Neue VR-Bankcards: girocard kontaktlos ohne V-PAY kontaktlos?

Nachdem bereits vor einigen Jahren bekannt wurde, dass die Volks- und Raiffeisenbanken die bundesweite Einführung von girocards mit kontaktlos-Schnittstelle beschlossen haben, zog vor kurzem auch meine Bank nach: Bereits in den Wochen vor der Auslieferung wurden Kunden über einen Hinweis im Online-Banking informiert, u.a. darüber, dass die Kontaktlos-Schnittstelle zunächst inaktiv sei.

Diese solle jedoch automatisch beim ersten Einsatz der Karte am POS oder Geldautomaten aktiviert werden – es geht hier also anscheinend tatsächlich eher um einen Schutz vor Erkennbarkeit des Inhalts der ansonsten neutralen Briefsendung auf dem Transportweg als um eine potentielle Paranoia-Linderungsmaßnahme gegenüber dem zukünftigen Karteninhaber. Dennoch soll dieser die Möglichkeit haben, die kontaktlos-Funktion am Geldautomat der eigenen Bank jederzeit zu de- bzw. reaktiveren.

Und tatsächlich antwortet die Karte im Auslieferungszustand in keinster Weise auf ein angelegtes ISO 14443-Feld – es ist nicht nur die Zahlungsfunktion deaktiviert, sondern wirklich die physische Kontaktlos-Schnittstelle.

Wenn nun die eigene Neugier nicht bis zum nächsten Geldautomaten- oder Supermarkt-Besuch warten kann, wird eben kurzerhand ein altes POS-Terminal aus der Bastelkiste gekramt, und siehe da: Es bedarf – wie erwartet – tatsächlich nicht einmal einer erfolgreich abgeschlossen Transaktion, um das Kontaktlos-Interface zu aktivieren; vielmehr geschieht dies bereits bei einer aufgrund nicht zustande gekommener Internetverbindung abgebrochenen Zahlung (die Kunst liegt am ehesten noch darin, das Terminal zunächst per DHCP-Lease davon zu überzeugen, dass theoretisch eine Online-Verbindung realisierbar wäre, um ein Fallback auf ELV-Offline mit Magnetstreifen zu verhindern)…

Weiterhin wird seitens der Volksbank darauf hingewiesen, dass die neue Karte nun nicht mehr über die GeldKarte-Funktion verfügt. Dies erklärt wohl auch den missglückten Ladeversuch meiner bisherigen Karte am Geldautomat noch vor einigen Wochen (“Sie sind zu dieser Funktion nicht berechtigt”), und auch die Online-Aufladung über girogo.de unterstützt nun explizit nicht mehr die Aufladung von Karten der genossenschaftlichen Institute. Inzwischen ist sogar die erfolgreiche Durchführung einer kostenlosen Testladung in Höhe von einem Cent Voraussetzung, um den Service nutzen zu können. Anscheinend hat man hier bereits großflächig begonnen, die technische Infrastruktur der GeldKarte im Hintergrund soweit zurückzubauen, dass man sich auch bei EURO Kartensysteme (als technischem Dienstleister der Deutschen Kreditwirtschaft) nicht mehr ganz sicher ist, was nun noch funktioniert und was nicht. Immerhin: Von der Frankfurter Sparkasse ausgegebene kontaktlose girogo-Karten sind weiterhin über geldkarte-shop.de erhältnlich und können nach wie vor online geladen sowie an allen GeldKarte- und girogo-Akzeptanzstellen eingesetzt werden.

Möglicherweise ging es den Volksbanken auch darum, keine Verwirrung am POS zu stiften, wenn das Terminal bei kontaktloser Zahlung ungefragt das geladene GeldKarte-Guthaben verwendet bzw. girogo als erstbeste kontaktlose Zahlmethode erkennt, dann aber aufgrund fehlenden Guthabens den Vorgang abbricht.

So ist DF_BOERSE kontaktlos nicht vorhanden, jedoch lässt sich kontaktbehaftet immernoch ein EF_BETRAG in Höhe von 0,00 Euro auslesen. Das maximale Guthaben ist wie üblich beschränkt auf 200 Euro, die maximale Höhe eines Ladebetrags jedoch auf 0,00 – womit die GeldKarte technisch zwar nicht entfernt aber zumindest effektiv deaktiviert ist.

Es finden sich somit insgesamt nur zwei Akzeptanzlogos auf der Karte: girocard und V-PAY.

Gerade einmal neun Jahre nach Ausgabe der ersten Debitkarten mit kontaktloser V-PAY-Funktion durch eine italienische Bank scheint man nun also auch in Deutschland bereit zu sein…

Wie dem auch sei, funktioniert hat die erste Zahlung bei Aldi Nord jedenfalls nicht.

Das Terminal akzeptiert die Karte (ohne PIN) und baut zunächst ordnungsgemäß eine online-Verbindung auf, worauf die Zahlung mit “Systemfehler” abbricht. Kontaktbehaftet funktionierte es dann problemlos (die erste Vermutung bestand somit darin, dass die AID für girocard in der kontaktlosen Variante zwar vom Terminal, aber noch nicht vom Acquirer akzeptiert würde).

Tatsächlich wunderte ich mich schon im voraus, ob auf dem Kundenbeleg hinterher wohl “girocard” stehen würde, oder stattdessen ein Fallback auf V-PAY stattfindet. Die Karte unterstützt laut Aufdruck schließlich V-Pay, und die AID A0000000032020 lässt sich auch über die kontaktlose Schnittstelle problemlos selektieren.

Schaut man sich dagegen den Inhalt des PPSE an, tauchen dort nur 3 AIDs auf:

A00000005945430100 // Girocard Electronic Cash
A0000003591010028001 // Girocard EAPS
D27600002547410100 // Girocard ATM

Grundsätzlich steht es einem Terminal natürlich frei, unabhängig vom PPSE auch wahllos andere AIDs durchzuprobieren, dennoch frage ich mich, warum V-PAY hier nicht enthalten ist. Somit wäre fraglich, ob die kontaktlose Zahlung im Ausland überhaupt funktionieren würde, oder die Karte weiterhin gesteckt werden muss (sofern man denn überhaupt einen Händler gefunden hat, der international nicht nur Maestro akzeptiert).

Kontaktbehaftet lief die Transaktion jedenfalls über die AID A0000003591010028001.

Zweiter Versuch bei Rewe: Hier sind die notwendigen Terminals (Ingenico IPP 350) schon seit Jahren vorhanden, irgendwann wurde die kontaktlos-Funktion dann aber abgeschaltet (vermutlich weil zuviele gleichgesinnte damals ebenfalls erfolglos versucht hatten, mit einer Mastercard zu zahlen, die kontaktbehaftet problemlos akzeptiert wird).
Ich bitte also darum, “mit Karte” zu zahlen (die Diskussion darüber welche Zahlmöglichkeiten denn genau unterstützt würden spare ich mir aufgrund entsprechender Erfahrungen aus der Vergangenheit) – und werde um meine Karte gebeten.
Ich stelle fest, dass ich gerade ebensowenig Interesse daran habe, vor Ort auszudiskutieren inwieweit das denn genau “nur zu meinem Schutz” diene, während die Banken doch gerade das nicht-aus-der-Hand-geben als zusätzliche Verbesserung der Sicherheit und Hygiene propagieren. Die Dame an der Kasse betrachtet jedenfalls die Unterschrift auf der Rückseite und drückt schließlich die Karte mit mehreren Fingern fest auf das Display, als würde sie diese fotokopieren wollen. Das Terminal bittet mich trotz des Betrags unterhalb von 25 Euro um Eingabe der PIN.
Auf dem Beleg steht dann auch girocard kontaktlos.

Dritter Versuch: Nun klappt es auch bei Aldi, allerdings ebenfalls mit PIN-Eingabe.
Auf dem Beleg ist wieder die AID A0000003591010028001 angegeben.

Die Bank verlangt laut Info-Flyer auch unter 25 Euro hin und wieder eine PIN-Eingabe (angeblich erst ab 100 Euro Umsatz bzw. einer bestimmten Anzahl Transaktionen ohne PIN-Prüfung), vermutlich war dies dann auch der Grund, warum es beim ersten Versuch nicht klappte (bei der ersten erfolgreichen Transaktion muss es wohl auch ein CDOL-Update gegeben haben!?), oder es bedurfte auch seitens der Bank erst irgendeiner Initialisierung, die durch das einseitige Aktivieren der Kontaktlos-Schnittstelle nicht erfolgte.

Zusammenfassend lässt sich also feststellen: Die Notwendigkeit einer PIN-Eingabe bei Aldi werde ich zunächst noch weiter beobachten, im Zweifelsfall bleibt es eben wie bisher bei der nicht-genossenschaftlichen Mastercard, wenn meine Bank das so möchte. Bei anderen Supermärkten (die durch gewohnt inkompetentes Personal auffallen) bleibt es ohnehin bei Bargeld, was auch immernoch schneller ist, wenn ich ohnehin erst etwas aus dem Portemonnaie herauspulen muss.

Immerhin: Vielleicht sorgt die steigende Akzeptanz in der Bevölkerung ja zukünftig für weniger irritierte Blicke an den Kassen.

Wozu die Karte übrigens einen Magnetstreifen hat, erschließt sich mir so langsam wirklich nicht mehr. Wahrscheinlich liegt es an den Geldautomaten, die nach wie vor keine Karten mit beschädigtem Magnetstreifen akzeptieren!?
(Wer dieses Vergnügen bereits hatte, oder z.B. auch nur spaßeshalber das Guthaben einer kontoungebundenen GeldKarte prüfen möchte, wird sich unter Umständen wundern, diese nur wenige Millimeter tief hineinschieben zu können…)

“Digitale Signatur”, oder: “digitalisierte Analog-Signatur”!?

Wie verschickt man eigentlich im 21. Jahrhundert eine verbindliche Nachricht, die den Empfänger möglichst nicht erst 1-2 Tage später, transportiert im Innern einer zugeklebten Papierhülle erreichen soll?

Also im Grunde jegliche Art von Verträgen, Formularen, Bewerbungen, behördlichen Anträgen etc., für die es eigentlich selbstverständlich ist, erst mit einer gültigen Unterschrift ihre Wirksamkeit zu erlangen.

Seit Jahrzehnten verwenden wir nun schon elektronische Kommunikationsnetze, um Informationen in Sekundenbruchteilen und nahezu ohne geografische Einschränkungen zu übertragen – aber wie macht man das dann eigentlich mit der Original-Unterschrift, wenn man statt Papier jetzt nur noch subatomare Teilchen überträgt (die jeweils auch nie den kompletten Weg bis zum Empfänger zurücklegen)?

Es liegt in der Natur des Internets, dass jede einzelne Weiterleitung der Nachricht auf dem Weg zwischen Sender und Empfänger im Grunde nur eine Kopie der ursprünglichen Information darstellt – es gibt also kein “Original” mehr, wie dies bei einem papierhaften Dokument der Fall ist.

Im Corporate Blog eines bekannten Tiefkühlkostherstellers kam vor kurzem eine interessante Diskussion zu dem Thema auf, die bei genauerem Hinsehen deutlich macht, auf welch faszinierende Weise wir uns doch scheinbar unbewusst mit diesem Problem abgefunden haben.

Man nehme beispielsweise ein leeres Blatt Papier, welches mit der persönlichen Unterschrift signiert wird, nur um diese dann in Zukunft, zwangs-digitalisiert und von nun an immer homogen, in diverse elektronisch (z.B. als Fax oder PDF) versendete Dokumente einzufügen, als ob sie genau so dort hingehörte.

Was also tun?
Die technischen sowie die juristischen Voraussetzungen für eine zukunftsfähige Lösung sind längst verfügbar, seit Mai 2001 gilt das aktuelle Signaturgesetz, in dem die Grundlagen für elektronische Signaturen festgehalten sind.

In der Praxis mangelt es momentan eher daran, dass es für Privatpersonen kaum einen Markt für qualifizierte Signaturzertifikate gibt, was sowohl durch hohe Jahresgebühren als auch die momentane Notwendigkeit eines (ebenfalls zertifizierten) Klasse-3-Kartenlesers nicht wirklich verwunderlich ist – während es auf der anderen Seite gleichzeitig auch (wiederum aufgrund der fehlenden Verbreitung) an der nötigen Akzeptanz solcher Signaturen mangelt.

Außerdem müsste sich zunächst noch ein geeignetes (und idealerweise freies!) Dateiformat durchsetzen, das jegliche Art von Mitteilungen, aber eben auch verschiedenste Formulare mit jeweils fest definierten Feldern abdecken würde.

Insellösungen wie der E-POSTBRIEF bieten momentan nur “fortgeschrittene” Signaturen (per SMS-TAN), und auch De-Mail wird vorerst wohl ohne die standardmäßige qualifizierte Signatur eingeführt werden.

letzte Chance: staatliche Förderung für Chipkartenleser noch bis Jahresende

Vor einigen Tagen bekam ich einen Newsletter von ReinerSCT, in dem darauf hingewiesen wurde, dass die staatliche Förderung für die vom BSI zertifizierten “Standard”- und “Komfort”-Lesegeräte zum Jahreswechsel enden soll. Darüberhinaus gibt es von ReinerSCT noch Rabattgutscheine, sodass man einen Standardleser momentan für € 28,64 inkl. Versand bekommt.

Nun findet man diesen Leser auch bei eBay längst für unter 30 Euro, wobei ich mich frage, was sich in Bezug auf die Förderung nun zum Jahresende ändern wird – bleiben die Restbestände weiterhin so günstig, oder bekommt der Händler die Förderung tatsächlich erst *nach* dem Verkauf eines Gerätes? In letzterem Falle dürften die Preise bald erstmal wieder steigen, bis die Geräte eines Tages tatsächlich mal so günstig werden.

Wer die Gelegenheit also noch nutzen möchte, bekommt unter
https://www.chipkartenleser-shop.de/shop/npa
mit dem Gutscheincode Endspurt13 einen Standardleser inkl. einer ‘echten’ (jedoch nur kontaktbehafteten) OWOK-Karte für € 28,64. Vermutlich liegt diese Karte aber auch den eBay-Angeboten bei, wird nur von keinem Anbieter erwähnt!?

Wer bereit ist, für den zusätzlichen Komfort einer Display-Beleuchtung 60 Euro draufzuzahlen, bekommt diese mit dem Code Endspurt35 für insgesamt € 88,65.
Ansonsten wird diesen Leser wohl niemand brauchen – für die Signaturfunktion mit dem nPA wäre zunächst ein Zertifikat erforderlich, wofür es (abgesehen von einer relativ hohen Jahresgebühr) für den Normalnutzer momentan keinerlei praktische Nutzungsmöglichkeiten gibt, woran sich so schnell auch sicher erst einmal nichts ändern wird.

Eine vage Zukunftsprognose: Anbieter von De-Mail oder auch die Deutsche Post (E-PostBrief) könnten kostenlose Zertifikate für den nPA ausgeben (was der Deutschen Post mit SignTrust-Zertifikaten aus dem eigenen Hause deutlich weniger schwerfallen dürfte), die dann nur für die jeweiligen Produkte nutzbar wären – damit würden z.B. auch die 55 Cent ‘Porto’ beim E-PostBrief endlich einen vertretbaren Nutzen bieten, wenn für das Zertifikat sonst keine weitere Grundgebühr fällig wäre – man würde nur bezahlen was man auch tatsächlich ‘verbraucht’.

Für die digitale Signatur mit der eigenen Bankkarte (FinTS) oder der elektronischen Gesundheitskarte genügt jedenfalls der Standard-Leser.