M-Commerce/Msign und andere Zahlungsmodelle für mobile Endgeräte

Bei Anruf Geld

23.02.2001
E-Commerce und Online-Handel stecken in einer tiefen Krise. Der Käufer scheint unwillig, sein Geld und seine persönlichen Daten über das Internet zu verteilen. Neue Business-Modelle für mobile Endgeräte, kurz M-Commerce, sollen Abhilfe schaffen und die angeschlagene Konjunktur retten. Von Bernhard Münkel*

Bislang krankt der E-Commerceboom in Deutschland noch an unsicheren und schwerfälligen Zahlungsmethoden. Dank M-Commerce und dem Handy als Geldbörse soll alles anders werden. M-Commerce ist der Zukunftsmarkt, sagen die Marktforscher. Im B-to-C-Sektor erwartet die Boston Consulting Group 2003 einen weltweiten Umsatz von 100 Milliarden Dollar - so viel wie 1998 im Internet. 48 Millionen Handys gibt es derzeit allein in Deutschland, weltweit sind es über 700 Millionen. Diesen Markt wollen viele Banken und Finanzdienstleister erschließen und schicken eigene Lösungen oder Partnerfirmen ins Rennen. IDC (International Data Corporation) erwartet zwar, dass "das Gerede über M-Commerce in diesem Jahr das Ausmaß einer Hysterie annehmen wird", prognostiziert für 2001 aber lediglich einen Umsatz von einer Milliarde Dollar weltweit durch Einkäufe mit mobilen Endgeräten wie Handys und PDAs (Personal Digital Assistant). In den kommenden Jahren werde der Markt sich aber deutlich ausweiten. Geht es nach der Vorstellung des Mobile Electronic Signature Consortium (Msign), dem PKI-Forum (Public-Key-Infrastruktur) oder der Radicchio-Initiative, so hat das Telefonieren via Handy künftig nur noch eine untergeordnete Bedeutung, und andere Funktionen überwiegen.

Im Mobile Electronic Signature Consortium haben sich große Unternehmen aus verschiedenen Branchen wie Banken, Mobile Operator, Public-Key-Infrastruktur-Provider, zu einer Interessensgemeinschaft zusammengeschlossen. Das Konsortium möchte ein digitales Zertifizierungsverfahren etablieren, das alle Arten von Business-Prozessen absichern und vereinfachen soll. Deshalb entwickelt es derzeit weltweit einheitliche Standards für digitale Unterschriften und Public-Key-Infrastrukturen, die mit mobilen Endgeräten verwendet werden können.

Ins Leben gerufen wurde das Konsortium im Herbst 1999. Zu den Gründungsmitgliedern gehörten Brokat, Siemens, Cryptovision, DeTeMobil, T-Telesec Trustcenter, VIAG Interkom, Mannesmann Mobilfunk, E-Plus, Schlumberger und Gemplus. Derzeit umfasst das Konsortium 35 Mitglieder. Im November 2000 präsentierte Msign eine erste Version seines Interface-Standards. Damit verspricht das Konsortium, ein Verfahren für sichere Geschäftsprozesse, etwa Zahlungslösungen, anbieten zu können.

Hierzu regelt der Standard detailliert sämtliche Schritte der elektronischen Kommunikation zwischen E-Commerce-Anbieter und Handy. Er zielt darauf ab, für E-Shops, Banken und andere E-Service-Anbieter eine einheitliche Schnittstelle für digitale Signaturen zu schaffen. Die einzelnen Marktteilnehmer können dann unterschiedliche Rollen übernehmen. So könnte die Signatur auch von verschiedenen Instanzen wie Banken, Bonitätsprüfern oder Trust-Centern auf ihre Gültigkeit geprüft werden.

Vier beteiligte Instanzen

Das hier zugrunde liegende Business-Konzept unterteilt die beteiligten Instanzen in vier Gruppen:

- Benutzer:

Er muss über ein Handy verfügen, das digitale Signaturen unterstützt.

- Mobile-Service-Provider:

Hierbei kann es sich um den Mobilfunkbetreiber, aber auch um einen reinen Anbieter von Mobilfunkdiensten handeln.

- Primary-Service-Provider (Primärdiensteanbieter):

Als Primärdiensteanbieter versteht das Konsortium zum Beispiel E-Shops, Banken, Lotterien und alle anderen Anbieter von Dienstleistungen.

- Enabling-Service-Provider (Zusatzdiensteanbieter):

In dieser Gruppe sind Unternehmen wiederzufinden, die mit der Abwicklung der sicheren Zahlungsvorgänge und anderer Dienstleistungen betraut sind. Das können Trust-Center, Banken, Kreditinstitute, Bonitätsprüfungsfirmen und andere sein.

Um das Vorhaben in die Praxis umsetzen zu können, müssen mehrere Ansprüche erfüllt sein. Das mobile Gerät muss die Aufgabe einer eindeutigen Zuordnung der Kommunikation zu einer Person übernehmen können. Dabei wird der Inhalt der Kommunikation zwischen den Partnern auf allen Stufen eindeutig und unverfälschbar signiert. Ferner verlangt die Kommunikation Instanzen, die die Echtheit der Dialogpartner überprüft und gegebenenfalls garantiert.

Signatur und Verschlüsselung

Damit dies funktioniert, erwartet das Konsortium, dass auf lange Sicht Handys und PDAs mit asymmetrischen Verschlüsselungsroutinen auf Basis von RSA (Rivest-Shamir-Adleman) oder Eliptic Curve Cryptography (ECC) ausgestattet werden. Einen entsprechenden Technologiepartner hierfür hat Msign mit Cryptovision ins Boot genommen. Als Verschlüsselung favorisiert das Konsortium Routinen auf Basis von ECC, die besonders für kleine Mobilgeräte mit schwachen Prozessoren geeignet sind.

Bis diese Voraussetzungen geschaffen sind, wird die Signierung und Verschlüsselung der Kommunikation zum Primärdiensteanbieter vom Mobilfunkbetreiber ausgeführt. Er sorgt zudem für eine sichere und zuverlässige Übertragung der Daten zum Benutzer. In diesem Fall übernimmt der Mobilfunkbetreiber die Authentisierung des Kunden auf Basis seiner Kundendaten. Für die Autorisierung, ob der Kunde auch Bonität genießt, kann der Mobilfunkbetreiber Zusatzdiensteanbieter, zum Beispiel Anbieter zur Bonitätsprüfung, in Anspruch nehmen.

Verfügt eines Tages eine ausreichende Anzahl an Benutzern über mobile Endgeräte mit der Fähigkeit zur asymmetrischen Verschlüsselung auf ECC-Basis, können auf diesem Weg auch Wahlen oder Amtsgänge per Handy durchgeführt werden.

Glaubt man den Prognosen, so verdrängen Handys bald EC- und Kreditkarten. Deshalb suchen Banken und Kreditinstitute nach anderen Einnahmequellen und haben eine ganze Reihe von Joint Ventures gegründet. Nicht alle sind so Aufsehen erregend wie die Kooperation zwischen Mobilcom und der Landesbank Baden-Württemberg (LBBW). Anfang Januar bekundeten die beiden Unternehmen die Absicht, unter dem Namen Mobilbank ein gemeinsames Finanzinstitut zu gründen. Erstmals investiert ein Telekommunikationsanbieter maßgeblich (51 Prozent Mobilcom, 49 Prozent LBBW) im Finanzgeschäft. Ziel ist es, dem Handy-Nutzer mobile Zahlungssysteme (Mobile Payment) und mobilen Wertpapierhandel (Mobile Brokerage) zur Verfügung zu stellen. Mobilcom stellt dabei die Technologie und den Vertrieb, die LBBW ist für die banktechnische Abwicklung verantwortlich. Die Mobilbank wird ihre Dienstleistungen ausschließlich über Handys anbieten - zunächst über SMS und WAP, später im UMTS-Netz (Universal Mobile Telecommunications Systems). Geplant ist, noch im ersten Halbjahr den Geschäftsbetrieb aufzunehmen.

Eine eigene Lösung, zumindest für den US-amerikanischen Markt, entwickelt der Handyhersteller Nokia in Zusammenarbeit mit der Firma 2Scoot. Das ungewöhnliche Zahlungsverfahren stellte Nokia Anfang des Jahres auf der Consumer Electronic Show (CES) in Las Vegas vor. Mit Hilfe eines Xpress on Covers verwandeln sich Handys der 5100er-Serie in elektronische Geldbörsen. Während die bunten Abdeckungen üblicherweise dazu dienen, dem Einheitsutensil eine persönliche Note zu geben, haben diese neuen Cover einen eingebauten Zusatznutzen. Mit Hilfe eines Chips aus Radio Frequency Identifications (RFID) können Benutzerdaten gespeichert und an Scanner-Kassen übertragen werden. So lassen sich Kleinstbeträge, wie sie im Micropayment-Bereich anfallen, einfach einziehen. Eine Lösung, die laut Hersteller unabhängig vom eigentlichen Mobilfunknetz funktioniert. Über eine spezielle Kurzwellenfrequenz nimmt ein Kassen-Scanner mit dem Handy Kontakt auf. Der Chip übergibt die Daten für die persönliche Identifikation und den Zahlungsauftrag in einem Schritt, so dass der geschuldete Betrag umgehend vom Bank- oder Kreditkartenkonto des Käufers eingezogen werden kann. Die Eingabe einer PIN oder andere Sicherungsmaßnahmen sind nicht vorgesehen. Sicherheitsbedenken wegen der Gefahr des Diebstahls wiegelt der Hersteller mit dem Argument ab, es sei möglich, eine Betragsobergrenze festzulegen, wie man sie von Geldkarten her kennt. Ungelöst ist aber bis auf weiteres die Abhörproblematik, da die Kontodaten ungeschützt per Funk übermittelt werden.

Engagement der Deutschen Bank

Mit der Paybox.net AG präsentierte hier zu Lande bereits im Mai 2000 ein weiterer Player ein eigenes Zahlungsmodell. Das Unternehmen gehört zu 50 Prozent der Deutschen Bank und zu 4,8 Prozent Debitel. Die größte deutsche Bank versucht sich so mit einer interessanten Lösung ein Stück vom M-Commerce-Kuchen zu sichern. Einziges Manko: Sowohl Kunde als auch Händler müssen bei Paybox.net registriert sein. Laut Paybox bieten derzeit 500 E-Shops das Zahlungsverfahren an. Dazu kommen noch 3600 Taxis in verschiedenen Städten Deutschlands. Weitere mobile Dienstleister wie Pizzadienste, Handwerker oder Kuriere will man bald für sich gewinnen. Im November 2000 wurde die Zahlungsmethode auch in Schweden und Spanien auf den Markt gebracht, in Kürze ist die Expansion in weitere europäische Länder geplant.

Paybox.net nimmt für sich in Anspruch, "die weltweit erste massenfähige Zahlungsmethode für Mobiltelefone entwickelt und in Deutschland eingeführt" zu haben. Das Handy kann, unabhängig vom Mobilfunkbetreiber, den Zahlungsvorgang ausführen. Sogar Handys mit Prepaid-Karten sind geeignet. Voraussetzungen zur Paybox-Registrierung sind der Besitz eines Handys und ein Girokonto, das nicht zwingend bei der Deutschen Bank liegen muss. Das Verfahren dahinter ist bestechend simpel. Bahnt sich ein Geschäft zwischen E-Shop und Kunde an, übergibt der Kunde dem Händler seine Mobilfunknummer oder wahlweise ein Alias. Der Händler reicht die Nummer an das Paybox-System weiter, das umgehend das Mobiltelefon des Kunden anruft. Eine Computerstimme teilt ihm dabei den Betrag und den Händler mit. Der Kunde quittiert dann das Geschäft mit einer PIN-Nummer und der Kauf ist ausgeführt.

Die anfallenden Beträge für erhaltene Waren und Dienstleistungen werden anschließend per Lastschriftverfahren vom Girokonto des Handy-Besitzers abgebucht und mit dem jeweiligen Händler verrechnet. Neben einer Jahresgebühr von fünf Euro fordert Paybox.net vom Kunden keine weiteren Gebühren für diese Dienstleistung. Händler werden mit einer Transaktionsgebühr von drei Prozent pro Zahlungsvorgang belastet.

Wie dämmt Paybox.net die Zahlungsausfallrisiken eines möglichen Betrugs ein, der die Höhe von "peanuts" überschreitet? Ganz einfach, indem das Tageslimit für mögliche Zahlungen begrenzt wird. Dieses Limit liegt für Internet-Transaktionen anfangs bei 300 bis 1000 Euro und kann je nach Kundenverhalten angepasst werden. Das vermeidet zwar unkontrollierte Kaufräusche, ein grundsätzlicher Missbrauch ist freilich nicht verhindert. Allerdings verspricht das System per se eine ausreichende Sicherheit, vorausgesetzt, der Kunde achtet darauf, dass seine PIN nicht mitsamt Handy in fremde Hände gerät. Denn nur beide zusammen ergeben ein zahlungsfähiges Ganzes.

Auch die Gesellschaft für Zahlungssysteme (GZS), die einen Großteil aller Kreditkarten- und EC-Karten-Transaktionen abwickelt (1999 rund 270 Millionen Transaktionen mit 52 Milliarden Mark Umsatz), möchte sich als "neutrale Schnittstelle zwischen Banken, Mobilfunkunternehmen und Händlern" positionieren. Dazu ist sie eine Kooperation mit der Payitmobile AG, München, eingegangen. Payitmobile startete im September 2000 sein Angebot zur Abrechnung von M-Commerce-Käufen über WAP-Handys.

Das System ist, so die Münchner, für Bezahlvorgänge aller Art im E- und M-Commerce, an Kassen oder von Handy zu Handy geeignet. Hierbei habe der Käufer alle Freiheiten bei der Wahl des Zahlungsmittels. So könne er über seine Kreditkarte zahlen, aber auch die Beträge direkt von einem seiner Bankkonten abbuchen lassen, etwa je nach Bedarf von einem geschäftlichen oder privaten Konto.

Laut Payitmobile verfügt das System über ausreichende Sicherheitsstufen, die die Transaktionen schützen. Das Handy kommuniziert während eines Buchungsvorgangs direkt mit den Servern des Rechenzentrums der GZS. Dort sind alle notwendigen Informationen, persönliche Daten sowie Kreditkarten- oder Kontonummern, bereits gespeichert. Der Handy-Benutzer bestätigt lediglich die einzelne Transaktion mit einer PIN. Die Übertragungssicherheit der Transaktionen gewährleisten laut GZS Verschlüsselungsverfahren und gesicherte Netze. Optimistisch blicken die Münchner in die Zukunft und rechnen 2002 mit rund vier Millionen registrierten Kunden und 35 Millionen Mark Umsatz.

Zur CeBIT plant mit der Telekom-Tochter Telecash, seit 1991 auf die Abwicklung von elektronischen Bezahlungsvorgängen mit Geldkarten spezialisiert, ein weiterer Player den Einstieg in das Mobile Payment. Das geplante System ähnelt dem Paybox-Verfahren, richtet sich aber ausschließlich an Internet-shops. Wählt der Kunde beim Online-Kauf die Zahlung über Handy aus, öffnet sich ein eigenes Browser-Fenster, in das der Kunde seine Handynummer einträgt. Kurze Zeit später erhält der Kunde eine SMS, die ihn auffordert, die Zahlung zu quittieren. Zur Verifizierung des Vorganges muss er eine PIN-Nummer eingeben und die SMS-Nachricht an den Telecash-Server zurückschicken. Bei der Anmeldung vereinbart der Kunde, über welche Bankverbindung seine späteren Einkaufsbeträge eingezogen werden sollen. Zur Bonitätsprüfung und um das Sicherheitsrisiko für den Händler zu senken, greift Telecash auf seine Informationen aus anderen Transaktionsgeschäften und auf Daten der Post und der Telekom zurück.

*Bernhard Münkel ist freier Journalistin München.

Anbieter von Zahlungssystemen:

Msign-Konsortium: www.msign.org

PKI-Forum: www.pkiforum.org

Radicchio: www.radicchio.org

Paybox.net AG: www.paybox.de

Payitmobile AG: www.payitmobile.com

Telecash GmbH: www.telecash.de

Nokia: www.nokia.com

Abb: Zahlungsmodell Msign

Beim Konzept von Msign übernehmen die Netzbetreiber die Rolle des Payment-Providers. (Quelle: Msign)