Plastik plus Chip statt Geld: Wer sich in einem der Münchner McDonald?s-Restaurants einen Hamburger kauft, der braucht beim Bezahlen nicht mehr lange nach Kleingeld zu suchen. Seit einiger Zeit besteht die Möglichkeit, das Fast Food auch mit der Geldkarte der Sparkassenorganisation zu bezahlen. In Essen ermöglicht eine Kooperation zwischen dem Telekom-Rivalen Otelo und der dortigen Sparkasse, daß Kunden der Bank ihre EC-Karte zugleich auch weltweit als Telefonkarte nutzen können. Nachdem das Pilotprojekt erfolgreich abgeschlossen wurde, verhandeln die Düsseldorfer mit dem deutschen Sparkassen- und Giroverband über eine bundesweite Vermarktung. Aktionen wie diese belegen, daß Smart Cards sich zu nützlichen Lösungen entwickelt haben, die zunehmend neue Einsatzgebiete erobern.

Ende 1997 befanden sich Untersuchungen der Marktforscher von Datamonitor zufolge weltweit insgesamt rund 1,2 Milliarden Chipkarten im Umlauf. Auf Deutschland entfällt dabei ein besonders großes Stück des Kuchens: Hierzulande existieren allein rund 40 Millionen Geldkarten, etwa 80 Millionen Krankenversichertenkarten sowie unzählige Telefonkarten. Letztere machen 60 Prozent aller Smart Cards aus.

Telefon- wie auch Krankenversichertenkarten stellen eine spezielle Gruppe unter den Smart Cards dar: Ihre Chips dienen lediglich dazu, bestimmte Informationen zu speichern. Anders sieht es dagegen mit denjenigen Karten aus, die einen Mikroprozessor integriert haben, der beispielsweise zur Verwaltung der gespeicherten Daten dienen kann. Diesem Kartentyp gehört nach Meinung von Analysten die Zukunft. Frost & Sullivan beispielsweise prophezeit, daß diese Modelle bis zum Jahr 2003 kräftig zulegen und dann rund 60 Prozent des Marktes besetzen (1996: 16,7 Prozent). Damit würden sie ihre vergleichsweise dummen Kollegen verdrängen, die dann nur noch einen Anteil von fünf Prozent haben sollen.

Mit Smart Cards läßt sich kräftig verdienen. So geht Frost & Sullivan davon aus, daß sich mit den intelligenten Chipkarten allein in Europa das Umsatzvolumen von 861 Millionen Dollar im Jahr 1996 bis zum Jahr 2003 mit 2,4 Milliarden Dollar nahezu verdreifachen läßt. Kein Wunder also, daß immer mehr Unternehmen versuchen, von diesem Trend zu profitieren und kräftig an der Entwicklung von Anwendungen für die schlauen Karten arbeiten.

Eines der momentan stark an Bedeutung gewinnenden Einsatzgebiete ist die bereits erwähnte elektronische Geldbörse. Europaweit läuft eine Unmenge von Projekten, in denen das elektronische Bezahlen mit Chipkarten getestet wird. Ein prominentes Beispiel in Deutschland stellt die "Geldkarte" der Sparkassenorganisation dar. Bis Mitte 1997 waren bundesweit knappe 16 Millionen der Chipkarten an die Kunden verteilt worden. Stephan Kirchner, Pressesprecher der Stadtsparkasse München, berichtet von 280000 Smart Cards, die in Kooperation mit den Raiffeisen- und Volksbanken allein in der bayerischen Landeshauptstadt ausgegeben worden sind. Die Karten können an speziellen Ladeterminals mit bis zu 400 Mark aufgeladen werden, der Betrag wird den Kunden dann vom Konto abgebucht.

Obwohl Kirchner die allgemeine Entwicklung der Geldkarte seit ihrer Einführung als gut bezeichnet, räumt er ein: "Derzeit gibt es erst 660 Händler in München, die unsere elektronische Geldbörse akzeptieren. Das ist einfach noch zuwenig." Von Vorteil für die Verbreitung sei es gewesen, daß die Restaurantkette McDonald?s sich entschlossen habe, die Geldkarte anzuerkennen. Allein im März dieses Jahres sei in den Münchner Filialen des Hamburger-Konzerns 15000mal elektronisch bezahlt worden.

Der auf der Sparkassenkarte verwendete Chip bietet neben der Geldbörsenfunktion noch Raum für Zusatzapplikationen, beispielsweise Rabattsysteme einzelner Händler. Derzeit wird diese Möglichkeit zumindest im Münchner Raum jedoch noch nicht genutzt, wie Kirchner zu berichten weiß. Die Sparkassenorganisation denkt aber bereits über Weiterentwicklungen ihrer Smart Cards nach: Im Gespräch ist der Umstieg auf ein kontaktloses Verfahren, bei dem man die Karten nicht mehr in ein Lesegerät einführen müßte.

Auch die Deutsche Telekom hat beim elektronischen Bezahlen mit der "T-Card" ein Pferd im Rennen. Es handelt sich dabei in erster Linie um eine Telefonkarte, die seit Oktober 1997 aber zusätzlich den Service "Paycard" beinhaltet. Für die personalisierte Kombikarte verlangt das TK-Unternehmen zehn Mark pro Jahr. Nach Angaben von Walter Genz, Pressesprecher bei der Telekom, läßt sich diese Karte beispielsweise zum Bezahlen von Fahrausweisen im öffentlichen Personennahverkehr nutzen. Derzeit sei dies in Hamburg, Stuttgart, München und Dresden an über 2000 Paycard-fähigen Automaten möglich, weitere Kooperationsverträge befänden sich in Vorbereitung.

Bezahlt wird wie folgt: Kunden schieben die T-Card in das dafür vorgesehene Kartenlesegerät ein, der jeweilige Betrag wird von der Chipkarte abgebucht. Der Benutzer muß keine Geheimzahl eingeben und nichts unterschreiben. Lediglich beim Aufladen der Karten an einem von insgesamt rund 95000 dafür ausgerüsteten Kartentelefonen muß die persönliche Identifikationsnummer (PIN) eingetippt werden. Die zu ladende Summe (zwischen 20 und 400 Mark) wird zusammen mit einer Ladegebühr per Lastschriftverfahren vom Konto des Kunden abgebucht. Offiziell verlangen die Bonner 0,60 Mark pro Ladevorgang. Um den Einsatz der T-Card attraktiver zu gestalten, sieht die Telekom aber momentan noch davon ab, den Obulus einzufordern. In puncto Akzeptanz kann es das Telekom-Produkt noch nicht mit der Geldkarte der Sparkassenorganisation aufnehmen, lediglich 153000 T-Cards sind derzeit im Umlauf.

Über das elektronische Bezahlen von Waren beim Händler um die Ecke hinaus bieten sich Smart Cards auch als Medium für Geldtransfers im Internet an. Eine entsprechende Lösung hat Gemplus Corp. gemeinsam mit Verifone Inc. unlängst vorgestellt. Auf Basis des Protokolls Secure Electronic Transaction (SET) 1.0 kombinieren die Hersteller Chipkarten-Technologie (Gemplus) mit der E-Commerce-Software "Vwallet" von Verifone. Zahlungsvorgänge im Internet sollen nach Angaben der Unternehmen damit beginnen, daß der Kunde Vwallet startet. Anschließend muß die Chipkarte in ein mit dem Rechner verbundenes Lesegerät eingeschoben werden.

Smart Cards und E-Commerce

Über eine PIN gibt der Anwender die Smart Card frei, der zu zahlende Betrag wird anschließend von seinem Konto abgebucht. Voraussetzung ist allerdings, daß auch die entsprechende Internet-Anwendung, mit der die Transaktion erfolgt, Vwallet-tauglich ist. Eine erste Implementierung dieser Lösung erproben die Unternehmen derzeit in Frankreich im Rahmen des Pilotversuches "E-Comm". Mit von der Partie sind Visa International, France Télécom, die Banque Nationale de Paris, Société Générale sowie Crédit Lyonnais.

Die Chancen von Smart Cards im Bereich E-Commerce steigen durch die zunehmende Anzahl von Lesegeräten für Heimrechner, die auf dem Markt erhältlich sind. Hersteller wie Siemens-Nixdorf Informationssysteme (SNI), SCM Microsystems, Bull, Kobil oder Intellect bieten zudem diverse Lösungen an, um Chipkarten gleichermaßen zu Hause und unterwegs mit dem Laptop benutzen zu können. Sind Geräte wie diese erst einmal in großer Anzahl auch bei Endkonsumenten vorhanden, so hoffen die Anbieter, wird der elektronische Handel über das Internet neue Dimensionen erleben.

Weitere attraktive Einsatzgebiete für Smart Cards stellen die Bereiche Kryptografie und digitale Signatur dar.

Deutschland übt in diesem Zusammenhang eine gewisse Vorbildfunktion für andere Länder aus: Im Rahmen des Informa- tions- und Kommunikationsdienste-Gesetzes (IuKDG, nachzulesen unter www.iid.de/rahmen/iukdgk.html) wird unter anderem die digitale Signatur durch das Signaturgesetz (SigG) verbindlich definiert. Das Gesetz regelt nicht nur die elektronische Unterschrift, sondern schreibt auch die technischen Rahmenbedingungen fest, teilweise in Zusatzverordnungen.

Zudem existiert ein konkreter Zeitplan für die Einführung der Technologie: Ab dem 1. Juli 1998 soll es für jeden Bundesbürger möglich sein, sich eine digitale Signatur-Chipkarte zuzulegen. Der Gesetzgeber hat damit die Voraussetzung geschaffen, elektronische Verträge beispielsweise über das Internet rechtskräftig abzuschließen. Ohne solche Rahmenbedingungen wäre E-Commerce großen Stils undenkbar.

Neben Unternehmen wie Bull und Gemplus, die sich auf diesem Gebiet engagieren, hat auch die Nürnberger Firma Signcard kürzlich eine Lösung vorgestellt. Ihr "Signsafe"-Paket enthält neben einer Mikroprozessor-Chipkarte einen Kartenleser und die notwendige Software, um elektronische Dokumente oder Verträge mit einer rechtsverbindlichen digitalen Unterschrift zu versehen. Die "Signcard Plus" des Anbieters ist eine Multifunktionskarte, die neben der digitalen Signatur über Funktionen wie Zugangsberechtigung, Zeitabrechnung oder Homebanking nach dem Standard Home Banking Computer Interface (HBCI) verfügen soll.

Bislang rein auf die Authentifizierung von Benutzern gegenüber Rechnern oder Netzwerken ist die Lösung des israelischen Anbieters First Access ausgelegt. Auf der diesjährigen CeBIT hatte die Alpha-Version dieser kontaktlosen Smart Card ihre Europapremiere: Nähert sich der Besitzer der Karte seinem Rechner, wird er schon aus einigen Metern Abstand von dem daran angeschlossenen Empfangsgerät identifiziert. Nach der Eingabe seines Paßwortes kann der Anwender auf den Computer sowie die darauf gespeicherten Informationen (soweit sie für ihn freigegeben sind) zugreifen. Dov Sharon, Executive Vice-President von First Access, weist auf den wesentlichen Vorteil dieses Verfahrens hin: Die Sicherheitssoftware sperrt den Rechner sofort gegenüber nichtautorisierten Nutzern, sobald sich der Anwender von seinem Computer entfernt. So soll der Benutzer daran gehindert werden, seine Berechtigungskarte im Lesegerät zu vergessen. Inhaber von Karten, die für einen bestimmten Rechner keine Zugangsberechtigung haben, werden sofort abgewiesen.

Wie wichtig das Thema Smart Cards ist, belegt auch die Tatsache, daß IT-Unternehmen aus anderen Bereichen Initiativen starten, die sich mit der Technologie befassen. So ist Microsoft bemüht, die Chipkarten mit seinen Betriebssystemen in Einklang zu bringen. "Wir wollen Windows Smart-Card-tauglich machen", erklärt Mike Dusche, Worldwide Financial Services Industry Manager bei der Gates-Company. "Wir haben daher die Arbeitsgruppe PC/SC ins Leben gerufen, mit dem Ziel, ein Standard-Interface für Computer verschiedener Hersteller, Smart Cards und entsprechende Lesegeräte zu entwickeln."

Branchenrivale Sun Microsystems nimmt die intelligenten Chipkarten ebenfalls ernst. Mit der Spezifikation "Java Card API 2.0" schuf der Hersteller die Grundlage, auf der Entwickler Java-Applets speziell für den Einsatz auf Smart Cards schreiben können. Vorteil des Verfahrens: Anwender sind nicht auf eine Anwendung festgelegt, sondern können sich die Applets je nach Bedarf auf den Chip der Smart Card laden. Zu den namhaftesten Anbietern, die künftig auf intelligente Chipkarten auf Basis von Java setzen wollen, gehören unter anderem Visa International, Bull und Schlumberger, die zum Teil schon erste Kartenprojekte betrieben haben.

Bei den immer neuen Einsatzgebieten für Chipkarten stellt sich die Frage, ob eine Koppelung von Smart Cards und dem Personalausweis sinnvoll wäre. "Rein technisch gesehen ist das überhaupt kein Problem", weiß Isabel Münch, Referentin der Beratungsabteilung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Datenschutzrechtliche Gründe sprächen jedoch gegen eine solche Kombination. In Deutschland ist es nicht zulässig, die Bürger mit einer Kennziffer oder etwas Ähnlichem auszustatten. Ein Ausweis mit Chipkarte müßte demnach so konzipiert sein, daß dies nicht möglich wäre.

Das insgesamt vielversprechende Bild, das durch die mittlerweile beachtliche Leistungsfähigkeit der Smart Cards und ihre vielfältigen Einsatzmöglichkeiten entsteht, wird durch einige offene Fragen getrübt. So setzen die meisten Hersteller proprietäre Betriebssysteme auf den Chipkarten ein. Zu den bekanntesten Card Operating Systems (COS) zählen "Multos" des Chipkarten-Spezialisten Mondex und "Starcos", das die Gesellschaft für Mathematik und Datenverarbeitung, Darmstadt, gemeinsam mit dem auf Smart Cards spezialisierten Unternehmen Giesecke und Devrient entwickelt hat.

Sicherheitsexpertin Münch weist darauf hin, daß sich Java Cards vor diesem Hintergrund zu einer interessanten Alternative entwickeln könnten. Derzeit beanspruche die recht komplexe Betriebsumgebung allerdings noch einen Großteil der Ressourcen der Chipkarten: "Die Java Card ist ein spannendes Thema, es wird aber erst die nächste oder übernächste Kartengeneration betreffen."

Überdies lassen länderübergreifende Standards, beispielsweise im Bereich der Koppelung von Kreditkarten und elektronischen Geldbörsen, noch auf sich warten. Eine Implementierung, die sich zumindest im Bereich der elektronischen Geldbörse durchsetzen könnte, wird gemeinsam von Eurocard, Mastercard und Visa unter dem Kürzel "EMV" vorangetrieben. Die Unternehmen wollen kommende Generationen ihrer Kreditkarten auf diese Weise mit einer einheitlichen Geldkartenfunktion ausstatten, die möglichst zu nationalen Projekten kompatibel sein soll. Ob und wie sich dieses Vorhaben realisieren läßt, wird sich allerdings erst zeigen müssen.

Was sind Smart Cards?

Der Begriff Smart Cards umfaßt alle Plastikkarten, die über einen integrierten Chip verfügen, der ihnen eine gewisse Intelligenz verleiht. Dieser Chip kann zum reinen Speichern von Informationen dienen, meistens aber auch kleine Applikationen ausführen. Karten, die nur über einen Magnetstreifen verfügen, sind nicht als Smart Card zu bezeichnen, unter anderem deswegen, weil sich die auf ihnen gespeicherten Informationen allzu leicht auslesen und manipulieren lassen.

Auf Smart Cards können zudem mehrere Applikationen gespeichert werden. Allerdings ist der hierfür zur Verfügung stehende Platz begrenzt. So bieten kontogebundene EC-Karten die Option, etwa 50 oder 100 Byte an Nutzerdaten zu speichern, bei freien Wertkarten kommen Blöcke von etwa 50, 200 oder 500 Byte Größe für zusätzliche Anwendungen hinzu. Es besteht außerdem die Möglichkeit, einmal auf dem Chip gespeicherte Anwendungen wieder zu löschen und durch andere zu ersetzen.

Interessante Einsatzgebiete eröffnet zudem die kontaktlose Kartentechnologie. Chips sind nicht mehr auf Plastikkarten als Trägermedium begrenzt, sondern lassen sich in nahezu jeden beliebigen Gegenstand integrieren. So hat der Hersteller Junghans seit einiger Zeit Uhren im Programm, die mit Chips ausgerüstet sind und nur in einer bestimmten Entfernung an einem Lesegerät vorbeigeführt werden müssen, damit sich die Daten auswerten lassen.

Eine außergewöhnliche Erweiterung der Smart-Card-Grundidee stellt der "Java-Ring" dar, den Sun Microsystems kürzlich an die Teilnehmer der Konferenz "Javaone" ausgegeben hat (siehe Foto). Ein im Kopf des Ringes sitzender Chip enthält eine Miniaturausgabe einer Java Virtual Machine. Der Träger des Ringes kann sich von speziellen Terminal-Servern Java-Applets, beispielsweise eine elektronische Geldbörse oder ein Identifikationsprogramm, herunterladen. Auf diese Weise läßt sich der Ring vielseitig einsetzen.