Seminar: "Geld und Banken" SS 2001 Bankautomation und -organisation Sicherheit von Zahlungen im Internet Neue Zahlungssysteme im m-commerce - eine Zusammenfassung von der CeBIT 2001 Robin MeyersiekKarlsruhe, 11.Juli 2001

2 Inhalt des Vortrages 1.Einleitung und Grundlagen 1.M-Commerce 2.Zahlungssysteme 3.Sicherheit in Mobilfunksystemen 2.Die Firmen und Ihre Produkte 1.Payitmobile AG 2.Street Cash 3.eops-Mobile und eops-PIN 4.PayWare mAccess 5.Ericsson 6.E-Plus Mobile Ticketing 7.D2 Vodafone 3.Fazit

3 Gründe für den Einsatz von Mobile-Payment Systemen In Deutschland gibt es bereits mehr Mobiltelefone als Festnetzanschlüsse Im Jahr 2004: –werden in Europa über 31 Millionen Menschen das Handy als Zahlungssystem nutzen –gibt es weltweit 373 Millionen m-Commerce Kunden –haben Unternehmen über 5 Milliarden US-Dollar für mCommerce Ausrüstung und Integration ausgegeben –werden über m-Commerce 14,5 Milliarden US-Dollar umgesetzt Quellen: Heise-News, Celent Communications, Ovum, Datmonitor, Jupiter Research.

4 Für Kunden und Händler gibt es unterschiedliche Idealvorstellungen von einem elektronischen Zahlungssystem Anforderungen von Kunden: –sicher, einfach zu bedienen, keine Anmeldung, keine Softwareinstallation, keine zusätzliche Hardware, anonym, kostenlos, nachvollziehbare Umsätze Anforderungen von Händlern: –Identifikation und Autorisierung des Kunden, Sicherheit vor Missbrauch, geringe Zahlungsausfälle, niedrige Kosten, einfache Integration Anforderungen von Kunden und Händlern: –Breite Akzeptanz Quellen: HENKEL, Dr. Joachim (2001) Bezahlen auf Draht – E-Payment: Wie der Rubel ins Rollen kommt. In: c’t 2001, Heft 6, S.270.

5 Sicherheit in Mobilfunksystemen Mobilfunksysteme haben ein naturgegebenes Sicherheitsloch: Die Luftschnittstelle –Als geteiltes Medium ist sie für jeden in einem gewissen Umkreis zugänglich und abhörbar  Im GSM-Netz erfolgt eine Verschlüsselung der Nutzerdaten nur auf der Luftschnittstelle mit einem 64 Bit Schlüssel !Algorithmus zur Schlüsselgenerierung und Authentifizierung wurden inzwischen im Internet veröffentlich !Verschlüsselungsalgorithmus ist auch bekannt. Der Festnetzbasierte Teil eines Mobilfunknetzes wird meist nicht verschlüsselt  Es gibt keine Ende-zu-Ende Verschlüsselung bei GSM SMS-Nachrichten können leicht mit falschen Absendern versehen werden Quellen: Schiller, Jochen (2001): Mobile Communications, Addison Wesley, S.106f.

6 Payitmobile will als neutraler Service Provider in 3-4 Jahren 10 Mio. Kunden akquirieren Das Unternehmen –Strategische Kooperation mit der GZS zur Zahlungsabwicklung –Joint Venture mit E-Plus, der Materna Grupp und Accenture Einrichtung und Registrierung –Händler und Kunden registrieren sich und geben bevorzugte Zahlungsmittel (Kreditkarte, Bankeinzug) an –Händler installiert Software auf seinem Shop Server Kosten –Orientieren sich am Marktführer Paybox Einrichtungs- und Transaktionspreise für den Händler (Trägt auch die Kosten für das verwendeten Zahlungsmittel) Kunden zahlen nur für den SMS-Versand an ihren Netzbetreiber Sicherheit –Auf Internetseite durch Verschlüsselungsverfahren –Auf Mobilfunkseite nur durch das GSM-Netz und eine PIN Quelle: Payitmobile AG.

7 Das bezahlen im Internet mit Payitmobile läuft über SMS und sichere Internetverbindungen Kunden klicken im Internet-Shop auf den Button "Payitmobile" Sie geben ihre Handy-Nummer in ein Feld ein Die Daten werden über eine sichere Verbindung an Payitmobile übermittelt Die Kunden erhalten eine SMS mit den Rechnungsdaten und bestimmen das Zahlungsmittel (Kreditkarte oder Bankverbindung) Sie beantworten die SMS mit ihrer Payment-PIN, um die Zahlung zu bestätigen Der Händler erhält eine Bestätigung Die GZS wickelt den Zahlungsvorgang im jeweiligen Kreditkarten- oder Girosystem ab Kurze Zeit später wird dem Händler das Geld mit einer genaueren Abrechnung überwiesen. Quelle: Payitmobile AG.

8 inatec erweitert die Payment-Lösung powercash21 um Mobile-Payment Einrichtung und Registrierung –Händler und Kunden registrieren sich und geben bevorzugte Zahlungsmittel (Kreditkarte, Lastschrift) an –Online-Händler müssen an das System powercash21 angeschlossen sein, stationäre Händler nicht Kosten –Händler zahlen Transaktionskosten in Höhe von 2%, mindestens €0,33 und die Kosten des verwendeten Zahlungsmittel –Kunden zahlen lediglich für den SMS-Versand Sicherheit –Auf Internetseite durch SSL –Auf Mobilfunkseite durch das GSM-Netz und einer PIN / Paysafecard-Code Besonderheiten –Anonymes Bezahlen ist in Kombination mit der Paysafecard möglich (Registrierung entfällt) –Virtuelle Tickets können in Form einer SMS mit einem numerischen Code ausgestellt werden Quelle: inatec GmbH.

9 Street Cash erlaubt das Bezahlen im Online- Shop und bei einem stationären Händler Offline-Shop: 1.Händler schickt eine SMS mit der Handynummer des Kunden und dem Betrag an Street Cash 2.Street Cash schickt eine SMS mit Betrag und Händlernamen an den Kunden 3.Der Kunde beantwortet die SMS mit seiner PIN oder Paysafecard-Nummer 4.Street Cash prüft die Daten, wickelt die Zahlung ab und schickt eine Bestätigungs-SMS an den Händler Online-Shop: 1.An der „Kasse“ des Shop-Servers gibt der Kunde seinen LOGIN ( und Passwort oder Mobilfunknummer) an und der Server übermittelt die Daten an Street Cash 2.Street Cash schickt eine SMS mit der Zahlungsdaten an den Kunden 3.Der Kunde beantwortet die SMS mit seiner PIN oder Paysafecard-Nummer 4.Street Cash prüft die Daten, wickelt die Zahlung ab und schickt dem Server eine Bestätigung Quelle: inatec GmbH.

10 Die eops AG bietet sowohl ein sprachgesteuertes als auch ein TAN-basiertes Verfahren an Einrichtung und Registrierung –Für beide Verfahren müssen sich Händler und Kunden registrieren und bevorzugte Zahlungsmittel angeben (Kreditkarte, Bankeinzug) –Händler installieren die Software auf dem Shop-Server Kosten –Händler zahlen eine monatliche Miete für die Software und die Transaktionskosten einschliesslich des verwendeten Zahlungsmittel –Kunden zahlen nichts Sicherheit –Auf Internetseite durch SSL –Auf Mobilfunkseite durch das GSM-Netz und einer PIN / TAN Quelle: eops AG.

11 eops-Mobile erlaubt das Bezahlen bei Online- Händlern und auch zwischen zwei Kunden Quelle: eops AG.

12 eops PIN generiert eine TAN, die nur für den aktuellen Zahlvorgang gültig ist Quelle: eops AG. Zu 4.: Die Transaktions- nummer kann dem Kunden entweder als SMS, Voice- Message oder E- Mail übermittelt werden. Zu 5.: Die TAN muss zusammen mit der PIN eingegeben werden.

13 Trintech bietet mit payware mAccess eine WAP- basiertes M-Payment-System für jeden an Zwei Möglichkeiten zur Installation –Als Einzelinstallation wickelt es Zahlungsvorgänge über existierende Internet-Zahlungssysteme ab –Wenn es zusammen mit dem mIssuer installiert wird können auch eigene virtuelle Kreditkarten herausgegeben werden Einrichtung und Registrierung –Für Händler ist keine Registrierung oder Installation notwendig. Das System ist so intelligent das es vorhandene Zahlformulare der Online Shops erkennt und daran anknüpft –Kunden müssen sich Ihre normale oder ihre mIssuer Karte freischalten lassen und erhalten einen Benutzernamen und ein Passwort Kosten –Vom Geschäftsmodell des Betreibers abhängig Sicherheit –Auf Internetseite durch SSL –Auf Mobilfunkseite durch WTLS und einer PIN Quelle: trintech.

14 mAccess schaltet sich zwischen WAP-Handy und Online-Shop und füllt Zahlungsformulare aus Quelle: trintech.

15 Wird mIssuer mitinstalliert können eigene Karten ausgegeben werden und die Prüfung erfolgt intern Quelle: trintech.

16 Ericsson entwickelt eine komplette M-Commerce- Plattform und sammelt mit Pilotprojekten Erfahrung Mobile e-Pay –Plattform für Service-Provider Micro- und Macropayment über SMS und WAP 1.1 abzuwickeln Mobile Ticket –Kooperation mit Telenor Mobil und Filmweb über das Handy Kinokarten zu bestellen und zu bezahlen Bluetooth based wireless payment –Kooperation mit Eurocard über Bluetooth in „echten“ Geschäften zu bezahlen Eine virtuelle Eurocard ist im Mobiltelefon gespeichert und tauscht an der Kasse über Bluetooth die Karten- und Rechnungsinformationen aus. Bestätigung erfolg über PIN-Eingabe am eigenen Mobiltelefon Quelle: Ericsson.

17 E-Plus Mobile Ticketing erlaubt das Bestellen und Bezahlen von Veranstaltungstickets über das Handy Kooperation mit dem Online Ticketverkäufer Qivive und der Unternehmensberatung Accenture Ablauf: 1.Über das E-Plus WAP-Portal können zu den von Qivive angebotenen Veranstaltungen Eintrittskarten gebucht werden 2.Autorisiert wird die Bestellung mit einem Service- Passwort zusammen mit einem Verschlüsselungs- verfahren. 3.Die Abrechnung erfolgt über die Mobilfunkrechnung oder eine zuvor angegeben Kreditkarte 4.Die Karten werden an eine vorher angegebenen Adresse verschickt Quelle: E-Plus.

18 D2 Vodafone entwickelt mit Brokat ein M-Payment- Konzept für Micro- und Macropayment Systembasis –Das von Brokat stammende Twister System Zahlungsmöglichkeiten –Macropayment über Lastschrift und Kreditkarte –Micropayment über Mobilfunkrechnung Sicherheitsmerkmale –Neben einer PIN soll auch die MSISDN (Moblie Station Internation Subscriber ISDN Number) der eigenen Kunden zur Autorisierung verwendet werden Besonderheiten –Das System soll als Netzdienst eingeführt werden und somit endgeräteunabhängig sein. Quelle: D2 Vodafone.

19 Vergleich der vorgestellten Zahlungssysteme Payit- mobile Street Cash eops Mobile eops PIN Trintech mAccess Ericsson Eurocard D2 Vodafone Kreditkarte/Bankeinzug / / / / / /  / Micro- / Makropayment  / 6 / ? / / Internet / Peer2Peer / / / /   / / SMS / WAP /  Voice /  / Bluetooth / Sicherheit PINPIN 7 PINPIN,TANPIN,WTLSPIN PIN,MSISDN Anonymität 2 3  ? Händler / Kunde Registrierung / / 1 / /  / / / Einrichtungskosten /  /  Dem Betreiber über- lassen ? / ? Grundpreis ? /  /  /  ? / ? Transaktionskosten* /  4,5 /  5 /  /  4  /  ? / ? *´Vom M-Payment-Provider zusätzlich zu den Kosten des zugrundeliegenden Zahlungsmittels 1 Nicht nötig, wenn nur mit Paysafecard gezahlt wird. 2 Ausser bei Warenauslieferung. 3 Nur in Verbindung mit Paysafecard. 4 Ausser bei Peer2Peer. 5 Kosten für die SMS zahlt der Kunde 6 Demnächst kumuliert. 7 Oder Paysafecard-Code

20 Jedes Verfahren hat sein Vor- und Nachteile SMS-basierte Verfahren sind umständlich, teuer und unsicher, aber von fast jedem Handy zu benutzen Voice-basierte Verfahren sind einfacher zu bedienen etwas günstiger und sicherer und von jedem Handy nutzbar WAP-basierte Verfahren werden in Zukunft eine größere Rolle spielen, wenn WAP-Geräte weiter verbreitet sind Bluetooth-basierte Verfahren könnten das Portemonnaie im Alltag ersetzen, erfordern aber Mobiltelefone der neusten Generation  Durchsetzen wird sich das Verfahren, das schnell viele Kunden und Händler gewinnen kann. Nur dann kann es von Netzeffekten profitieren und wird zum Selbstläufer