Bezahl-App von Valuephone und Deutsche Post Zahlungsdienste Sicheres Mobile Payment ohne NFC ab Mai

Autor / Redakteur: Detlev Spierling / Stephan Augsten

Ein sicheres mobiles Zahlungssystem per Smartphone-App von Valuephone steht unmittelbar vor der Markteinführung in Deutschland. In diesem Beitrag stellt der Autor die App-Lösung mit integrierter Zahlungsfunktion für iOS, Android und Windows-Phone vor.

Valuephone ermöglicht das sichere mobile Bezahlen per Smartphone-App.
Valuephone ermöglicht das sichere mobile Bezahlen per Smartphone-App.
(Bild: Valuephone)

Im Gegensatz etwa zu Micro-Payment-Lösungen verwendet die App nicht die noch unerprobte Nahfeldkommunikation (NFC, Near Field Communication). Vielmehr basiert sie ähnlich einer mobilen Transaktionsnummer (mTAN) auf dem Austausch von PIN und ID zwischen Kunde und der Einkaufs-App einer Handelskette.

Dabei wird der gesamte mobile Zahlungsvorgang innerhalb eines in sich geschlossenen Systems abgewickelt, in dem keine PINs oder sonstige Transaktionsdaten gespeichert und deshalb auch nicht ausgelesen werden können. Die zur Legitimierung des Zahlungsvorgangs temporär erzeugte ID ist – ähnlich wie im Online-Banking – nur fünf Minuten gültig.

Die App fürs mobile Bezahlen (Mobile Payment) wurde von Valuephone in Kooperation mit dem Bonner Finanzdienstleister Deutsche Post Zahlungsdienste GmbH (DPZ) entwickelt. Das Mobile Payment basiert also auf einer etablierten und allgemein akzeptierten IT-Sicherheitsarchitektur, die sich schon seit langem im Zahlungsverkehr mit EC-Karten und im Online-Banking bewährt hat.

Sorgen um die Sicherheit zerstreuen

Laut der aktuellen „Mobility Studie“ des IT-Sicherheitsanbieters AVG bisher nur elf Prozent der deutschen Konsumenten Finanzgeschäfte über mobile Geräte ab und nur ein Viertel überprüft den Kontostand via Smartphone. Dies ist im weltweiten Vergleich jeweils der niedrigste Wert (Security-Insider.de berichtete). Einer anderen Studie des Marktforschungsunternehmens YouGov zufolge bewerten noch über die Hälfte der befragten Smartphone-Nutzer (56 Prozent) Systeme, mit denen man Einkäufe per Mobiltelefon bezahlen kann, für unsicher.

Sicherheitsbedenken sind in Deutschland also noch immer der Hauptgrund, der viele Menschen vom Bezahlen mit dem Smartphone abhält. Die beiden Anbieter müssen sich dementsprechend einem Markt mit kritischen Verbrauchern stellen und Überzeugungsarbeit leisten, um das mobile Bezahlen per Smartphone-App zu etablieren.

Zweigeteilter Bezahlvorgang an der Kasse

Mit der traditionellen IT-Sicherheitsarchitektur der Lösung wird der Zahlvorgang an der Kasse technologisch in zwei separate Teile getrennt, um das Sicherheitsniveau zu erhöhen. Jede Transaktion durchläuft immer die voneinander getrennten, aber sich gegenseitig ergänzenden Systeme beider Anbieter. Diese Trennung entspricht den Prozessen der bargeldlosen Kartenzahlung.

Dabei übernimmt die Valuephone GmbH die Rolle des „Mobile Payment Service Enabler“, der die Kommunikaktion zwischen dem Handy des Kunden und der Kasse im Supermarkt steuert. Die DPZ fungiert derweil als „mobile payment service provider“, der die technischen Prozesse zwischen dem Kundenkonto – also den Zahlungsverkehr mit Debit- und Kreditkartenkonten – und dem Handel abwickelt.

Nach Autorisierung durch den Kunden über die Valuephone-Plattform wird der Zahlungsvorgang durch die DPZ durchgeführt, d.h. das Geld beim Verbraucher abgebucht und an den Einzelhandel überwiesen. Als Zahlungsinstitut im Sinne des ZAG (Zahlungsdiensteaufsichtsgesetz) hat sich die DPZ auf die Autorisierung von Zahlungen mit neuen Zahlungsmedien sowie deren Inkasso spezialisiert.

Die hundertprozentige Tochtergesellschaft der Deutschen Post AG übernimmt dabei alle Abrechnungsdienstleistungen und das Forderungsmanagement. Sie verantwortet den Lastschrifteinzug und das komplette Mahnwesen, verwaltet Kundendateien und stellt den Händlern die notwendigen Abrechnungsinformationen zur Verfügung.

Mobile-Payment-App unterliegt Sicherheitsstandards

Als Zahlungsinstitut steht die DPZ unter der Aufsicht der BaFin und der Bundesbank. Entsprechend hohe Anforderungen werden an die Produktentwicklung im Zahlungsverkehr und an die Sicherheit der Kundendaten gestellt, unterstreicht Heinz Frankowski, Account Director der Deutsche Post Zahlungsdienste GmbH: „Von der Produktentwicklung bis hin zum ersten Marktstart und darüber hinaus unterliegen die technischen Lösungen und organisatorischen Prozessen der DPZ höchsten Sicherheitsstandards.“

Die Einhaltung derselben stellten die gesetzlichen Aufsichtsbehörden sicher. „Unsere zusammen mit Valuephone entwickelte Payment-Lösung wird damit entscheidend zur Akzeptanz und zum Durchbruch von Mobile Payment in Deutschland beitragen“, glaubt Frankowski. Stefan Krueger, Geschäftsführer der Valuephone GmbH, betont: „Wir wollen mobiles Bezahlen in Deutschland sicher machen. Ich freue ich mich sehr über die Kooperation mit der Deutschen Post, die so im Markt einmalig ist“.

Durch die Aufgabenteilung bleiben die etablierten Prozesse auf Seiten des Handels und der Kreditinstitute bestehen. Denn für die gemeinsame Lösung reicht die existierende Peripherie des Einzelhandels aus – Investitionen in neue Hardware am Point of Sale (POS) sind also nicht nötig. Da der Einzelhandel keine kartenbasierte Terminal-Infrastruktur in seine Kassensysteme einbinden muss, ist er auch nicht von dem unflexiblen System der Kartenzahlung abhängig.

Die Kosten der Mobile Payment-Lösung sind für den Handel nicht höher als beim Bezahlen mit einer EC-Karte. Außerdem sind keine weiteren Partner aus Telekommunikation oder Netzbetrieb notwendig. Und auch für die Verbraucher entstehen außer Verbindungskosten für den Internetzugang entsprechend dem Tarif des eigenen Mobilfunkvertrages keine zusätzlichen Kosten.

Unkomplizierter und sicherer Bezahlvorgang

Nachdem der Kunde die App aus dem App-Store heruntergeladen hat, muss er noch die Zahlfunktion auf seinem Smartphone aktivieren. Anschließend wählt er einen Markt des Einzelhändlers aus, der die mobile Bezahllösung von Valuephone und Deutsche Post Zahlungsdienste einsetzt, und speichert ihn als Favoriten ab.

Anschließend durchläuft der Kunde einmalig einen mehrstufigen Anmeldeprozess, an dessen Ende er eine vierstellige persönliche PIN wählt. Nach Abschluss dieses Registrierverfahrens kann er das bargeldlose Zahlverfahren sofort nutzen. Dafür ruft er dann an der Kasse die Funktion „Bezahlen und Coupons einlösen“ auf und gibt zur Authentifizierung seine persönliche PIN in die Einkaufs-App ein.

Die PIN kann der Kunde bereits eingeben, während er noch in der Schlange wartet –der Kassierer scannt nur noch den von der App generierten Barcode. So ist der Bezahlvorgang innerhalb weniger Sekunden abgeschlossen, der generierte Barcode wird nach dem Zahlvorgang sofort ungültig.

Organisatorische Sicherheitsfaktoren

Wichtig für Akzeptanz und Vertrauen der Konsumenten ist auch, dass ihre Kontodaten den Händlern bei dieser Mobile-Payment-Lösung nicht bekannt sind. Bei einem gestohlenen Mobiltelefon wird die missbräuchliche Nutzung der mobilen Bezahlfunktion durch die notwendige Eingabe der PIN verhindert. Nach dreimaliger Falscheingabe wird außerdem die Mobile Payment-Registrierung gelöscht.

Bei Verlust seines Smartphones kann sich der Kunde online in das Web-Portal von Valuephone einloggen und sein Telefon „abmelden“. Damit wird die Bezahlfunktion für unbefugte Dritte wertlos, da keinerlei sicherheitskritische Daten auf dem Telefon gespeichert werden und so auch keine Kommunikation mit dem Valuephone-System in irgendeiner Art mehr möglich ist.

Die auf dem Telefon verbleibende Anwendung ist dann nichts weiter als ein leerer „Container“. Auch die Deutsche Post Zahlungsdienste betreibt zusätzlich eine Sperrhotline, die telefonisch rund um die Uhr erreichbar ist.

(ID:39372460)