Mobile Payment ist ein komplexes Gebilde in dem viele Technologien und Business Partner mit einander arbeiten müssen. Hierfür ist ein Referenzmodell hilfreich. Ziel ist es unterschiedliche Ansätze besser miteinander vergleichen und bewerten zu können. Jeder Teilnehmer im Ökosystem, kann seinen eigenen Beitrag besser abgrenzen und erkennen, ob die einmal entwickelte Teillösung auch zu einem anderen Konzept passt.
Das von mir entwickelte „Mobile Payment Layer Modell“ (MPLM – siehe Teil 1 + Teil 2) beinhaltet die vier Schichten Communication, Authentication, Payment und Application, die in dieser Artikelserie beschrieben werden. Der heutige Artikel befasst sich mit der zweiten Schicht, dem Authentication Layer.
In diesem Layer wird beschrieben auf welchem Weg der Kunde mit seinem Mobiltelefon die Autorisierungsinformationen erzeugt. Derzeit sind nur zwei (wirklich) sichere Verfahren zu nennen. Zum einen ist es das Secure Element (SE), ein Smartcard Chip in dem die Authentifizierungsschlüssel sicher abgelegt werden können. Dies ist das gängige Verfahren bei den meisten derzeitigen NFC Lösungen. Die andere Variante ist ein Remote Login an einer mobilen Website oder per App. Der dahinter liegende Webservice schickt dann den Autorisierungscode an das Smartphone zurück. Beide Verfahren haben ihre jeweils spezifischen Vor- und Nachteile.
Im Falle des Smartcard Chip ist es erst mal notwendig die Hardware in das Handy zu integrieren. Des Weiteren wird ein „Sponsor“ für die Zusatzkosten benötigt. Je nach Stückzahl ist mit einem Preis zwischen 25 und 60 Euro zu rechnen. Da kommen sehr schnell große Millionenbeträge zusammen. Der Kunde wird diesen Aufschlag beim derzeitigen Angebot an Anwendungen eher nicht zahlen.
Auch stellt sich die Frage, wo der Chip am besten untergebracht sein sollte. Die SIM Karte bietet sich an. Die Mobilfunkprovider (MNO) haben hierfür auch ein Geschäftsmodell vor Augen und sind bereit dafür in Vorlage zu gehen. Der Smartcard Chip in der SD Karte bedingt, dass das Smartphone überhaupt einen Slot dafür hat und das es von dort eine Verbindung zur NFC Antenne gibt. Der große Vorteil eines Chips auf der SD Karte ist, dass die Bindung von Mobile Payment Lösung und MNO entfällt. Sowohl der Kunde, als auch Mobile Payment Anbieter würden von dieser Entwicklung profitieren. Die MNO’s hätten hierdurch die Möglichkeit Dienstleistungen ihren Kunden zu offerieren, die sie sonst nicht erreichen würden. Cross Selling Effekte für eigene Mobilfunkprodukte mit eingeschlossen.
All diesen Beschränkungen unterliegt man beim Remote Login nicht. Erkauft wird diese „Freiheit“ aber mit der Notwendigkeit, am POS eine Datenverbindung aufbauen zu können. Dies klappt zwar in den allermeisten Fällen, aber nicht immer. Der Kunde wird also gezwungen immer ein Backup Zahlungsmittel vorzuhalten. Abhilfe könnte vielleicht ein vom Händler bereit gestelltes WLAN Netz schaffen. Dabei müssten dann aber Standards für einen schnellen Netzaufbau und Netzsicherheitskonzepte erstellt werden.
Letztlich gilt für Remote Login, dass dieses Verfahren im Punkt Geschwindigkeit deutlich hinter der Smartcard Authentifizierung zurück liegt. Ob diese Zeitdifferenz von Belang ist, entscheidet der jeweilige Anwendungsfall. Zum kritischen Faktor wird es auf jeden Fall im Fußballstadion, wahrscheinlich in der Fast Food Branche und bestimmt bei einem Lebensmitteldiscounter (der aufmerksame Leser wird wissen welchen ich meine).
Der Vollständigkeit halber sei noch das dritte sichere Authentifizierungsverfahren, die Biometrie, erwähnt. Aus sozial kulturellen Gründen glaube ich aber nicht an eine Durchsetzung.
Fazit
Für den Authentication Layer ist der Chip dem Remote Login überlegen, sowohl in der Verfügbarkeit bei fehlender Mobilfunknetzabdeckung als auch in der Transaktionsgeschwindigkeit. Wenn das Problem der Verbreitung gelöst ist, hat er das Potenzial, das Remote Login abzulösen. Über das Payment hinaus besteht das Potenzial mit dem Thema Digitale Identität ein völlig neues Geschäftsmodell zu besetzen. Neuen Schwung gewinnt das Thema bestimmt, wenn Authentifizierungskonzepte auf Chip Basis umgesetzt werden, die im Communication Layer auch mal den QR Code verwenden.
Der nächste Artikel dieser Serie beschäftigt sich mit Schicht 3, dem Payment Layer.
Sehr geehrter Herr Linsenbarth,
im Rahmen der Erstellung meiner Master-Thesis zum Thema Mobile Payment im hochfrequenten stationären Einzelhandel kam eine Frage auf was die Abwicklung der Transaktion am Kassen-Terminal betrifft:
Bei der klassischen EC-Karten-Bezahlung am POS wird die Autorisierungsanfrage vom kaufmännischen Netzbetreiber abgewickelt, damit das Geld am Ende beim Zahlungsempfänger ankommt. Beim Online-Handel übernimmt diesen Dienst offenbar der Payment Service Provider.
Wie sieht das nun bei Mobile Payment am POS aus? Wird auch dabei auf die Leistungen des kaufmännischen Netzbetreiber zurückgegriffen? Hängt dies evtl. von dem Authentification-Layer ab, in dem es 2 Varianten der Generierung des Autorisierungschlüssels gibt?
Ich stelle mir dies bislang so vor:
Bei der Verwendung des Secure Elements, bei dem der Kunde keinen Internetzugang braucht, wird der kaufmännische Netzbetreiber vom Kassen-Terminal genutzt.
Beim Remote Login wird ein Autorisierungsschlüssel von einem Webservice erstellt. Wird dieser mithilfe eines Payment Service Providers generiert? Würde in diesem Fall der kaufmännische Netzbetreiber nicht umgangen/ersetzt werden?
EDEKA bietet derzeit eine Lösung an, bei der sich der Kunde mit seinen Zahlungsinformationen registrieren muss. Beim Einkauf generiert dann die App (über eine Internetverbindung?) einen QR-Code, den das Kassenpersonal abscannt. Wie findet dabei die Zahlungsabwicklung statt?
Zu guter letzt würde ich gerne wissen, ob und in welchen Fällen Kassen-Terminals über eine Internetverbindung verfügen müssen.
Vielen Dank.
Hallo Herr Linsenbarth,
gute Analyse. Gibt es denn überhaupt z.Zt installierte Lösungen, die eine echte Authentifizierung durchführen ? Mir wäre keine bekannt.