Mirko Brandner

ist Entwickler, Berater und Produktmanager und seit 2013 Senior Sales Engineer bei Arxan Technologies.

Elektronisches BezahlenEnterprise

Mobile Payment – Praktisch und sicher dank Host Card Emulation?

Warum zücken hierzulande die Kunden noch immer lieber ihren Geldbeutel, als das Smartphone, wenn es ans Bezahlen geht, will Mirco Brandner von Arxan heute in seinem Blog für silicon.de wissen. Und Brandner kennt viele gute Gründe dafür.

Mobile Payment ist nicht erst seit dem offiziellen Startschuss für Apples neues Bezahlsystem Apple Pay ein beliebtes Thema in den Medien. Immerhin ist Apple längst nicht der erste Anbieter, der Smartphone und Tablet zum digitalen Geldbeutel macht. Und doch erfährt das mobile Bezahlen in Deutschland – insbesondere im Einzelhandel – nur geringe Akzeptanz. Laut der aktuellen Studie “Mobile Payment in Deutschland 2020” von PricewaterhouseCoopers nutzen nur knapp 180000 Konsumenten eine Mobile-Payment-App und setzen lediglich 7,4 Millionen Euro im Jahr um.

Ein Hauptgrund, warum der Kunde an der Kasse weiterhin lieber zum Geldbeutel als zum Mobiltelephon greift, ist mangelndes Vertrauen in bestehende Sicherheitsstandards und die daraus resultierende Angst vor Hackern, Betrug, Datenausspähung und letztlich finanziellen Schäden. Immerhin gehören Bankgeschäfte zu den sicherheitsrelevantesten Aktionen im Netz überhaupt. Ein weiterer Kritikpunkt ist die Inkompatibilität der verschiedenen mobilen Bezahlmethoden. Anwender wie Anbieter wünschen sich eine einheitliche Lösung, mit der alle Beteiligten zurechtkommen.

Near Field Communication und ihr Secure Element

Im Bereich der Hardware setzt der Großteil der Anbieter mittlerweile auf Near Field Communication (NFC). Immer mehr Smartphones unterstützen die Drahtlostechnik auf Induktionsbasis, die nach Kopieren einer NFC-fähigen Kreditkarte auf das Gerät mobiles Zahlen ermöglicht. Typisch für diesen klassischen Hardware-basierten Ansatz ist das physische Secure Element, kurz SE, auf welchem die zur Bezahlung benötigten Daten, etwa von einer Kreditkarte, verschlüsselt werden. Problematisch ist, dass sich das SE im Gerät selbst befindet (Embedded Chip, MicroSD) oder – wie in den meisten Fällen – Bestandteil der SIM-Karte ist. Für den Nutzer einer mobilen Bezahl-App bedeutet dies eine Abhängigkeit von der Gerätehardware bzw. dem Mobilfunkanbieter. Wer mobil bezahlen will, braucht nicht nur ein geeignetes Gerät und eine neue SIM-Karte, sondern muss auch mit dem jeweiligen Mobilfunkanbieter kooperieren. Auch Alternativen wie Aufkleber, die auf das Gerät geklebt werden, sind wenig attraktiv. Wer möchte schon sein teures Smartphone auf diese Weise entstellen?

Host Card Emulation – Bezahlen unabhängig von der Hardware

Eine gute Möglichkeit, das Hindernis “Secure Element” zu umgehen, ist die sogenannte Host Card Emulation (HCE). Seit der Einführung von Android 4.4 KitKat ist das Near Field Communication-Feature HCE für Android-Geräte verfügbar. Weil die Software das Secure Element (SE) hier emuliert, ist die App nicht auf physische Sicherheitsmodule angewiesen und daher unabhängig vom Gerät selbst. HCE erleichtert es den Anbietern von Bezahldiensten damit, ihre Debit- oder Kredit-Karten virtualisiert auf einem Mobilgerät bereitzustellen. Für den Kunden entfällt mit diesem Software-basierten Ansatz die Notwendigkeit, stets die neueste Version der Gerätehardware anschaffen zu müssen, um auf dem neusten Stand der Sicherheit zu sein. 22 Prozent der Android-Nutzer haben die HCE-basierte Bezahllösung bis Juli 2014 bereits genutzt haben, wobei in naher Zukunft mit stärkerem Zuwachs zu rechnen ist.

Sicher bezahlen dank App-Härtung

Mobiles Bezahlen mit HCE ist in vielerlei Hinsicht praktisch, muss in erster Linie allerdings sicher sein. Da die Sicherheit beim Bezahlen via Host Card Emulation in der Software der App liegt, gilt es diese in besonderem Maße zu schützen. HCE-basierte Apps wie etwa mobile Wallets sind erheblichen Sicherheitsrisiken ausgesetzt. Ungesicherte kryptographische Schlüssel können beispielsweise zu nicht autorisierten Zugriffen auf sensible Daten, und letztlich finanziellen Schäden von ungeahnter Höhe führen. Daher ist es unerlässlich, diese Apps zu “härten”, d.h. in besonderem Maße zu schützen. Mehrschichtige, dynamische Schutzmaßnahmen, die bereits im Entwicklungsprozess in die Applikation eingebaut werden und ihren Binärcode wirksam schützen (Stichwort “In-App-Protection”), sind nötig. Diese bieten idealerweise eine sichere Verschlüsselung und Verschleierung, und sind in der Lage, Jailbreak und Root-Geräte zu erkennen. Ziel ist eine sich selbst verteidigende App, die Hackerangriffe selbstständig erkennt und abwehrt.

Mobiles Bezahlen über Smartphone und Tablet wird sich langfristig auch in Deutschland durchsetzen. Davon gehen auch die Analysten von PriceWaterhouseCoopers in ihrer kürzlich veröffentlichen Studie aus. Ich denke, alles was es dafür braucht, sind einheitliche Standards, praktische, Hardware-unabhängige Sicherheitselemente und geschützte Apps, die eine verschlüsselte Übertragung der Daten garantieren.

  1. Den Erfolg von Mobile Payment auf rein technische Faktoren abzustellen, ist m.E. leider typisch für unsere Ingenieur-getriebene Wirtschaft und ziemlich kurzsichtig.

    Nicht genug, dass der Verbraucher in technischer Hinsicht Angst davor hat, sondern er hat vor allem schlicht KEINEN BEDARF an neuen Zahlungsverfahren (Stand Dez. 2014) Die jetzigen Zahlungsarten werden nämlich als vollkommen ausreichend empfunden!

    Darum: Bevor sich die Industrie über Standards, Secure Elements und Verschlüsselung unterhält, sollte es erstmal eine massive Image- und Werbekampagne geben mit folgenden Zielen:
    1. Bekanntmachung von Mobile Payment
    2. Imageverbesserung von digitalem Payment generell
    3. Schaffung entsprechender Bedürfnisse beim Verbraucher durch Mehrwerte.

    Buzzwords wie Host Card Emulation, NFC, Jailbreaks und Roots führen beim Verbraucher zu keinerlei Erhöhung des Bedürfnisses nach Mobile Payment, sondern natürlich bewirken genau das Gegenteil.

    Da aber alle Marktteilnehmer das größte Kuchenstück für sich wollen, ist eine gemeinsame PR-Aktion in weiter Ferne. So ist das nun mal im Wettbewerb, und darum darf man beim Mobile Payment bislang von einem klassischen Marktversagen sprechen.