietet. Vorteil für den Kunden dagegen: Funktioniert unabhängig vom Gerätehersteller, und (theoretisch) sogar bei einem Wechsel des Geräts.

Dummerweise hat nun Google (bzw. Samsung) im Nexus S jedoch wiederum damit angefangen, feste Sicherheitselemente zu verbauen (über deren Speicher dann eben nur Google verfügen kann), und plötzlich tun alle so, als sei es jetzt ein Nachteil bei Nokia, dass deren Geräte nun nicht (mehr!) über diese für Zahlungsfunktionen so wichtige Hardware verfügen würden…

Die grundsätzliche Frage bleibt also: Wem möchte man überhaupt die Macht einräumen, darüber zu entscheiden, wer welche Zugangsschlüssel auf dem eigenen Gerät hinterlegen darf? Soll mein Gerätehersteller, oder doch eher mein Netzbetreiber die Kontrolle über alles bekommen (und natürlich auch von anderen Gebühren dafür kassieren)?!

Eine dritte Lösung wäre übrigens noch der microSD-Slot. Damit wäre der Nutzer völlig unabhängig von Gerätehersteller *und* Netzbetreiber. Aber: Wer sollte wiederum solche microSD-Karten ausgeben, um damit eine Plattform zu schaffen, die erstmal genügend Beachtung am Markt finden müsste, damit der Nutzer auch mit ernstzunehmenden verfügbaren Anwendungen rechnen kann?!

Und damit wären wir wieder beim vorherigen Kapitel: Für den Nutzer ergibt sich durch die Wahl des Plattformanbieters des Sicherheitselements nun eine weitere Komponente im System, die umso mehr neue Kombinationsmöglichkeiten von Voraussetzungen schafft, die erfüllt sein müssen, um am Ende auch die persönlich anvisierte Lösung zu erhalten. (Womöglich gar mit Auswirkungen in umgekehrter Richtung: Kaufe ich mir ein bestimmtes Gerät, bloß weil es eine Bank gibt, die mir über diese Plattform eine interessantere Zahlungsfunktion anbieten würde!?)

Welche konkreten Anwendungen gibt es bisher?

Versucht man einmal, das ganze Chaos der letzen Zeit (aus Pressemitteilungen, Messe-Demos etc. von großen Unternehmen) nach praktikablen Anwendungen zu durchsuchen, sind momentan einige wenige Systeme erwähnenswert.

So ist in den USA bereits Google Wallet als eine der ersten Komplettlösungen verfügbar, konkret handelt es sich hierbei um die Kombination: Android-Gerät von Samsung (offenbar nur Nexus S 4G?!) mit einer Mastercard der citigroup, für Kunden des Netzbetreibers sprint (interessant, da letzteres theoretisch nichtmal eine technische Voraussetzung wäre; vermutlich wird das Nexus S 4G exklusiv mit SIM-Lock über sprint angeboten).
Immerhin muss man sich hier um den Kartenvertrag mit der citibank nicht mehr kümmern: Google stellt alternativ auch eine virtuelle Prepaid-Mastercard (derzeit sogar mit $10 Startguthaben) zur Verfügung, die sich wiederum mit jeder beliebigen anderen Kreditkarte aufladen lässt.

Die übrigen amerikanischen Netzbetreiber haben dagegen mit isis eine gemeinsame (und offenbar SWP-basierte!?) Plattform geschaffen, für die bereits Kooperationen mit allen vier Kreditkartengesellschaften angekündigt sind. Ansonsten lässt sich aus dem offiziellen Video auf paywithisis.com kaum Information entnehmen – außer natürlich, dass man den Kunden der Zukunft am liebsten ständig im Mittelpunkt zahlreicher neuer Marketingmöglichkeiten sehen würde.

Die deutsche Telekom nennt ihre SWP-basierte Lösung hierzulande “Mobile Wallet”, und lässt in einer noch etwas praxisfern anmutenden Demonstration auf dem Mobile World Congress bei genauem Hinsehen immerhin erkennen, dass (“nehm’ ich mal das Konto hier”) die von der Telekom im letzen Jahr aufgekaufte Plattform clickandbuy verwendet werden soll; darüber hinaus möchte man offenbar auch Ticketsysteme wie Touch & Travel der Deutschen Bahn irgendwie noch mit integrieren.

In einer Pressemitteilung wurde weiterhin die zukunftige Entwicklung von mpass erwähnt: Bisher eine wenig beachtete Lösung der deutschen Betreiber Telekom, vodafone und O2, um in Online-Shops per SMS-Bestätigung auf Lastschrift zu kaufen, scheint auch hier noch die naive Hoffnung zu bestehen, im Einzelhandel mit einem eigenen System präsent zu sein. Süß auch, wie man für ältere Mobiltelefone “NFC-Sticker” anbieten will, die man einfach hintendraufkleben soll. (Welchen Unterschied macht es da denn noch, ob ich das Teil nun als Karte im Portemonnaie hätte oder aufs Handy klebe!? Und sollte man in diesem Fall – für nicht-NFC-Handys – tatsächlich übergangsweise am bisherigen Verfahren festhalten, so muss ich mir gerade das Lachen verkneifen bei der Vorstellung daran, wie jemand an der Ladenkasse steht und sekundenlang auf eine Bestätigungs-SMS wartet, um diese anschließend mit “JA” zu beantworten; was für absurde Vorstellungen manche Unternehmen doch haben…)

Aber wäre der Gedanke an neu aufkommende Zahlungsdienstleister grundsätzlich so abwegig?

Bisher beschränkte ich mich hier ja immer nur auf Kreditkarten – hauptsächlich deshalb, weil das momentan die einzigen Anbieter sind, die auch jetzt schon über entsprechende (kontaktlose) Terminals im Handel verfügen (okay, in Deutschland gibt es davon derzeit – immerhin – über fünfhundert, darunter z.B. Mastercard PayPass an sämtlichen star-Tankstellen, sowie zukünftig: BP/Aral und die Filialen von Douglas/Thalia/Hussel), welche somit also auch automatisch mit dem Handy nutzbar wären. Darüberhinaus besteht die Infrastruktur für Kreditkartenakzeptanz im Handel bereits großflächig, oft ist wirklich nur noch der Austausch des Terminals notwendig (ohne Änderungen am Kassensystem etc., ein nicht zu unterschätzender Faktor), um auch NFC-Zahlungen akzeptieren zu können.

Aber gerade im Lebensmittel- oder Drogerie-Einzelhandel ist man oft meilenweit vom Gedanken an Kreditkarten entfernt: Schließlich betragen die Gebühren für den Händler von der Größenordnung her in etwa das zehnfache derer für girocard-Transaktionen (0,3% vom Umsatz, mind. 8 Cent), wobei man hierzu kaum genaue Zahlen findet. Jedenfalls sind die Konditionen für beide Systeme sehr variabel (und damit intransparent; scheinbar soll es den Kunden aber auch gar nicht groß kümmern was der Händler zahlen muss), und z.B. im Mineralölsektor deutlich günstiger als anderswo.

Und so wäre es am Ende doch noch denkbar, dass auch einige neue Anbieter mit ihren Lösungen – bei entsprechend attraktiveren Konditionen – den Weg in den Einzelhandel finden könnten.

Bei genauerer Betrachtung der von Google angebotenen Prepaid Card liegt z.B. die Vermutung nahe, dass PayPass gar nicht unbedingt die einzige Schnittstelle zu diesem virtuellen Guthaben bleiben muss (Partner ist hierfür auch nicht die citibank, sondern FirstData “Money Network”). Bei einigen wenigen Handelsketten in den USA soll es schon jetzt mit “Google SingleTap” möglich sein, Coupons direkt an der Kasse einzulösen und gleichzeitig zu bezahlen – mit derselben Berührung. Ob die Abwicklung der Zahlung hier immernoch über Mastercard erfolgt oder tatsächlich “direkt” mit Google, ist den bisher verfügbaren Informationen nicht zu entnehmen, vorstellbar wäre es aber durchaus – immerhin muss der Händler bereits für das Anbieten und Einlösen von Coupons über Google Offers bzw. SingleTap einen Vertrag mit Google schließen, so dass naheliegen würde, darüber auch gleich die Zahlung (zu günstigeren Konditionen als per Kreditkarte) abzuwickeln.

Falls dem wirklich so sein sollte: Respekt, Google! Einerseits würde man sich die große Verfügbarkeit von Mastercard-Terminals zunutze machen, um die Popularität von Google Wallet voranzutreiben, um damit aber gleichzeitig auch wieder seine eigene Lösung auszubauen. Erinnert irgendwie ein bisschen an Apple und die WLAN-Positionierung über Skyhook Wireless…

À propos Apple: Spätestens das nächste iPhone dürfte ja nun auch mit NFC kommen, und das sicher nicht ohne dass Apple sich mal wieder etwas tolles einfallen lässt, was der Durchschnitts-Fanboy damit machen könnte. Gerüchte gingen ja schon in Richtung eines USB-“Lesers”, mit dem man Daten zwecks Synchronisation unkompliziert mit einem Desktop austauschen könnte. Genauso denkbar wäre aber auch die direkte Integration in zukünftige MacBooks, z.B. im oberen Teil im Bereich der Kamera, so dass das Berühren anderer Geräte “von vorne und hinten” möglich wäre – also man z.B. ein iPhone von der Bildschirmseite her an das MacBook halten, aber genausogut auch mit dem Rücken des MacBooks andere Geräte berühren könnte. Hat jetzt zwar überhaupt nichts mit dem Thema zu tun, wollte ich aber nur mal kurz schriftlich festgehalten haben, in der Hoffnung, dass es ggf. neuheitsschädlich sein könnte, für den den Fall dass Apple (oder jemand anders) tatsächlich auf die Idee käme, mal wieder ein paar lustige Patente zu beantragen um damit anderen Herstellern Verkaufsverbote in Deutschland anzudrohen oder Geld zu erpressen….

Wenn man berücksichtigt, wie zwanghaft in den letzten Jahren viele Unternehmen unbedingt in irgendeiner Form als “App” im Apple-Ökosystem präsent sein wollten, wäre vielleicht auch bei der Zahlungsakzeptanz im Handel mit entsprechend irrationalen Entscheidungen zu rechnen, die es Apple mittelfristig ermöglichen könnten, Google beim fleißigen Datensammeln auch hier ein bisschen Konkurrenz zu machen!?
Wenn Unternehmen im digitalen Bereich schon bereit sind, 30% ihrer Umsätze an Apple abzutreten, dürften wohl auch in der realen Welt (im Vergleich zu anderen Systemen) unverhältnismäßig hohe Transaktionsgebühren kein Hindernis darstellen – immerhin würde Apple einem dafür ja auch zahlreiche neue Kunden bescheren.
Und über die nötigen Kreditkartendaten von Millionen iTunes-Kunden verfügt man schließlich auch längst, sodass diese Unternehmen ebenfalls gut mitverdienen würden (warum sollte man Apple dann also noch dabei aufhalten wollen, eigene Bezahlterminals bei Händlern aufzustellen?! Okay, höchstens in der Befürchtung, dass Apple eines Tages selbst zur Bank werden könnte, um Kreditkartenunternehmen zu umgehen… *hust* Natürlich niemals mit der Absicht, Händlern damit günstigere Konditionen anbieten zu können).

Aber zurück zur Situation in Deutschland, weitab solcher Verschwörungstheorien. Wir sind ja bekanntlich ein skeptisches Volk von Barzahlern, und nicht jede proprietäre Lösung kann sich hier so schnell durchsetzen – ein manchmal überaus angenehmer Gedanke.

Sollte sich die (deutsche) Mobilfunkindustrie also tatsächlich trauen, hier auf komplett neue, eigene Zahlungssysteme zu setzen und diese konsequent und flächendeckend auszubauen (also möglichst viele Händler zu überzeugen), statt am Ende doch nur den bisherigen Monopolisten den Weg ins M-Payment-Geschäft zu ebnen, wird sich noch herausstellen müssen, wie groß das Vertrauen der Nutzer sowie die subjektiv empfundene Sicherheit bei Mobilfunkkonzernen – angesichts der Kombination von maximaler Profitgier mit minimaler Erfahrung im Payment-Bereich – tatsächlich ausfällt. Vor allem im Vergleich zu dedizierten Plastikkarten, welche ich am Ende genausogut anstelle des Handys auf ein Lesegerät legen kann (wie in Form von zahlreichen Mifare-Insellösungen auch schon seit langem gewohnt, z.B. in der Mensa etc.).

Aber wo wir gerade beim Thema neue Terminals im Einzelhandel waren:

Was sagen eigentlich die deutschen Banken dazu?

Schon vor einigen Jahren wurde die gute alte GeldKarte um die kontaktlose Schnittstelle erweitert – getestet unter anderem in der BayArena oder auf dem Hurricane Festival. (Und wieder: es ist nahezu unmöglich, an so eine Karte ranzukommen, wenn man nicht gerade vor Ort ist…)

Der nächste große Schritt wird nun aber die Umstellung sämtlicher girocards der deutschen Sparkassen auf Dual-Interface-Karten sein, die in der Pilotregion Hannover/Braunschweig/Wolfsburg in Kürze beginnen und bis Ende 2012 (bzw. bundesweit dann bis spätestens 2015) abgeschlossen sein soll.

Was fehlt sind aber auch hier wieder die Terminals im Handel. Ob es (nach dem ersten Anlauf der GeldKarte-Einführung ab 1996) nun nach 15 Jahren schließlich doch noch gelingen sollte, eine flächendeckende Verbreitung zu erreichen, wird sich zeigen müssen – bisher finden sich die Akzeptanzstellen der GeldKarte fast ausschließlich im Automatenbereich, während die Karte selbst (wenn auch noch nicht kontaktlos) schon längst so gut wie jeder mit sich herumtragen dürfte.

Bisher bestätigt sind – zumindest hier in der Pilotregion – immerhin die Zusagen von Edeka, dm, Douglas und Esso.
Geködert wurde wohl (neben dem Vorwand der “innovativen” kontaktlos-Technolgie mit Zeitersparnis usw.) hauptsächlich mit übersichtlicheren Konditionen: statt der bisherigen Regel “0,3% – mind. 1 Cent” gibt es nun eine Staffelung von: 1 Cent bis 5 Euro, 2 Cent bis 10 Euro und 3 Cent bis 20 Euro (darüber: girocard-Transaktion mit PIN), zzgl. Netzbetreiber-Gebühren.

Ein aus Sicht des Nutzers viel größeres Problem bleiben dagegen immernoch die Lademöglichkeiten dieses Prepaid-Guthabens, wenn gerade mal kein Geldautomat oder PC mit Kartenleser verfügbar ist.
Aus diesem Grund plant die Deutsche Kreditwirtschaft, eine Aufladung langfristig auch direkt an der Ladenkasse zu ermöglichen: Unter dem neuen Namen “girogo” sollen zukünftig bei niedrigem Guthaben automatisch Aufladungen initiiert, vom Kunden mit PIN bestätigt und direkt vor Ort durchgeführt werden können – man müsste bei teilnehmenden Händlern mit dem “girogo“-Logo (in Namens- und Farbgebung deutlich an “girocard” angeleht, bzw. technisch quasi als Erweiterung dessen zu verstehen) bald also nicht mehr fürchten, ohne Guthaben an der Kasse zu stehen.

Sicher geht es hier auch darum, der Mobilfunkbranche mit einer eigenen Lösung zuvorzukommen, bevor diese tatsächlich noch etwas brauchbares hervorbringt;

Trotzdem gibt es mit dem NFC-Handy natürlich immernoch die Möglichkeit, das aktuelle Guthaben auf der Karte (offline) auszulesen – eine entsprechende Anwendung namens “S-Kontaktlos-Reader” ist seit einigen Monaten kostenlos im Android Market erhältlich.

Fassen wir also zusammen: Kooperationen mit Händlern bestehen, die Ausgabe der Karten ist auch längst beschlossene Sache, dann bleiben ja nur noch die knapp 1 Million Bankkunden in der Region Hannover/Braunschweig/Wolfsburg, die noch nichts von ihrem Glück wissen…

Man “löse das Henne-Ei-Problem“, heißt es dazu seitens der Sparkassen, indem man die Karten einfach schonmal ungefragt unters Volk bringt.
Erinnert man sich daran, wie noch vor einem Jahr die unabwendliche Ausgabe des nPA begonnen hat (und kurzfristig zu allgemeiner Verschwörungs-Paranoia führte, so in Richtung “wir-werden-überall-unbemerkt-von-Terroristen-ausgelesen-werden”), ist auf den ersten Blick jedoch fraglich, ob z.B. eine solch oberflächlich gehaltene Infokampagne wie die Sparkassen-Seite kontaktlos.de mit der Erwähnung von Einschränkungen wie “Reichweite von maximal 10cm” oder dem Vorzug “keine Tasten drücken, keine PIN eingeben” tatsächlich der Überzeugung der Kunden, oder am Ende doch eher den Verschwörungstheoretikern dienlich sein wird.

Vielleicht sollte man den ahnungslosen Kunden zumindest bei Erhalt der neuen SparkassenCard darüber informieren, dass die GeldKarte im Auslieferungszustand noch nicht geladen ist, und somit zunächst mal gar keine nicht durch PIN autorisierten Abbuchungen möglich sind. (Oder wäre das wiederum hinderlich, weil man sich dann auf diese Aussage verlassen und die Funktion direkt ignorieren würde, ohne sich selbst vorher aktiv zu informieren!? hm…)

Momentan fühlt sich die Situation noch an wie die Ruhe vor einem großen Sturm der Entrüstung, der schon klar und präzise vorhergesagt wurde;
es kommt wohl vor allem darauf an, wie die Kombination aus Massenmedien und Bankkunden nun damit umgehen wird, wenn die ersten Karten getauscht sind.

Konkret ließe sich zumindest schonmal anmerken, dass bei den bisherigen kontoungebundenen Karten (BayArena / Karte aus GeldKarte-Shop) durchaus die Kartennummer sowie das Guthaben, jedoch beispielsweise nicht die letzten Transaktionen auf kontaktlosem Wege auslesbar sind (wobei letzteres bei zukünftigen Karten möglich sein könnte – immerhin wird dies als Funktion des “S-Kontaktlos”-Readers beworben).

Zumindest die eindeutige Kartennummer wird also den Unternehmen genauso zu Tracking-Zwecken zur Verfügung stehen, wie das schon immer bei Kartenzahlungen bzw. Rabattsystemen getan wurde, und anscheinend möchte man daran auch gar nichts ändern (denkbar wäre z.B. eine dynamisch generierte pseudo-Kartennummer für jede Transaktion, die dann erst beim Einlösen des Händlerkarten-Guthabens durch die Bank der jeweiligen (Kunden-)Karte zugeordnet werden könnte).

Die eigene Karte speichert übrigens auch die letzten 15 Transaktionen, inkl. Nummer der Händlerkarte, sodass bei unbeabsichtigten / unberechtigten Abbuchungen leicht nachvollziehbar wäre, wann und wo damit bezahlt wurde (“Relay-Angriffe” mit NFC-Handys über das Internet sind aber grundsätzlich technisch möglich; man müsste eben nur exakt zur gleichen Zeit bei irgendeinem teilnehmenden Händler selbst etwas bezahlen).

Es wird spannend…

Schlussfolgernd lässt sich also feststellen, dass wir in den nächsten paar Jahren wohl von zahlreichen Seiten mit mehr oder weniger kreativen oder auch vernünftigen Vorstellungen davon konfrontiert werden, wie und wo (und womit) wir in Zukunft bezahlen können/sollen/dürfen.

Und wie schon zu Zeiten von VHS, Betamax und Video 2000 muss sich natürlich nicht alles durchsetzen, vor allem auch nicht das technisch “beste” Verfahren, falls es soetwas überhaupt gibt.

Am Ende wird sicher der größere Teil davon über Marktmacht und Marketing entschieden, und nicht zuletzt können – wie bisher – auch mehrere Systeme nebeneinander existieren:

– Kreditkartenbasierte der bisherigen Anbieter sind international verfügbar, dafür aber für den Handel entsprechend teuer, und aufgrund der Abwärtskompatibilität zu nostalgischen Akzeptanzmodellen und -terminals, die in etlichen Ländern noch anzutreffen sind, nicht immer auf dem neuesten sicherheitstechnischen Stand.
– Bestehende Debit-Lösungen (Maestro, V-Pay; innerhalb Deutschlands girocard) können grundsätzlich auch kontaktlos abgewickelt werden.
– Die gemeinsam von den Banken getragene GeldKarte ermöglicht offline-Transaktionen in deutlich unter einer Sekunde zu extrem günstigen Konditionen; leider nur national verfügbar und spontane Aufladung ggf. problematisch.
(-> diese drei bzw. vier können schonmal problemlos parallel auf dem selben Chip einer physischen Bankkarte installiert werden)
– Insellösungen auf Lastschriftbasis werden wohl keine so großflächige Akzeptanz, aber günstige Händlerkonditionen und eine je nach Marktstellung des Anbieters große potentielle Nutzerbasis bieten können.

[“DVD-Bonusmaterial”, Kategorie unbenutzte Textabsätze] Was die subjektive Sicherheit betrifft…

Man wundert sich bei der Beobachtung solcher Diskussionen in Foren oder News-Kommentaren immer wieder, wie schnell doch basierend auf z.T. selbst angedichtetem Halbwissen Verallgemeinerungen getroffen und diese dann überschwänglich als Ablehnungsgrund gefeiert werden;
dabei wird schnell klar: Es geht den Teilnehmern doch auch gar nicht um die nach außen hin suggerierte, objektive Abwägung von Sicherheitsbedenken, zumal diese auch noch eine zumindest grundlegende Beschäftigung mit der Funktionsweise des Gesamtsystems voraussetzen würde.

Was ist z.B. mit Phishing? Seit wievielen Jahren wird das jetzt schon in den Medien breitgetreten, als ob es jeden Tag aufs Neue erfunden wurde?
Und die Lösung ist sicher nicht das überall praktizierte Auswendiglernen von “wenn meine Bank mir eine e-Mail schreibt, ignoriere ich die!” oder am liebsten noch die Installation von Filtersoftware, die sämtliche besuchten Webadressen vorher an den Anbieter zur “Überprüfung” sendet. Das alles zeugt doch nur wieder davon, dass das Bedürfnis nach einer grundlegendsten Auseinandersetzung mit den IT-Systemen, die man in seinen Alltag einbindet, ganz offensichtlich nicht vorhanden ist.

(Eine Erkenntnis, die leider ähnlich frustrierend ist, wie damals zu Zeiten penetranter Klingeltonwerbung im TV: Was störte war ja gar nicht unbedingt die Penetranz, sondern vielmehr die Feststellung, dass die Methode ganz offensichtlich funktionieren musste… Aber ich schweife schon wieder ab.)

tl;dr / English summary

This post was supposed to cover the situation in Germany concerning upcoming NFC-based payment systems.
In order to use mobile phones with (at least traditional) contactless payment systems, a protected storage called “Secure Element” is required within the phone.
However, the supplier of that secure element will be in control of any applications, including payment systems, that can be securely stored within the phone itself, or a USIM card that supports the “Single Wire Protocol”.
Here in Germany, it always used to be kind of hard to find a bank that would provide you with a special type of credit card, e.g. if you wanted a prepaid or contactless card, with acceptable annual fees – now that there will be multiple platforms of secure elements, this is probably becoming increasingly difficult.
But in Germany, credit cards are actually very uncommon for everyday purchases. Besides, mobile network operators are desperately hoping for a new chance of making big money, so they will be forcing their own (ridiculous?) systems, too.
Thus, we will see who actually manages to convince retail stores to accept their system, while users with postpaid plans will probably be signed up automatically for the system “mpass”, which shall also provide adhesive payment tags for owners of non-NFC-ready phones, and might even require text message confirmations – at the checkout (-> *lmao*).
Meanwhile, German banks are introducing contactless ATM cards, that allow for using the prepaid “GeldKarte” electronic purse system, which will become much more successful than all that google and apple and telcos’ stuff…
Anyway, the next months will be somewhat exciting, especially concerning marketing campaigns during Christmas sales in the mobile industry.

One thought on “NFC und mobiles Bezahlen in Deutschland – die nächste Blase?”

Leave a Reply

Your email address will not be published.