CLEARITSchweizer Fachzeitschrift für den ZahlungsverkehrAusgabe 48 | Juni 2011

> Im Jahr des E-Commerce Interview mit Dr. Hansjörg Leichsenring über Trends im mobilen Zahlungsverkehr

> Das Schweizer Messer der Zukunft

> Garaus der Malware

2 INHALT / CLEARIT | Juni 2011

Interview Seite 4Im Jahr des E-Commerce Technologie- und Telekomfirmen, Mobilfunkbetreiber und Kreditkartenkonzerne liefern sich gegenwärtig ein Wett-rennen um die elektronische Brieftasche der Konsumenten. Welche Rolle spielen dabei die Finanzinstitute? Dr. Hansjörg Leichsenring, ein ausgewiesener Experte und Banken-berater im deutschsprachigen Raum, beleuchtet Trends im mobilen Zahlungsverkehr.

Ins & Outs Seite 8Das Schweizer Messer der Zukunft Das Handy ist das Schweizer Messer der Zukunft. Mobiles Internet ist für viele Anwender unverzichtbar, ob nur der Wetterbericht oder Börsenkurse abgefragt oder auch schon Bankgeschäfte abgewickelt werden. Der Trend ist eindeutig. Bereits in naher Zukunft werden mehr Menschen das Internet über mobile Geräte nutzen als über statio-näre Computer.

Products & Services Seite 11Mit Applikationen Geldgeschäfte erledigen Die Mobiltelefonie verändert unser Leben, unsere Ökonomie und Geschäftsmodelle. Musik- und Filmbranche stehen bereits inmitten dieses Umbruchs. Zeitungsverlage fürchten um ihre Kundenbeziehung, weil Drittfirmen wie Google und Apple den Zugang zu redaktionellen Texten via iPad und Handy kontrollieren können. Auch der Zahlungs-verkehr kann sich diesem Trend nicht entziehen.

Products & Services Seite 12Prepaid-Karte fürs Internet Mit der «Internet Cash»-Karte hat Swiss Bankers Prepaid Services im letzten November in Zusammenarbeit mit MasterCard eine Prepaid-Lösung für Zahlungen im Internet lanciert. Die Firma Swiss Bankers gibt es seit 36 Jahren. Sie wurde als Travelers Cheque Center von Banken gegründet und ist heute selbst eine Bank.

Products & Services Seite 13Online-Zahlungen ohne KreditkarteSeit kurzem gibt es eine globale, sichere und einfache Methode, um Zahlungen auszuführen und zu empfangen, ohne notwendigerweise auf eine Kreditkarte zurück-zug reifen. Zum ersten Mal im Zahlungsverkehr wird SuisseID – der elektronische sichere Identitätsnachweis – von der Firma SwiKey eingesetzt.

Bits & Bytes Seite 14Der Malware den Garaus machenIn den letzten Jahren haben sich die Angriffe auf Ban-king-Services im Internet weiterentwickelt. Statt relativ einfacher Attacken mit dem Ziel, Anmeldeinformationen zu stehlen, sind jetzt intelligentere Methoden im Vormarsch. Üble Schadprogramme, so genannte Malware, werden auf den Endgeräten der Nutzer eingeschleust, um Inhalte zu manipulieren. Eine Praxisimplementierung bei UBS zeigt, wie man diesen Risiken unter Beachtung von Kundenkom-fort und Mobilität begegnen und gleichzeitig die höchste Ebene an Sicherheit beibehalten kann.

3EdIToRIAL / CLEARIT | Juni 2011

Liebe Leserin, lieber LeserNach einer ausgeprägten Euphorie um die Jahrtausend-wende, einem abrupten Platzen hochgesteckter Ziele und Träume sowie einer darauffolgenden, langjährigen Durst-strecke nimmt das Thema E-Business wieder rasant an Fahrt auf. Acht von zehn Personen in der Schweiz besitzen einen Internetanschluss, mehr als 95% davon haben damit schon einmal online eingekauft, über 90% aller Haushalte verfügen über mindestens ein Mobiltelefon und rund 2,4 Millionen Personen in der Schweiz sind bei Facebook re-gistriert. Kein Wunder, dass sich auch der Zahlungsverkehr wieder verstärkt virtualisiert.

Getrieben wird diese Entwicklung zur Zeit vor allem von Nicht-Finanzinstituten. Vorreiter ist das Unternehmen PayPal, dessen Bezahlmöglichkeit sich im Internet fest etabliert hat. Ebenfalls erfolgreich im Zahlungsverkehr konnten sich Telekommunikationsunternehmen bewähren, die in Drittweltländern Bankdienstleistungen übers Mo-biltelefon anbieten. Andere Unternehmen entwickeln zur Zeit ebenfalls mit Hochdruck virtuelle Zahlungs-verkehrslösungen. So hat Facebook eine virtuelle On line-Währung realisiert, mit der man für Internet-Dienst-leistungen bezahlen kann. Und auch von Google und Apple wird erwartet, dass sie in den kommenden Monaten eigene Bezahl-Dienstleistungen im Markt lancieren werden. Speziell diesen beiden Unternehmen wird zugetraut, dass sie solche neue Geschäftsfelder erfolgreich erschliessen und kommerzialisieren können.

Und das könnte durchaus neue Herausforderungen für Finanzinstitute bergen. Im günstigeren Fall verpassen sie möglicherweise zukunftsweisende Entwicklungen, die sie anschliessend mit grossen Anstrengungen wieder aufholen müssen. Im schlimmeren Fall versperren die neuen Anbieter den Finanzinstituten den Zugang bzw. das Mitwirken in ihren (geschlossenen) Zahlsystemen komplett. Dies würde den Finanzinstituten umso mehr weh tun, je erfolgreicher sich eine solche Zahlmöglichkeit etabliert. Und im schlimms ten Fall gelingt es den Drittanbietern sogar, über Zahlmöglichkeiten nach und nach in weitere Bankge schäfte vorzudringen, z.B. ins Kontogeschäft oder in die Vergabe von Kleinkrediten.

Dass der Finanzplatz Schweiz diese Entwicklungen aktiv beobachtet und ernst nimmt, bezeugt die vorliegende Ausgabe des CLEARIT. Sie befasst sich im Detail mit der Virtualisierung des Zahlungsverkehrs und berichtet unter anderem über neu entwickelte Applikationen für das Mobiltelefon, über neue Zahlkarten, Entwicklungen im Bereich Sicherheit oder über eine Zahlungsanwendung von SuisseID – einem neuen, standardisierten elektronischen Identitätsnachweis für den elektronischen Geschäfts-verkehr. Der Finanzplatz Schweiz hat in den vergangenen Jahren gezeigt, dass er im Zahlungsverkehr bei Kunden- und zukunftsweisenden Lösungen an vorderster Front mitwirkt. Dies gilt es auch in Zukunft zu beweisen. <

Marcel SchulerVerwaltungsrat der SIX Interbank Clearing AGLeiter Client Support Center, Credit Suisse AG

4 INHALT / CLEARIT | September 2010

Technologie- und Telekomfirmen, Mobilfunkbetreiber und Kreditkartenkonzerne liefern sich gegenwärtig ein Wettrennen um die elektronische Brieftasche der Konsumenten. Welche Rolle spielen dabei die Finanzinstitute? Dr. Hansjörg Leichsenring, ein ausgewiesener Experte und Bankenberater im deutschsprachigen Raum, beleuchtet Trends im mobilen Zahlungsverkehr.

Im Jahr des E-Commerce

CLEARIT: Wenn ich nach «geld anlegen» google, erschei-nen Anzeigen eines Edelholzinvestors, eines Photovoltaik- An lagenbauers, zweier Kreditvermittler und Emittenten, einer Zeitschrift, internationalen Anlageverwaltungsgruppe, Online-Trading-Bank sowie einer liechtensteinischen und US-amerikanisch beherrschten hiesigen Bank. Wie erklären Sie sich, dass arrivierte Schweizer Finanzinstitute nicht um die Inserateplätze kämpfen?Hansjörg Leichsenring: Ich würde als etablierter Anbieter auch kein Geld für Google-Anzeigen ausgeben. Ich würde auch nur sehr bedingt Geld für eine Bevorzugung bei den Suchergebnissen ausgeben. Vielmehr würde ich in die Suchmaschinenoptimierung investieren und mein Web- Angebot so darauf trimmen, dass es bei Google (und anderen Suchmaschinen) leicht zu finden ist. Dabei spielen Inhalte eine Rolle, aber auch die Art und Weise, wie man diese im Netz «verkauft».

Ganz generell würde ich aber allen etablierten Banken empfehlen, zu überlegen, wie sie ihr Marketing- und Werbebudget in den nächsten Jahren einsetzen wollen. Mit Blick auf soziale Medien wäre meine Empfehlung: Mindestens 20%, besser wären 30-40%, in soziale Medien investieren als in klassische Marketinginstrumente. Und damit meine ich nicht einfach nur eine Facebook-Seite «schick» machen. Vorher muss erst mal eine Strategie für soziale Medien und deren Einsatz vorhanden sein.

Letzten November hat Google ein neues Smartphone mit NFC-Technologie vorgestellt, welches Zahlungen ermö g-lichen soll. Solche Handys können als Geldbeutel verwendet werden, aber auch die Funktion einer Kreditkarte übernehmen oder theoretisch die Kreditkarte sogar erset-zen. Wohin geht Ihrer Meinung nach die Reise? Wir müssen nach meiner Meinung die Märkte in den USA und anderen von Ländern wie der Schweiz oder Deutsch-land deutlich unterscheiden. Dort spielt die Kreditkarte vor allem im Verbindung mit dem «Revolving Credit» eine grosse Rolle, die hierzulande so nicht besteht. Auch sind dort Debitkarten anders positioniert. In den USA sollen bis Ende diesen Jahres ja bereits über 70 Mio. Mobil telefone mit NFC ausgerüstet sein, und das Potenzial von mobilen NFC-Zahlungen wird für 2013 auf USD 75 Mrd. geschätzt, wobei diese Schätzungen beinahe monatlich nach oben

4 INTERvIEw / CLEARIT | Dezember 20094 INTERvIEw / CLEARIT | Juni 2011

angepasst werden. Auch bei uns sehe ich ein hohes Potenzial für den Einsatz von NFCs in Handys. Nicht nur als Zahlungsmittel sondern auch zum Einsatz als Trambil-lett, Kino- oder Theaterkarte, Führerschein oder ähnliches.

Das entscheidende Element aber ist die Möglichkeit per NFC dem Handynutzer Angebote in Abhängigkeit von seinem Aufenthaltsort zukommen zu lassen, die so genannten Geolocation Services. Stellen Sie sich vor, Sie gehen auf der Bahnhofstrasse spazieren und bekommen eine SMS, die Ihnen bei Sprüngli Kaffee und Gipfeli zum halben Preis anbietet. Sie müssen nur reingehen und das Angebot per Handy einlösen.

Mobiltelefone mit NFC

Near Field Communication ist ein kontaktloser, einfach verwendbarer, im Nahfeld (3-5 cm) arbeitender Kom-munikationsstandard, der von der Mobilfunkindustrie gestützt wird, und sichere Anwendungen erlaubt. Das kontaktlose Bezahlen mit Kreditkarte ist bereits Geschichte. Weltweit werden 75 Mio. kontaktlose Kreditkarten bei 230‘000 Händlern akzeptiert. Eine andere Anwendung ist bargeldloses Bezahlen mit Handys. Erfolgreiche Pilote haben auch in der Schweiz stattgefunden. Eine breite Anwendung wird erst statt-finden können, wenn Handy-Hersteller ihre Geräte mit NFC-Chips ausstatten. Grosse Mobiltelefonhersteller sollen solche Geräte in diesem Jahr lancieren.

Sie reden von Märkten in verschiedenen Ländern. Was sicherlich fehlt, sind international einheitlich funktionie-rende Standards. Wann wird es möglich sein, mit der gleichen elektronischen Geldbörse ein Trambillet in New Jersey, London und Zürich zu kaufen? Die neuen Anbieter haben ja für sich genommen inter-national durchaus einheitliche Standards. Wenn PayPal, Google oder andere mobiles Zahlen anbieten, dann werden die Kunden mit einem «Konto» oder Handy alle Funktio-nen überall auf der Welt nutzen können. Prinzipiell können Sie das ja heute auch schon mit Ihrer Kreditkarte, insofern

5EdIToRIAL / CLEARIT | September 2010

Kurzbiografie Dr. Hansjörg Leichsenring befasst sich seit über 30 Jahren beruflich mit Banken und Finanzdienstleistern. Nach einer Banklehre studierte er Volks- und Betriebs-wirtschaftslehre in Mainz und St. Gallen und arbeitete danach in verschiedenen Positionen, u.a. als Direktor bei der Deutschen Bank, als Vorstand einer Sparkasse und als Geschäftsführer eines Online Brokers.

Er bietet Banken und anderen Finanzinstituten Dienstleis-tungen im Bereich (Interims)Management und Beratung/Consulting an. Einer seiner Themenschwerpunkte ist der Einsatz sozialer Medien.

Weiterhin ist er Repräsentant der Firma Meniga, einem innovativen Anbieter für White-Label-Lösungen im

5INTERvIEw / CLEARIT | Juni 2011

Bereich Persönliches Finanz Management (PFM) für Deutschland, Österreich und die Schweiz.

Als Herausgeber des Bank-Blogs berichtet er regel-mässig über aktuelle und grundsätzliche Entwicklungen und Trends rund um Banken und Finanzdienstleister. Darüber hinaus hat er zahlreiche Artikel in verschie denen Fachzeitschriften veröffentlicht.

Ausserdem ist er als Referent und Moderator bei internen und externen Veranstaltungen im In- und Ausland tätig und hat einen Lehrauftrag an der Hochschule für Ange-wandte Wissenschaften Hamburg (HAW) für Allgemeine Betriebswirtschaftslehre.

6 INHALT / CLEARIT | September 20106 INTERvIEw / CLEARIT | Juni 2011

schleichender Prozess sein und keine Revolution, aber die Margen werden sich weiter vermindern, und die Banken werden einen immer kleiner werdenden Teil vom Kuchen erhalten, wenn sie nicht aufpassen. Und es wäre nicht das erste Mal, dass den Banken die Kundenbeziehung mehr und mehr entgleitet…

Können die Banken diesem schleichenden Prozess durch neue Services entgegenwirken? Durch Einführung neuer Zahlungsmethoden wie beispielsweise E-Payments? Was halten Sie davon, wenn Konsumenten in die Lage versetzt werden, ihre täglichen Online-Einkäufe direkt, d.h. in Echt-zeit über ihre Bankkonten zu begleichen?Schwer zu sagen, ob die Banken den Zug noch erreichen werden. Frau Bussemaker von der Rabobank hat ja am Swiss Banking Operations Forum den Versuch der Banken vorgestellt, einen einheitlichen Standard im SEPA-Raum zu entwickeln. Ich bin mir nur nicht so sicher, ob dies in absehbarer Zeit gelingen wird. Vielleicht müssen einzelne Banken einfach ihren Kunden eine eigene Lösung anbieten, um schnell zu sein.

Was den zweiten Teil Ihrer Frage betrifft, was ist schlecht daran, wenn Konsumenten neue Dienstleistungen ange-boten werden, die ihrem Bedarf zu entsprechen scheinen. PayPal wird ja rege genutzt. Spannend finde ich eher die Frage, ob es den Anbietern gelingt, ihre bislang aufs Internet

dürfen wir gespannt sein, was uns veranlassen soll, zukünftig etwas anderes zu benutzen.

«Zahlungsverkehr ist zwar nur ein Teil des Geschäftes mit Privatkunden, aber ein sehr wichtiger.»

Bis vor kurzem war das Bankkonto die Drehscheibe für jeden Zahlungsverkehr. Heute scheint es verzichtbar zu sein. Zumindest im Online-Konsumbereich, wo PayPal, Twitpay und Facebook Bezahl- und Kreditgeschäfte in banken unabhängigen Wertschöpfungsketten abwickeln. Bei Google Checkout sind Zahlungen beispielsweise auch direkt über die Mobilfunkrechnung möglich. Wie schätzen Sie die Gefahr ein, dass das Geschäft des Massenzah-lungsverkehrs den Finanzinstituten entgleitet?Zahlungsverkehr ist zwar nur ein Teil des Geschäftes mit Privatkunden, aber ein sehr wichtiger. Sie nennen das völlig zu Recht «Drehscheibe». Also eine ganz zentrale Funktion des Service- und Leistungsangebots der Banken an ihre Kunden. Für die Banken wird es wichtig sein, in dem Bereich zumindest bei den Zahlungsströmen weiter dabei zu bleiben, sonst gehen ihnen im ersten Schritt wertvolle Informationen über ihre Kunden und im zweiten Schritt die Kunden selbst verloren. Das wird ein

Trends im Zahlungsverkehr: Mit reger Beteiligung des Publikums diskutierten Ronny Bertels (Equens), Ruth Wandhöfer (Citi), Daniel Wettstein (SNB), Roland Greber (PostFinance) und Hansjörg Leichsenring am Swiss Banking Operations Forum vom 5. April 2011.

7EdIToRIAL / CLEARIT | September 2010 7INTERvIEw / CLEARIT | Juni 2011

beschränkten Angebote auch in den Shops am Point-of- Sale an den Kunden (und an den Händler) zu bringen.

«Die Banken müssen auf der Hut sein!»

Es ist schwer, den Überblick über neue mobile Zahlungs-initiativen zu behalten. Es gibt den bilateralen Weg, den beispielsweise PayPal und Starbucks mit App-Bezahlung des Kaffees beschreiten und der recht erfolgreich zu ver-laufen scheint. Daneben hat es auch multilaterale Projekte wie dasjenige zwischen drei US-amerikanischen Telekom-munikationsunternehmen. ISIS verspricht den mobilen Geldbeutel ohne Kredit- und Debitkarten, Tickets, Gut-scheine etc. Wie erfolgversprechend sind solche Arten der Zusammenarbeit? Es erscheint mir nur logisch, dass die Anbieter von Mobil-telefonie ihre Infrastruktur nicht einfach anderen überlassen wollen, sondern selbst von der abzusehenden rasanten Entwicklung mobiler Zahlungen profitieren möchten. Da werden sicherlich auch noch einige andere nachrücken. Allein Apple hat in seinem iTunes mehr als 200 Mio. Kreditkarten von Kunden gespeichert. Mit iTunes steht ein Shop bereit, mit dem iPhone oder dem iPad ein mobiles Gerät; was noch fehlt, ist eine Infrastruktur für den Zahlungsverkehr. Geld genug ist auch vorhanden, also was sollte Apple davon abhalten, eine eigene Bank zu gründen, um so die komplette Wertschöpfungskette selbst abzudecken? Es bleibt dabei: Die Banken müssen auf der Hut sein!

Ist nicht eben Facebook im Begriff, diese Wertschöp-fungskette samt eigener Zahlungsverkehrsinfrastruktur abzu decken? Das weltgrösste soziale Netzwerk hat im März eine Tochtergesellschaft für Zahlungsabwicklung ge-gründet. Es hat sogar seine eigene virtuelle Währung, die Facebook Credits, die als Zahlungsmittel eingesetzt wer-den. Wie sollen sich denn die Finanzinstitute gegenüber solchen Entwicklungen konkret verhalten?In der Tat hat Facebook das Jahr 2011 zum «Jahr des E-Commerce» ernannt. So sind ab 1. Juli 2011 innerhalb von Facebook Apps die Credits Pflicht. Für Banken stellen sich derzeit gleich zwei Herausforderungen: Zum einen müssen sie – und darüber reden wir hier – den neuen Anbietern im Zahlungsverkehr etwas entgegensetzen. Zum anderen sollten sie sich dringend und schnell mit den (schon nicht mehr so) neuen sozialen Medien auseinander-setzen. Mit denen tun sich die Banken unheimlich schwer, dabei liegen hier enorme Chancen für sie. Ich empfehle dem Top Management einer Bank, sich mal einen Tag zu einem Strategie-Workshop zurückzuziehen und über den Umgang mit sozialen Medien und die eigene diesbezüg-liche Strategie zu beraten. Im Zweifel sollten sie sich dazu jemanden von aussen als Moderator holen. Der sollte nicht nur von sozialen Medien, sondern auch von Banken und von Strategieentwicklung etwas verstehen.

Was ist Web 2.0

«Web 2.0» beschreibt einen Komplex aus sozialen Nutzungsmustern und modernen Online-Technolo-gien. «Customer Created Content» charakterisiert das Web 2.0 wohl am besten. Social Software gehört als Hauptbestandteil zu diesem Komplex. Sie unterstützt den Beziehungsaufbau und die Kommu-nikation in einem sozialen Kontext und orientiert sich an Prinzipien wie Selbstorganisation, Social Feedback, Verknüpfung von Inhalten sowie Transparenz von Personen, Beziehungen, Inhalten und Bewertungen. (Quelle: Wikipedia)

«Es fällt mir schwer, zu glauben, dass eine Grossbank den Zahlungsverkehr nicht als strategisches Geschäftsfeld ansieht.»

Vielleicht ist es sinnvoll zwischen grossen, internationalen Banken und kleineren, regionalen Finanzinstituten zu unterscheiden. Nehmen wir an, für eine Grossbank ist das Massenzahlungsverkehr kein Kerngeschäft, so dass sie gelassener auf die Herausforderungen der Internet- Giganten reagieren kann. Wie sehen Sie aber die Hand-lungsspielräume eines Instituts, das den Fokus auf den Zahlungsverkehr richtet?Es fällt mir schwer, zu glauben, dass eine Grossbank den Zahlungsverkehr nicht als strategisches Geschäftsfeld ansieht. Im Privatkundengeschäft ist es eine wichtige Dreh-scheibe und im Firmenkundengeschäft ebenfalls. Insofern glaube ich, dass keine Bank wirklich gelassen sein kann. Ein Institut wie die schweizerische PostFinance, die derzeit ja noch keinen Bankstatus besitzt und für die der Zah-lungsverkehr eine höhere Bedeutung hat als für andere, muss natürlich besonders auf der Hut sein und sich etwas einfallen lassen, um die Kunden bei Laune zu halten. Nach meiner Beobachtung ist das dort aber auch im Bewusst-sein verankert.

Einen Weg, den ich sehe, ist es, Zusatzangebote rund um den Zahlungsverkehr und das Konto anzubieten. Eines davon wäre beispielsweise ein Persönliches Finanz Ma-nagement (PFM), eine neue Verbindung zwischen privater Finanzplanung und Web 2.0. In Amerika gehört das schon zum guten Standard im Retail Banking, in Europa erleben wir gerade erste Angebote. Hier liegt aus meiner Sicht derzeit eine der seltenen Chancen für die Banken, sich mit einer neuen attraktiven Dienstleistung am Markt zu positio-nieren und vom Wettbewerb abzuheben.

8 INHALT / CLEARIT | September 20108 INTERvIEw / INs & ouTs / CLEARIT | Juni 2011

Das Handy ist das Schweizer Messer der Zukunft. Mobiles Internet ist für viele Anwender unverzichtbar, ob nur der Wetterbericht oder Börsenkurse abgefragt oder auch schon Bankgeschäfte abgewickelt werden. Der Trend ist eindeutig. Bereits in naher Zukunft werden mehr Menschen das Internet über mobile Geräte nutzen als über stationäre Computer.

Das Schweizer Messer der Zukunft

Daher liegt es auch auf der Hand, das Handy zukünftig auch als unsere Brieftasche zu nutzen. Statt vieler Plastikkarten mit uns rumzutragen wird unser ständiger mobiler Begleiter auch Kundenkarten, Bezahlkarten, Transport tickets, Zu-trittsschlüssel und vieles mehr speichern.

Die neue DimensionDas bringt wesentliche Vorteile: Die Karten sind nie mehr verlegt oder vergessen. Zudem ist die Nutzung noch über-sichtlicher und bequemer, da auch der Kontostand oder die Cumulus- oder Supercard-Punkte angezeigt werden. Bis dato hat dazu aber der «letzte Zentimeter» gefehlt, die Strecke vom Handy zum davinci-Terminal oder zum Zu-trittsleser an der Tür. Die neue Technologie «Near Field Communication», kurz NFC, erlaubt nun diese Verbindung

«Vor allem aber müssen Banken neue eigene mobile Inhalte gestalten, also Dienstleistungen und Services anbieten, die Kunden unterwegs nutzen wollen.»

Forschungsinstitute geht davon aus, dass mobile End geräte für den Internetzugang bald wichtiger sein werden als PCs. Dazu kommt, dass mobile Kanäle das Umsatz-Wachstum im E-Commerce beschleunigen werden. Welche Konse-quenzen ergeben sich daraus für die Finanzindustrie?Ich habe kürzlich einen Bericht gelesen, dass iPad-Nutzer mehr Zeit am iPad als am PC verbringen. Für Finanzdienst-leister sehe ich mehrere Handlungsfelder:1. Sie sollten die neuen Technologien selbst nutzen, z.B.

im Beratungsgespräch mit Kunden einen iPad einsetzen, statt noch mit Papier und Stift Informationen abzufragen, die dann später in den PC oder sogar noch den Gross-rechner eingegeben werden müssen. Entsprechende Apps selbst für Wealth Management gibt es ja bereits.

2. Banken sollten den vorhandenen eigenen Content «mo-bil-fähig» machen.

3. Vor allem aber müssen Banken neue eigene mobile Inhalte gestalten, also Dienstleistungen und Services anbieten, die Kunden unterwegs nutzen wollen. Ein

Beispiel hierfür wären Tools für Persönliches Finanz Ma-nagement wie ich es eben erwähnt habe. Sie machen es dem Kunden leichter, seine Finanzen zu planen und zu verwalten und helfen ihm dabei noch, zusätzliche Vorteile zu sichern.

Soll das auch das E-Banking «mobil-fähig» gemacht wer-den?Das geschieht bereits. Wobei ich persönlich sehr skeptisch bin, ob die Kunden sich über die fünfte App ihrer dritten Nebenbank wirklich noch freuen. Mobil werden erfahrungs-gemäss sehr wenige Funktionen wirklich gebraucht, z.B. der verfügbare Kontostand.

Der grösste Nutzen für die Kunden läge darin, wenn die Banken ihnen tatsächlich ein modernes Persönliches Finanz Management an die Hand geben würden, das ihnen bei der Planung der täglichen und nicht alltäglichen Ausgaben hilft und mit dafür sorgt, dass am Ende des Monats noch genug Geld übrig bleibt, um sich auch besondere Wünsche erfüllen zu können. Wenn es dafür dann auch eine mobile Unterstützung gibt, umso besser. <

Interview: Gabriel Juri, SIX Interbank Clearing gabriel.juri@six-group.com

der virtuellen mit der realen Welt. Der Endkunde erlebt eine neue Dimension für das Einkaufen, Reisen und das mobile Arbeiten:• Der Kunde kann seine Bezahl- und Loyalty-Karten beim

Einkaufen bequem im Handy tragen• Eine Bezahlung von Kleinbeträgen erfolgt deutlich

rascher und einfacher als jede Cash-Transaktion• Konto- und Punktestände und Transaktionen können

visualisiert werden• Sammelprogramme können mit Online-Diensten

verknüpft werden und ermöglichen neue Marketing-kanäle

• Gutscheine können bequem am Handy verteilt und eingelöst und zudem von einer Person auf eine andere übertragen werden («virales Marketing»)

9EdIToRIAL / CLEARIT | September 2010 9INs & ouTs / CLEARIT | Juni 2011

• Zielgerichtete Angebote können auf das Handy zugestellt werden

• Rechnungen und Garantiescheine können bequem gesammelt werden

• Soziale Netzwerke können durch das Berühren zweier Handys vergrössert werden

• Tickets können direkt am Handy bestellt und gespeichert werden

• Schlüssel können mit einer bestimmten Lebensdauer zugestellt werden (der Pflegedienst oder Servicetechni-ker erhält genau dann und dort Zugang, wann und wo nötig)

• Transaktionen erfolgen durch eine einfache Berührung. Dies ist intuitiv und für alle Zielgruppen, ob alt oder jung, mühelos zu bedienen. Und das alles erfolgt sicher und zuverlässig.

So sicher wie jede BankkarteDie Technologie ist nicht neu. Wir kennen kontaktlose Karten zum Bezahlen wie PayPass oder payWave oder für den Zutritt mit LEGIC seit mehreren Jahren. Neu ist, dass NFC es ermöglicht, genau diese Karten nun zu virtualisie-ren und mit dem Handy verwendbar zu machen.

NFC beruht auf der bewährten drahtlosen Kommunikati-onstechnologie RFID. Die Anwendung erlaubt es z.B. mit dem Handy ein Werbeplakat zu berühren und automatisch eine Information über das Internet abzurufen. Statt dem mühsamen Tippen einer URL genügt nun eine Berührung am TouchPoint. Diese Möglichkeit erlaubt viele Anwen-dungen wie das Anzeigen von Produktinformation, den

Austausch von Kontakten, das Sammeln von Coupons etc. In diesem Szenario «Open NFC» ist das Handy ein mobiler NFC-Leser («Reader Mode»).

Damit das NFC-Handy jedoch auf einem Terminal bezahlen kann, muss es Karten emulieren und diese Funktionali-tät auch so sicher abwickeln wie jede Bankkarte. Damit das «Secure NFC» möglich ist, haben die NFC-Handys einen sicheren Speicherbereich, das so genannte «Secure Element». Dieses kann über die «Card Emulation» sowohl von einem Terminal kontaktlos gelesen als auch von einer Handyapplikation verwendet werden.

In der Praxis gibt es verschiedene Formfaktoren des Secure Elements: Eine spezielle SIM-Karte, genannt USIM, kann neben den SIM-Informationen auch sichere NFC-Appli-kationen ablegen und über das Single-Wire-Protocol mit dem NFC-Handy austauschen. Manche Hersteller integrie-ren diesen Secure Element-Chip direkt im Handy. Auch das Nachrüsten mit NFC-fähigen Micro-SD-Karten oder NFC-Adaptern ist für bestimmte Handy-Modelle möglich.

Wettbewerbs- und KooperationsmodelleEntscheidend für die kommerzielle Einführung von NFC ist aber nicht, wie das Secure Element physikalisch ausge-führt ist, sondern wer es herausgibt und logisch verwaltet. Eine USIM wird vom Mobile Network Operator (MNO) he-rausgegeben. Damit muss in diesem Fall für das Verteilen eines NFC-Applets wie z.B. von PayPass oder payWave eine kommerzielle Vereinbarung und technische Verbin-dung mit dem MNO getroffen werden.

10 INHALT / CLEARIT | September 201010 INs & ouTs / CLEARIT | Juni 2011

Damit nicht jeder Anbieter von mobilen Diensten mit jedem Mobile Network Operator oder Herausgeber von Secure Elements sowohl kommerzielle Vereinbarungen als auch technische Anbindungen vornehmen muss, gibt es im NFC-Ökosystem die neue Rolle eines «Trusted Service Managers», kurz TSM.

Wenn Banken, Retailer oder Transportunternehmen – im Ökosystem als Serviceprovider zusammenge fasst – nun ihren Kunden mobile kontaktlose Produkte auf das NFC-Handy verteilen wollen, so erfolgt die «Produktion» der Secure Applets über eine Luftschnittstelle (Over-The-Air) vom TSM. Kunden können ihre mobilen Kreditkarten innerhalb von Minuten auf ihr Handy zugestellt bekommen. Der TSM garantiert zudem, dass dieser Prozess sicher und kundenfreundlich abläuft.

Die Funktion, die ein Trusted Service Manager einem Endkunden anbietet, betrifft aber nicht nur eine Erstvertei-lung. Wenn der Kunde ein neues Handy erhält, so managt der TSM das «Zügeln» der Applikationen, er sperrt Services bei Verlust des Handys und kann auch Daten aktualisieren, z.B. ein SBB-Abonnement verlängern.

Im neu entstehenden NFC-Markt wird der Trusted Service Manager von den Service Providern für die Verteilung der

virtuellen Karten vergütet. Der TSM entrichtet eine Gebühr an den He rausgeber des Secure Elements für die Bereit-stellung des multifunktionalen Speichers wie z.B. die USIM im Falle von Mobile Network Operators. Durch die unter-schiedlichen NFC-Formfaktoren können aber auch z.B. Banken selbst Micro-SD-Cards he rausgeben und somit NFC-Dienste unabhängig von MNOs anbieten. In der Praxis wird es sowohl Wettbewerbs- als auch Kooperationsmodel-le unter den Teilnehmern geben. Für den Kunden wichtig ist natürlich die Akzeptanz: Wo kann er damit bezahlen, Punkte sammeln etc. Immer mehr Hersteller bieten ihre Terminals standardmässig mit kontaktloser Schnittstelle an, die neben den 600‘000 in der Schweiz in Umlauf befindlichen kontakt-losen Kreditkarten auch die NFC-Bezahlung akzeptieren.

Warum wird NFC erfolgreich werden? Der Mehrwert für den Kunden in Form von verbesserten und schnelleren Services, zielgerichteten Angeboten und insgesamt einer neuen Be-nutzererfahrung beim Einkaufen werden in Zukunft nicht mehr wegzudenken sein. Um diesen Mehrwert im Handy erlebbar zu machen, wird eine mobile Brieftasche unsere Karten und Schlüssel verwalten. Das NFC-Wallet macht das Handy zum Schweizer Messer der Zukunft. <

Kurt Schmid, Geschäftsführer NEXPERTS GmbHkurt.schmid@nexperts.com

Die Rollen im NFC-Ökosystem

Herausgeber des Secure Elements (z.B. MNO)

Endbenutzer Service Provider

Trusted Service Manager

Vertragsbeziehung für ein Service (z.B. Bezahlen, Ticketing)

Wiederkäufer des

Secure Elements

Vertrag

Erhält NFC Handy mit Secure Element

Provisi

oniert Serv

ices

Over t

he Air

11EdIToRIAL / CLEARIT | September 2010 11PRoduCT & sERvICEs / CLEARIT | Juni 2011

Die Mobiltelefonie verändert unser Leben, unsere Ökonomie und Geschäftsmodelle. Musik- und Filmbranche stehen bereits inmitten dieses Umbruchs. Zeitungsverlage fürchten um ihre Kundenbeziehung, weil Drittfirmen wie Google und Apple den Zugang zu redaktionellen Texten via iPad und Handy kontrollieren können. Auch der Zahlungsverkehr kann sich diesem Trend nicht entziehen.

Mit Applikationen Geldgeschäfte erledigen

Apple hat mit der Lancierung des iPhones im Jahr 2008 neue Massstäbe gesetzt. Die Kombination aus einfach bedienbaren Endgeräten sowie neuen Konzepten wie den App-Store für die Kundenansprache, Dienstleis-tungskonzeption und -vertrieb lässt sich auch für den Zahlungsverkehr nutzbringend einsetzen.

Der persönliche Finanzassistent in der TascheViele Finanzinstitute haben den ersten Schritt in Richtung Mo- bile Banking bereits Ende der 90-er Jahre gemacht, als sie die Kontostandabfrage durch SMS ermöglichten. Erst mit der Ver-breitung von Apps für iPhones hat das Mobile Banking die Auf-merksamkeit wieder auf sich gezogen. PostFinance hat im Herbst 2010 als erstes Schweizer Finanzinstitut ihre SMS-basier- ten Dienste wie Kontostand ab- fragen, Geld überweisen und Gesprächsguthaben aufladen in eine einfach zu bedienende App integriert. In derselben Applika-

tion können Standorte von Postomaten, Poststellen und PostFinance-Filialen angezeigt und die Entwicklung von Aktien- und Devisenkursen verfolgt werden.

Einfachheit und DatensicherheitFür Finanztransaktionen oder Kontoinformationen muss sich der Benutzer einmalig mit einem starken Au then -

tisierungsverfahren anmelden. Hier wird das bekannte Login-Verfahren mit der PostFinance Card, ein Lesegerät und ein Challenge Response-Verfahren eingesetzt. Nach der Anmeldung kann der Benutzer bei jeder zukünftigen Verwendung der App mit einem persönlichen Passwort auf die Informationen zugreifen und kleinere Beträge über weisen sowie Gesprächsguthaben aufladen. Ein mehr-stufiges Verschlüsselungs- und Identifizierungsverfahren sorgen dafür, dass Unbefugte die Daten weder abfragen noch lesbar machen können.

Chance und GefahrDas Handy wird die bisher separat erbrachten Banking- und Zahlungs-Dienstleistungen näher zusammenbringen. Services für Kontozugriffe sowie Zahlfunktionen in Appli-kationen von Dritten wie SBB, Coop oder LeShop könnten mittelfristig verschmelzen. Werden Bankkundinnen und -kunden auf demselben Gerät über unterschiedli-che Abläufe, Masken und Sicherheitsverfahren Geld von einem Konto zum anderen bewegen wollen? Die Antwort auf diese Frage birgt sowohl Chancen als auch Gefahren und ist der Schlüssel für die Finanzbranche, um die Kun-denbeziehung für Geldgeschäfte halten und ausbauen zu können. <

Roland Greber, Leiter Kompetenzzentrum PostFinance Mobileroland.greber@postfinance.ch

Kasten: Sabrina Jantschik, SIX Card Solutionssabrina.jantschik@six-group.com

App als mobiles Terminal

SIX Card Solutions bietet ab Sommer 2011 ein neues mobiles Karten-Terminal an. Die Saferpay mobile App ist eine Erweiterung von Deutschlands erstem, mobilem Kreditkarten-Terminal «iPayMobile», das vor einem Jahr lanciert wurde. Neben den gängigen

Kreditkarten verarbeitet sie auch deutsche Lastschrif-ten. Die neue App ist noch einfacher zu bedienen und verfügt über viele zusätzliche Funktionalitäten. Neu können beispielsweise Gutschriften für Kredit-kartenzahlungen ausgeführt werden. Die App eignet sich besonders für den Einsatz bei Kurier-Diensten, Taxifahrern und jeder Art von Lieferanten (z.B. Pizza-Service).

12 INHALT / CLEARIT | September 201012 PRoduCT & sERvICEs / CLEARIT | Juni 2011

Mit der «Internet Cash»-Karte hat Swiss Bankers Prepaid Services im letzten November in Zusammenarbeit mit MasterCard eine Prepaid-Lösung für Zahlungen im Internet lanciert. Die Firma Swiss Bankers gibt es seit 36 Jahren. Sie wurde als Travelers Cheque Center von Banken gegründet und ist heute selbst eine Bank.

Prepaid-Karte fürs Internet

Rund 70% der Schweizer Bevölkerung kaufen im Internet ein. Über die Hälfte hat dabei Bedenken, dass die Daten ihrer Kreditkarte missbraucht werden könnten. Weitere 25% würden zwar gern online einkaufen, haben aber keine Kreditkarte dafür. Mit Internet Cash von Swiss Bankers und MasterCard sollen auch die Bedürfnisse dieser Konsumen-ten abgedeckt werden. Die Karte ist zudem für Bankkunden eine sinnvolle Ergänzung ihrer bestehenden Kreditkarten. Für Internet Cash wird den Konsumenten keine Jahresge-bühr belastet. Sie bezahlen in der Regel eine Gebühr von 2% des Ladebetrages sowie beim Bezahlen je nach Kar-tenwährung CHF 3, EUR 2 oder USD 3 pro Transaktion.

Erfahrung und Investitionen Der Vertrieb von Prepaid-Zahlungsmitteln über Banken gehört zum Kerngeschäft von Swiss Bankers und ist historisch begründet. 1975 wurde das Swiss Bankers Travelers Cheque Center von verschiedenen Banken als einfache Gesellschaft gegründet, um den Cheque in Schweizer Franken herauszugeben. 2008 hat das Unternehmen seine Rechtsform geändert. Neben Easy Cash und Internet Cash ist Travel Cash das Kernprodukt von Swiss Bankers. Es ist eine Wei-terentwicklung des Travelers Cheques und wird von 160 Banken in der Schweiz vertrieben. Travel Cash hat den Grundstein für das zukunftsgerichtete Geschäft mit elektronisch einsetzbaren Prepaid-Zahlungsmit-teln gelegt. Dabei kann das Unternehmen auf gut ausgebaute Plattformen und etablierte Prozesse zu-rückgreifen, ohne bei jeder Lancierung von weiteren Prepaid-Karten neu investieren zu müssen.

Prepaid-Karten in der SchweizNeben Swiss Bankers geben folgende Unternehmen Prepaid-Karten heraus: Cornèr Bank («Cornèrcard Reload»: MasterCard und Visa), PostFinance («Value»: nur MasterCard), Viseca («PrePaid»: MasterCard und Visa), Valartis («Advanced Card»: nur Visa) und SIX Multipay («CASH»). Im Ende 2009 waren 67‘600 Pre-paid-Karten im Umlauf. Über das ganze Jahr wurden mit knapp 16 Millionen Transaktionen rund CHF 70 Million umgesetzt. (Quellen: Cornèrcard, PostFinance, Viseca, Valartis, BIZ)

PartnerDie Internet Cash-Karte, die von Swiss Bankers heraus-gegeben wird, ist an das weltweite Akzeptanznetz von MasterCard angeschlossen. Besitzer dieser Karte können so bei Millionen von Anbietern online bezahlen. Verarbei-tet werden die Transaktionen von MasterCard. Die Karte kann schweizweit an über 140 SBB Change-Schaltern und bei der St.Galler Kantonalbank erworben (und wieder aufgeladen) werden. MasterCard® SecureCode™ bietet zu-sätzlichen Schutz gegen Missbrauch der Kartendaten im Internet.

Die St.Galler Kantonalbank, eine Aktionärin von Swiss Bankers, war die erste Vertriebspartnerin. Das neue Produkt kann ohne grossen Aufwand eingeführt werden, weil sämtliche Prozesse sowie das Bestell- und

Abrechnungssystem mit denjenigen der Travel Cash Karte identisch sind. Eine Vertriebspflicht für Aktionäre existiert nicht. Selbstverständlich können auch Finanzinstitute ohne Anteilsbesitz den Vertrieb übernehmen. <

Thomas Beck, CEO Swiss Bankers Prepaid Services AG thomas.beck@swissbankers.ch

13EdIToRIAL / CLEARIT | September 2010 13PRoduCT & sERvICEs / CLEARIT | Juni 2011

Seit kurzem gibt es eine globale, sichere und einfache Methode, um Zahlungen aus zuführen und zu empfangen, ohne notwendigerweise auf eine Kreditkarte zurück-zugreifen. Zum ersten Mal im Zahlungsverkehr wird SuisseID – der elektronische sichere Identitätsnachweis – von der Firma SwiKey eingesetzt.

Online-Zahlungen ohne Kreditkarte

Das Ziel ist, Käufern im Internet zu ermöglichen, über den Kauf von aufladbaren Coupons an verschiedenen Verkaufs-stellen in Schweizer Franken, Euro oder Dollar zu bezahlen.Jedes bei SwiKey registrierte Mitglied (Einzelperson oder Unternehmen) besitzt eine elektronische Geldbörse, die es auf verschiedene Arten aufladen kann: durch Bank-überweisung, über E-Finance der PostFinance oder mit PostFinance-Karte, mit aufladbaren Coupons, die an ver-schiedenen Verkaufsstellen verfügbar sind (in Kürze), und mit Kreditkarte (in Kürze). Das Mitglied kann Geld an ein anderes Mitglied übersenden oder auf einer Verkaufs-Webseite eines Partners bezahlen. Die Gebühren (1% für Direktzahlungen oder 3% für vermittelte bzw. sog. Es-crow-Zahlungen beispiels weise bei Online-Auktionen) gehen zu Lasten des Verkäufers. Ein Wechselkursme-chanismus ermöglicht die Umrechnung von Devisen. Es gibt zwei Arten von Geldbörsen: begrenzte und un-begrenzte. Im ersten Fall ist es nicht nötig, sich bei der Anmeldung durch Vorlage von Dokumenten auszu weisen. Die Transaktionen sind jedoch auf CHF 5000, EUR 3500

SwiKey SA Das neu gegründete Schweizer Unternehmen ist im Online-Zahlungsverkehr tätig. Seine Dienstleis-tungen werden seit etwa einem Jahr auf dem Markt angeboten und sollen in grossem Umfang ausgebaut werden. SwiKey sucht Handelspartner im Bereich Luxusartikel, Fluggesellschaften, Reisen und Online- Spiele. Darüber hinaus soll das Netzwerk für Barauf-ladestellen erweitert werden.

SuisseID Die SuisseID ist der erste sichere elektronische Identitätsnachweis der Schweiz, mit dem sowohl eine rechtsgültige elektronische Signatur als auch eine sichere Authentifizierung möglich sind. Dank SuisseID können Transaktionen zwischen Einzelper-sonen und Unternehmen, zwischen Unternehmen sowie zwischen Bürgern und Verwaltung online ab-gewickelt werden.

und USD 4700 pro Jahr beschränkt. Bei unbegrenzten Geldbörsen müssen sich die Inhaber ausweisen, bevor sie ihre Geldbörse verwenden. Mit der SuisseID kann man sich schnell registrieren oder auf sehr sichere Weise eine Verbindung zur eigenen Geldbörse herstellen. Der Anmeldevorgang wird beschleunigt, da es nicht nötig ist, Ausweisdokumente einzusenden. Der Zugang zur Geldbörse kann je nach Wunsch des Benutzers auf sehr sichere Weise über einen Navigator mit SuisseID oder über ein einmaliges Kennwort (Mobile OTP) erfolgen. Darüber hinaus erlaubt die kostenlose iPhone-Anwendung «MPayment», den Kontostand abzufragen, eine Zahlung an ein Mitglied zu veranlassen, Geld auf das eigene Bankkonto zu überweisen oder die Geldbörse aufzuladen. Die Integ-ration der SwiKey-Services bei den Partnern erfolgt auf komfortable und sichere Weise mit IPN (Instant Payment Notification, sofortige Zahlungsbestätigung), deren Doku-mentation auf Anfrage verfügbar ist. <

Joe Farage, SwiKey SA, joe@swikey.ch

Auflademöglichkeiten SwiKey-Umgebung

CHF, EUR, USD CHF, EUR, USD

* in Kürze Sofortige Zahlung

Bankkonto

Geldbörse A

privat oder geschäftlich

Geldbörse B

privat oder geschäftlich

PostFinance

Baraufladung*

Kreditkarten*

Abhebemöglichkeiten

Bankkonto

PostFinanceSwiKey SA

Vertrau lichkeitSicherheit

Funktionsweise einer Prepaid-Geldbörse von SwiKey

14 INHALT / CLEARIT | September 2010

In den letzten Jahren haben sich die Angriffe auf Banking-Services im Internet weiterentwickelt. Statt relativ einfacher Attacken mit dem Ziel, Anmelde infor-mationen zu stehlen, sind jetzt intelligentere Methoden im Vormarsch. Üble Schadprogramme, so genannte Malware, werden auf den Endgeräten der Nutzer eingeschleust, um Inhalte zu manipulieren. Eine Praxisimplementierung bei UBS zeigt, wie man diesen Risiken unter Beachtung von Kundenkomfort und Mobilität begegnen und gleichzeitig die höchste Ebene an Sicherheit beibehalten kann.

Der Malware den Garaus machen

Angriffe zur Inhaltsmanipulation, deren Ziel die über den Computer des Kunden eingegebenen Transaktionsdaten sind, gelten als die häufigste und bedrohlichste Angriffs-form. Sie treten typischerweise in Aktion, nachdem Malware den Computer des Kunden infiziert hat. Der Grund ist, dass in der Praxis für Surfen/E-Mails und für Online-Banking der gleiche PC verwendet wird. Angriffs-punkt für betrügerische Handlungen ist daher meistens der Computer des Kunden, auf dessen Sicherheit die Bank keinen Einfluss hat.

Von Internet und PC unabhängige TransaktionsbestätigungDie einzige langfristige Antwort auf diese Bedrohung liegt in einer doppelten Authentisierung. Zusätzlich zur Identitätsprüfung bei der Anmeldung sollen ausgewählte vertrauliche Transaktionsdaten, wie z.B. den Begünstig-ten, oder die ganze Transaktion bei der Eingabe bestätigt werden. Dafür ist eine so genannte Trusted Plattform einzusetzen, die weder mit dem Internet noch mit dem Computer des Kunden verbunden ist. Mit anderen Worten: Der Vorgang der Bestätigung der vertraulichen Transakti-onsdaten muss vom Computer auf ein vertrauenswürdiges externes Gerät verschoben werden, das mindestens über einen Display, ein oder mehrere Tasten sowie die Be-nutzer-Anmeldedaten verfügt. So kann der Benutzer wichtige ausgewählte Transaktionsdaten zuverlässig auf dem externen Display überprüfen, beispielsweise das Be-günstigtenkonto einer Zahlungsanweisung, und dann die jeweiligen Daten über die externen Tasten bestätigen. Das Gerät erzeugt dann normalerweise eine transaktionsspezi-fische Signatur, die an den Banking-Server gesendet wird. Anmeldedaten, mit denen dies durchgeführt wird, sind in keinem Fall mit dem Computer des Kunden verbunden. Das heisst, dass das externe Gerät immer das signiert, was der Benutzer auf diesem Gerät gesehen und bestätigt hat.

Vom System getrennte AnzeigelösungEine Lösung, die bei allen Kunden mit Anschluss an UBS e-banking in der Schweiz weltweit im Einsatz ist, ist die so genannte UBS Access Card mit entsprechen-dem Karten leser. Dieses Identifikationssystem basiert

14 BITs & BYTEs / CLEARIT | Juni 2011

auf einer chipkartenbasierten Lösung mit einem eigen-ständigen Gerät zur Code generierung, das nicht mit dem PC oder einem Netzwerk verbunden ist. Der Kartenleser stellt einen Smartcard-Leser mit einfachem Display und einem Tastenfeld dar. Darüber hinaus besitzt der Zugriffs-berechtigte eine Smartcard mit einem personalisierten Schlüssel und einem Zähler, mit dem er eine Antwort auf eine gegebene Aufforderung erstellen kann. Zur Benutzerauthentisierung stellt der UBS-e-banking-Server eine benutzerspezifische zufällige Aufforderung auf einer Webseite bereit. Nach dem Einlegen der Karte und der PIN-Eingabe überträgt der Benutzer manuell die Auf-forderung von der Webseite in den Leser, der sie zur Antwortberechnung an die UBS Access Card sendet. Schliesslich kopiert der Benutzer die auf dem Lesegerät angezeigte Antwort zurück in die Webseite, um sie an den UBS-e-banking-Server zu senden.

Diese Authentisierungslösung wurde nun insofern er-weitert, dass die Bestätigung des Begünstigten ermöglicht wird. Dazu verlangt der Server eine Ziffernfolge, nämlich die Kontonummer des Zahlungsempfängers, bevor eine Transaktionsanfrage verarbeitet wird. Das bedeutet, dass

Effektive Bestätigung des Begünstigten

Obwohl die Praxis in jedem Land unterschiedlich sein kann, hängt der Erfolg eines Zahlungsauftrags häufig nicht davon ab, ob der angegebene Name und/oder die Adresse des Zahlungsempfängers richtig sind, sondern allein davon, ob das angegebene Konto des Zahlungsempfängers und/oder die Zahlungsreferenz-nummer richtig sind. Für eine effektive Bestätigung des Begünstigten ist deshalb eines entscheidend: identifizieren, was den Zahlungsempfänger einer Transaktion eindeutig bestimmt, abhängig von dessen Bank und der Art der Zahlung, und dann den Benutzer veranlassen, nur dies zu prüfen und zu bestätigen.

15EdIToRIAL / CLEARIT | September 2010 15BITs & BYTEs / CLEARIT | Juni 2011

der Benutzer die Kontonummer des Begünstigten in das Lesegerät eingibt und die Antwort zurück in die Webseite kopiert – genau wie bei der Benutzerauthentisierung. Zu diesem Zeitpunkt wird die Kontonummer nicht auf der Webseite angezeigt, da die Anzeige auf dem Computer des Kunden nicht als vertrauenswürdig angesehen wird. In diesem Fall wird der Zugriffsberechtigte aufgefordert, die zur Bestätigung angezeigten Informationen entsprechend der ihm ursprünglich vorliegenden Auftragsinstruktion, be-ziehungsweise vertrauenswürdigeren Quelle zu beziehen. Für den Fall, dass die Kontonummer als Ziffernfolge zu lang ist, zeigt die Webseite an, welcher Teil der Kontonummer verwendet werden soll. Wenn die Kontonummer beispiels-weise 123456789 ist und 34567 als Ziffernfolge verwendet werden soll, zeigt die Webseite 12xxxxx89 an, um den Benutzer anzuleiten. Diesen ziemlich zeitaufwändigen Bestätigungsvorgang für jede Transaktion vom Benutzer einzufordern, wäre nicht durchführbar. Nur in Kombina-tion mit der Verwaltung von bereits bestätigten, respektive vertrauenswürdigen Begünstigten (white list management) wird die Lösung für die meisten Benutzer praktikabel.

Praktische ErgebnisseVon der Sicherheitsperspektive aus lassen sich mit der Lösung Angriffe zur Inhaltsmanipulation zuverlässig ver-eiteln, wenn Kunden und deren Zugriffsberechtigten sich ihrer Verantwortung und Sorgfaltspflicht zur korrekten und sorgfältigen Ausführung der Bestätigung auch bewusst sind. Im Hinblick auf businessrelevante Aspekte wie Komfort, Mobilität, Integration und Kosten erhöht die neue Methode die Benutzervorteile erheblich im Vergleich zu

heutigen Lösungen. Die Methode ist intuitiv und funk-tioniert mit allen Standard-PCs, Betriebssystemen und Webbrowsern, ohne dass zusätzliche Software installiert werden muss. Deshalb kann sie leicht mitgenommen und fast überall eingesetzt werden, obgleich das Gerät durch das eigene Tastenfeld etwas sperrig ist. Last but not least sind die Kosten für einen Einsatz in grossem Umfang an-gemessen.

Moderne Internet-Banking Services können im Hinblick auf heutige Attacken nur überleben, wenn Banken die Ange-messenheit ihrer Lösungen genau abwägen und Benutzer sich ihrer Verantwortung und Sorgfaltspflicht bewusst sind, um ihre Anmeldedaten zu schützen und Transakti-onsdaten bei Bedarf sorgfältig zu überprüfen. <

Alain Hiltgen, UBS AGalain.hiltgen@ubs.com

Stefan Brunner, UBS AGstefan-pascal.brunner@ubs.com

Client-PC(mögliche unsichere Umgebung)

Backend(Server)

Smartcard

Webbrowser

Aufforderung: 82763359Antwort: W0PQ3499

Nicht verbundenes Lesegerät

TLS-Verbindung

Aufforderung/ Antwort

W0PQ3499

1

4

7

*

2

5

8

0

3

6

9

#

82763359 W0PQ3499

Aufforderung/Antwort manuell vom Benutzer

kopiert

Verwaltung von bestätigten Begünstigten

Für die Effektivität der Bestätigung von Begünstig-ten im Zahlungsverkehr ist es entscheidend, nur dann eine Bestätigung anzufordern, wenn der Zah-lungsempfänger weder der Bank noch dem Kunden als vertrauenswürdig bekannt ist. Die Erfassung ver-trauenswürdiger Zahlungsempfänger bedeutet im Wesentlichen, Positivlisten zu bestätigten sowie vertrauenswürdige Begünstigte zu verwenden, die jeweils von der Bank und den einzelnen Zugriffs-berechtigten eines Kunden verwaltet werden. Die Verwaltung von bestätigten Begünstigten entspricht dann dem Hinzufügen oder Streichen eines Zahlungs-empfängers in der persönlichen Positivliste eines Kunden durch dessen Zugriffsberechtigten. Bevor eine Transaktion ausgeführt wird, prüft die Bank in einem solchen Fall nur, ob der Zahlungsempfänger sich auf einer globalen Liste der Bank oder auf der persönlichen des Kunden befindet. Sie fordert nur in dem seltenen Fall eine zusätzliche Bestätigung, wenn ein nicht global vertrauenswürdiger Zahlungsemp-fänger durch die Zugriffsberechtigten eines Kunden zum ersten Mal angegeben wird. Mit einer solchen mehrstufigen Verwaltung von bestätigten und ver-trauenswürdigen Begünstigten ist der Komfort für die grosse Mehrzahl der gelegentlichen Benutzer, die normalerweise Transaktionen mit global vertrauens-würdigen Zahlungsempfänger abwickeln, sehr hoch.

Weitere Informationen zum UBS Access Card Reader sowie zur Firmenkundenlösung (UBS Access Key): http://www.ubs.com/authentication.

HerausgeberSIX Interbank Clearing AGHardturmstrasse 201CH-8021 Zürich

Bestellungen/FeedbackCLEARIT@six-group.com

AusgabeAusgabe 48 – Juni 2011Erscheint regelmässig, auch online unter www.CLEARIT.chAuflage Deutsch (1300 Exemplare) und Französisch (400 Exemplare) sowie Englisch (elektronisch auf www.CLEARIT.ch)

FachbeiratPatrick Bürki, PostFinance, Boris Brunner, UBS AG, SusanneEis, SECB, Martin Frick, SIX Interbank Clearing AG, Andreas Galle, SIX Interbank Clearing AG, André Gsponer (Leiter), Enterprise Services AG, Gabriel Juri, SIX Interbank Clearing AG, Roger Mettier, Credit Suisse AG, Christoph Weder, Liechtensteinischer Bankenverband, Jean-Jacques Maillard, BCV, Giuseppe D'Alelio, SNB

RedaktionAndré Gsponer, Enterprise Services AG, Andreas Galle,Gabriel Juri (Leiter) und Christian Schwinghammer, SIXInterbank Clearing AG

ÜbersetzungFranzösisch: Word + Image, Englisch: HTS

GestaltungFelber, Kristofori Group, Werbeagentur

DruckBinkert Druck AG, Laufenburg

KontakteProduct Management SIX Interbank Clearing AGT +41 44 279 4747Customer Service Swiss Euro Clearing Bank GmbHT +49 69 97 98 98 35

Weitere Informationen zu den Schweizer Zahlungsverkehrssystemen

finden Sie im Internet unter www.six-interbank-clearing.com

Impressum