Seminar: "Geld und Banken" SS 2001Bankautomation und -organisationSicherheit von Zahlungen im Internet

Neue Zahlungssysteme im m-commerce -

eine Zusammenfassung von der CeBIT 2001

Robin Meyersiek Karlsruhe, 11.Juli 2001

2

Inhalt des Vortrages

1. Einleitung und Grundlagen

1. M-Commerce

2. Zahlungssysteme

3. Sicherheit in Mobilfunksystemen

2. Die Firmen und Ihre Produkte

1. Payitmobile AG

2. Street Cash

3. eops-Mobile und eops-PIN

4. PayWare mAccess

5. Ericsson

6. E-Plus Mobile Ticketing

7. D2 Vodafone

3. Fazit

3

Gründe für den Einsatz von Mobile-Payment Systemen

• In Deutschland gibt es bereits mehr Mobiltelefone als Festnetzanschlüsse

• Im Jahr 2004:– werden in Europa über 31 Millionen Menschen das Handy als

Zahlungssystem nutzen– gibt es weltweit 373 Millionen m-Commerce Kunden– haben Unternehmen über 5 Milliarden US-Dollar für mCommerce

Ausrüstung und Integration ausgegeben– werden über m-Commerce 14,5 Milliarden US-Dollar umgesetzt

Quellen: Heise-News, Celent Communications, Ovum, Datmonitor, Jupiter Research.

4

Für Kunden und Händler gibt es unterschiedliche Idealvorstellungen von einem elektronischen Zahlungssystem

• Anforderungen von Kunden:– sicher, einfach zu bedienen, keine Anmeldung, keine

Softwareinstallation, keine zusätzliche Hardware, anonym, kostenlos, nachvollziehbare Umsätze

• Anforderungen von Händlern:– Identifikation und Autorisierung des Kunden, Sicherheit vor

Missbrauch, geringe Zahlungsausfälle, niedrige Kosten, einfache Integration

• Anforderungen von Kunden und Händlern: – Breite Akzeptanz

Quellen: HENKEL, Dr. Joachim (2001) Bezahlen auf Draht – E-Payment: Wie der Rubel ins Rollen kommt. In: c’t 2001, Heft 6, S.270.

5

Sicherheit in Mobilfunksystemen

• Mobilfunksysteme haben ein naturgegebenes Sicherheitsloch: Die Luftschnittstelle

– Als geteiltes Medium ist sie für jeden in einem gewissen Umkreis zugänglich und abhörbar

Im GSM-Netz erfolgt eine Verschlüsselung der Nutzerdaten nur auf der Luftschnittstelle mit einem 64 Bit Schlüssel

! Algorithmus zur Schlüsselgenerierung und Authentifizierung wurden inzwischen im Internet veröffentlich

! Verschlüsselungsalgorithmus ist auch bekannt.

• Der Festnetzbasierte Teil eines Mobilfunknetzes wird meist nicht verschlüsselt

Es gibt keine Ende-zu-Ende Verschlüsselung bei GSM

• SMS-Nachrichten können leicht mit falschen Absendern versehen werden

Quellen: Schiller, Jochen (2001): Mobile Communications, Addison Wesley, S.106f.

6

Payitmobile will als neutraler Service Providerin 3-4 Jahren 10 Mio. Kunden akquirieren

• Das Unternehmen– Strategische Kooperation mit der GZS zur Zahlungsabwicklung– Joint Venture mit E-Plus, der Materna Grupp und Accenture

• Einrichtung und Registrierung– Händler und Kunden registrieren sich und geben bevorzugte

Zahlungsmittel (Kreditkarte, Bankeinzug) an– Händler installiert Software auf seinem Shop Server

• Kosten– Orientieren sich am Marktführer Paybox

• Einrichtungs- und Transaktionspreise für den Händler (Trägt auch die Kosten für das verwendeten Zahlungsmittel)

• Kunden zahlen nur für den SMS-Versand an ihren Netzbetreiber

• Sicherheit– Auf Internetseite durch Verschlüsselungsverfahren– Auf Mobilfunkseite nur durch das GSM-Netz und eine PIN

Quelle: Payitmobile AG.

7

Das bezahlen im Internet mit Payitmobile läuft über SMS und sichere Internetverbindungen

• Kunden klicken im Internet-Shop auf den Button "Payitmobile"

• Sie geben ihre Handy-Nummer in ein Feld ein

• Die Daten werden über eine sichere Verbindung an Payitmobile übermittelt

• Die Kunden erhalten eine SMS mit den Rechnungsdaten und bestimmen das Zahlungsmittel (Kreditkarte oder Bankverbindung)

• Sie beantworten die SMS mit ihrer Payment-PIN, um die Zahlung zu bestätigen

• Der Händler erhält eine Bestätigung

• Die GZS wickelt den Zahlungsvorgang im jeweiligen Kreditkarten- oder Girosystem ab

• Kurze Zeit später wird dem Händler das Geld mit einer genaueren Abrechnung überwiesen.

Quelle: Payitmobile AG.

8

inatec erweitert die Payment-Lösung powercash21 um Mobile-Payment

• Einrichtung und Registrierung– Händler und Kunden registrieren sich und geben bevorzugte

Zahlungsmittel (Kreditkarte, Lastschrift) an– Online-Händler müssen an das System powercash21 angeschlossen sein,

stationäre Händler nicht• Kosten

– Händler zahlen Transaktionskosten in Höhe von 2%, mindestens €0,33 und die Kosten des verwendeten Zahlungsmittel

– Kunden zahlen lediglich für den SMS-Versand• Sicherheit

– Auf Internetseite durch SSL– Auf Mobilfunkseite durch das GSM-Netz und einer PIN / Paysafecard-Code

• Besonderheiten– Anonymes Bezahlen ist in Kombination mit der Paysafecard möglich

(Registrierung entfällt)– Virtuelle Tickets können in Form einer SMS mit einem numerischen Code

ausgestellt werden

Quelle: inatec GmbH.

9

Street Cash erlaubt das Bezahlen im Online-Shop und bei einem stationären Händler

Offline-Shop:1. Händler schickt eine SMS mit der Handynummer des

Kunden und dem Betrag an Street Cash2. Street Cash schickt eine SMS mit Betrag und

Händlernamen an den Kunden3. Der Kunde beantwortet die SMS mit seiner PIN oder

Paysafecard-Nummer4. Street Cash prüft die Daten, wickelt die Zahlung ab und

schickt eine Bestätigungs-SMS an den Händler

Online-Shop:1. An der „Kasse“ des Shop-Servers gibt der Kunde seinen LOGIN (E-Mail und

Passwort oder Mobilfunknummer) an und der Server übermittelt die Daten an Street Cash

2. Street Cash schickt eine SMS mit der Zahlungsdaten an den Kunden3. Der Kunde beantwortet die SMS mit seiner PIN oder Paysafecard-Nummer4. Street Cash prüft die Daten, wickelt die Zahlung ab und schickt dem Server

eine Bestätigung

Quelle: inatec GmbH.

10

Die eops AG bietet sowohl ein sprachgesteuertesals auch ein TAN-basiertes Verfahren an

• Einrichtung und Registrierung– Für beide Verfahren müssen sich Händler und Kunden

registrieren und bevorzugte Zahlungsmittel angeben (Kreditkarte, Bankeinzug)

– Händler installieren die Software auf dem Shop-Server• Kosten

– Händler zahlen eine monatliche Miete für die Software und die Transaktionskosten einschliesslich des verwendeten Zahlungsmittel

– Kunden zahlen nichts• Sicherheit

– Auf Internetseite durch SSL– Auf Mobilfunkseite durch das GSM-Netz und einer PIN / TAN

Quelle: eops AG.

11

eops-Mobile erlaubt das Bezahlen bei Online-Händlern und auch zwischen zwei Kunden

Quelle: eops AG.

12

eops PIN generiert eine TAN, die nur für den aktuellen Zahlvorgang gültig ist

Quelle: eops AG.

Zu 4.: Die Transaktions-nummer kann dem Kunden entweder als SMS, Voice-Message oder E-Mail übermittelt werden.

Zu 5.: Die TAN muss zusammen mit der PIN eingegeben werden.

13

Trintech bietet mit payware mAccess eine WAP-basiertes M-Payment-System für jeden an

• Zwei Möglichkeiten zur Installation– Als Einzelinstallation wickelt es Zahlungsvorgänge über existierende

Internet-Zahlungssysteme ab– Wenn es zusammen mit dem mIssuer installiert wird können auch

eigene virtuelle Kreditkarten herausgegeben werden • Einrichtung und Registrierung

– Für Händler ist keine Registrierung oder Installation notwendig. Das System ist so intelligent das es vorhandene Zahlformulare der Online Shops erkennt und daran anknüpft

– Kunden müssen sich Ihre normale oder ihre mIssuer Karte freischalten lassen und erhalten einen Benutzernamen und ein Passwort

• Kosten– Vom Geschäftsmodell des Betreibers abhängig

• Sicherheit– Auf Internetseite durch SSL– Auf Mobilfunkseite durch WTLS und einer PIN

Quelle: trintech.

14

mAccess schaltet sich zwischen WAP-Handy undOnline-Shop und füllt Zahlungsformulare aus

Quelle: trintech.

15

Wird mIssuer mitinstalliert können eigene Kartenausgegeben werden und die Prüfung erfolgt intern

Quelle: trintech.

16

Ericsson entwickelt eine komplette M-Commerce-Plattform und sammelt mit Pilotprojekten Erfahrung

• Mobile e-Pay– Plattform für Service-Provider Micro- und Macropayment über

SMS und WAP 1.1 abzuwickeln• Mobile Ticket

– Kooperation mit Telenor Mobil und Filmweb über das Handy Kinokarten zu bestellen und zu bezahlen

• Bluetooth based wireless payment– Kooperation mit Eurocard über Bluetooth in „echten“ Geschäften

zu bezahlen• Eine virtuelle Eurocard ist im Mobiltelefon gespeichert und tauscht

an der Kasse über Bluetooth die Karten- und Rechnungsinformationen aus.

• Bestätigung erfolg über PIN-Eingabe am eigenen Mobiltelefon

Quelle: Ericsson.

17

E-Plus Mobile Ticketing erlaubt das Bestellen und Bezahlen von Veranstaltungstickets über das Handy

• Kooperation mit dem Online Ticketverkäufer Qivive und der Unternehmensberatung Accenture

• Ablauf:1. Über das E-Plus WAP-Portal können zu den von

Qivive angebotenen Veranstaltungen Eintrittskarten gebucht werden

2. Autorisiert wird die Bestellung mit einem Service-Passwort zusammen mit einem Verschlüsselungs-verfahren.

3. Die Abrechnung erfolgt über die Mobilfunkrechnung oder eine zuvor angegeben Kreditkarte

4. Die Karten werden an eine vorher angegebenen Adresse verschickt

Quelle: E-Plus.

18

D2 Vodafone entwickelt mit Brokat ein M-Payment-Konzept für Micro- und Macropayment

• Systembasis– Das von Brokat stammende Twister System

• Zahlungsmöglichkeiten– Macropayment über Lastschrift und Kreditkarte– Micropayment über Mobilfunkrechnung

• Sicherheitsmerkmale– Neben einer PIN soll auch die MSISDN (Moblie Station

Internation Subscriber ISDN Number) der eigenen Kunden zur Autorisierung verwendet werden

• Besonderheiten– Das System soll als Netzdienst eingeführt werden und somit

endgeräteunabhängig sein.

Quelle: D2 Vodafone.

19

Vergleich der vorgestellten Zahlungssysteme

Payit-mobile

Street Cash

eops Mobile

eopsPIN

Trintech mAccess

Ericsson Eurocard

D2 Vodafone

Kreditkarte/Bankeinzug / / / / / / / Micro- / Makropayment / / / / 6/ ? / /

Internet / Peer2Peer / / / / / / / SMS / WAP / / Voice / / Bluetooth / Sicherheit PIN PIN7 PIN PIN,TAN PIN,WTLS PIN PIN,MSISDN

Anonymität 2 3 ?Händler / Kunde

Registrierung / / 1 / / / / / Einrichtungskosten / / / / Dem

Betreiber über-

lassen

? / ? ? / ?

Grundpreis ? / / / / ? / ? ? / ?

Transaktionskosten* /4,5 / 5 / / 4 / ? / ?

*´Vom M-Payment-Provider zusätzlich zu den Kosten des zugrundeliegenden Zahlungsmittels 1 Nicht nötig, wenn nur mit Paysafecard gezahlt wird. 2Ausser bei Warenauslieferung. 3Nur in Verbindung mit Paysafecard. 4Ausser bei Peer2Peer. 5Kosten für die SMS zahlt der Kunde 6Demnächst kumuliert. 7Oder Paysafecard-Code

20

Jedes Verfahren hat sein Vor- und Nachteile

• SMS-basierte Verfahren sind umständlich, teuer und unsicher, aber von fast jedem Handy zu benutzen

• Voice-basierte Verfahren sind einfacher zu bedienen etwas günstiger und sicherer und von jedem Handy nutzbar

• WAP-basierte Verfahren werden in Zukunft eine größere Rolle spielen, wenn WAP-Geräte weiter verbreitet sind

• Bluetooth-basierte Verfahren könnten das Portemonnaie im Alltag ersetzen, erfordern aber Mobiltelefone der neusten Generation

Durchsetzen wird sich das Verfahren, das schnell viele Kunden und Händler gewinnen kann. Nur dann kann es von Netzeffekten profitieren und wird zum Selbstläufer