Aus dem Unterricht des CAS Mobile Business & Ecosystems mit Dr. Thomas Fromherz berichtet Rita Lutz.

Der Vorgang des Bezahlens rückt vermehrt in den Hintergrund. Doch welche Faktoren sind ausschlaggebend dafür, dass sich mobile Payments durchsetzen und reibungslos ablaufen können?

Old School

Mit dem Rückgang der Transaktionen in Bar und dem schrumpfenden Umsatz durch Bargeld nimmt die Wichtigkeit der Debit- und Kreditkarten zu. Im Zentrum dieses Systems stehen die sogenannten Schemes, internationale Zahlungsanbieter wie Visa, Mastercard oder American Express. Auch im Bezug auf mobiles Bezahlen sind die Schemes weiterhin relevant, da Anbieter wie Apple und Samsung Pay, Paypal oder auch Twint eine hinterlegte Kreditkarte oder ein angebundenes Konto voraussetzen.

Taxonomie des Bezahlens

Ein Zahlungsvorgang mit einer Kredit- oder Debitkarte liess sich bisher klar in eine der beiden Taxonomien Card Present oder Card Not Present aufteilen. Während bei Card Present die Karte physisch vor Ort ist, beschreibt Card Not Present das Bezahlen mit Karte (z.B. über das Internet) ohne das die Karte physisch beim Händler ist. Durch mobile Bezahl-Apps verschwimmen die Grenzen zwischen Card Present und Card Not Present zunehmend. Wird etwa im Laden mit Twint bezahlt, so ist der Bezahler zwar noch vor Ort, benutzt aber keine physische Karte. Umgekehrt werden digitale Wallets für den Online Einkauf verwendet. Das Verwenden einer digitalen Karte für eine digitale Transaktion zeigt eine klare Analogie zur physischen Transaktion im Geschäft auf. Dieser vermehrt automatisierte Ablauf des Bezahlvorgangs kann dabei als Uberisierung des Bezahlens bezeichnet werden.

Eine Frage der Relevanz

Obwohl moderne Technologien das Erstellen von neuen Zahlungsmethoden stark vereinfachen, können sich schlussendlich nur die Technologien durchsetzen, welche dem Nutzer ein Problem lösen. Ist das Aufrufen einer App am POS zu aufwändig oder ist der Nutzer abhängig von einer bestimmten Verbindung wie z.B. WLAN oder Bluetooth, so wird sich die Technologie längerfristig nicht durchsetzen können.

Doch wie lassen sich mobile Payments überhaupt abgrenzen und was beinhaltet der Begriff?

New School

Mobile Payments basieren auf einem elektronischen Bezahlvorgang. Dabei wird ein Zahlungsmittel wie etwa eine Kredit-, Debit- oder Kundenkarte einmalig hinterlegt. Die Bezahlung wird dann über ein mobiles Gerät mit Hilfe einer spezifischen Übertragungstechnologie ausgeführt. Sowohl das Handy, eine Smart-Watch, spezielle Armbänder und Ringe oder auch Sprachassistenten können dabei als Geräte verwendet werden. Mobiles (oder auch digitales) Bezahlen basiert auf drei Grundpfeilern:

  • Zahlungsmittel: z.B. Kreditkarte
  • Übertragungstechnologie: z.B NFC
  • Speicher: z.B. Chip

Übertragung von Zahlungsinformation

Die gängigsten Übertragungstechnologien im Bereich des Mobile Payments sind NFC, BLE und QR-Codes.

  • NFC (Near Field Communication) ist ein Übertragungssystem, welches auf der RFID-Technologie und auf nächster Nähe basiert (max. ein paar Zentimeter). Eine im Gerät verbaute Antenne sendet dabei Informationen an ein zweites Gerät, die Software bestimmt dabei ob NFC nur lesend oder lesend & sendend verwendet wird. Die meisten Handys verfügen mittlerweile über eine NFC-Antenne.
  • BLE (Bluetooth Low Energy) verbraucht weniger Energie als klassisches Bluetooth, hat jedoch weiterhin eine Reichweite von ein paar Metern. Diese Übertragungstechnologie wird meist in Kombination mit iBeacons genutzt um In-Store Erlebnisse zu kreieren.
  • QR-Codes sind schwarze Muster in einem quadratischen, weissen Grid, welche verschlüsselte Informationen beinhalten. Ursprünglich in der Werbung genutzt werden sie heute für mobile Payments eingesetzt. Dabei wird dem Kunden entweder ein QR-Code angezeigt, welchen er an der Kasse vorzeigen muss, oder dem Kunden wird an der Kasse direkt ein Code angezeigt, welchen er abscannen muss. In jedem Fall wird durch das Abscannen des Codes an der Kasse der allfällige Betrag direkt auf dem hinterlegten Zahlungsmittel abgebucht.

Speichern von Zahlungsinformation

Zentral für das Speichern von Zahlungsinformationen auf digitalen Geräten ist das Secure Element (SE). Bei den heutigen iPhones wird das SE direkt auf dem Gerät verbaut und ist somit an die Hardware (HW) gekoppelt. Dies sichert zwar die Daten, macht den Kunden jedoch abhängig vom jeweiligen Gerät. Ein weiterer Lösungsansatz besteht darin, das SE über die Software (SE) anzubinden. Zwei Hürden zeigen sich bei der Integration über die Software (SW-SE): die Karteninformation virtuell zu repräsentieren und die Sicherheit der Kartendaten zu gewähren.

Ein erster Durchbruch konnte mit Andoird 4.4 (KitKat) und der Einführung von HCE (Host-Card-Emulation) erzielt werden. Dabei konnte zum ersten Mal die Karteninformation erfolgreich digitalisiert resp. virtuell repräsentiert werden. Die Sicherheit der Kartendaten stellte aber weiterhin ein Problem dar.

Ein zweiter Durchbruch, welcher das Thema Sicherheit im Fokus hat, gelang den Schemes mit der Einführung von Tokens. Bei der Tokenisierung wird eine Kreditkartennummer (PAN) durch eine andere, optisch sehr ähnliche, Nummer ersetzt. Bei einer Transaktion wird nur noch der Token übergeben, die originale PAN bleibt geheim. Bei Geräten wie dem iPhone, welche über HW-SE verfügen, wird mit statischen Tokens gearbeitet, welche spezifisch an ein bestimmtes Gerät gekoppelt sind und über ihre Lebensdauer hinweg gleich bleiben. Bei vielen Android-Geräten werden dynamische Tokens erstellt, welche im Laufe der Zeit ändern und so die durch SW-SE verursachte Sicherheitslücke füllen können.

Authentifizierung des Kunden

Neben den oben erwähnten Themen spielt eine kundenfreundliche Authentifizierung im Bereich des Mobile Payments eine wichtige Rolle. Während bisherige Methoden wie ein PIN per Briefpost, via SMS versendete Codes oder auch Passwörter den Sicherheitsstandards nicht mehr gerecht werden, wird vermehrt eine 2-Faktor Authentifizierung angewendet. Dabei werden zwei von den drei Faktoren Besitz, Wissen und Inhärenz (Userbezogene Eigenschaften) für eine Authentifizierung verwendet. Gerade im Bereich der Inhärenz wird dabei vermehrt mit biometrischen Merkmalen gearbeitet. So etwa mit einer Touch- oder FaceID oder auch über die Spracherkennung.

Future School

Es zeigt sich, dass der Bezahlvorgang zunehmend in der Hintergrund rückt (Uberisierung) und nicht mehr Teil des sichtbaren Kaufvorgangs ist. Folgende Trends und Entwicklungen können hierbei beobachtet werden:

  • Seamless Checkout: Wie im Fall von Uber oder auch amazon go verschwindet der aktive Check-Out dahingehend, dass der Kunde nicht mal mehr einen Knopf drücken muss, sondern automatisch abgerechnet wird.
  • Conversional Interfaces: durch das Aufkommen diverser Sprachassistenten verändert sich der Umgang mit Benutzeroberflächen und verschiebt sich von Touch- vermehrt zu einer Voice-Interaktion. Dies gilt auch für den Kauf und Bezahlprozess.
  • Implicit Authentification: ein nächster Schritt für die Identifizierung des Nutzers ist der verhaltensspezifische Umgang mit dem mobilen Gerät. Mit Hilfe von Sensoren kann künftig analysiert werden, wie das Handy gehalten wird, wie eine Nachricht getippt wird oder wie das Handy gezogen wird und ob dies mit dem Profil des Besitzers übereinstimmt. Dies wird sich jedoch erst dann durchsetzen können, wenn diese Form der Authentifizierung im Betriebssystem verankert ist. Muss zuerst eine App auf dem Gerät geöffnet werden, so ist die Interaktion mit dem Device viel zu kurz für eine klare Identifizierung.