Volks- und Raiffeisenbanken testen mobiles Bezahlen mit Mastercard
Die Volks- und Raiffeisenbanken wollen den Inhabern ihrer Mastercards bald kontaktloses Bezahlen mit dem Smartphone ermöglichen. Zunächst startet man zu diesem Zweck bereits ab heute eine Testphase. Als Pilotbanken dienen die Volksbank Mittelhessen und VR Bank HessenLand. Man setzt dabei auf die Verschlüsselungstechnologie MDES (Mastercard Digital Enablement Service). Über die Technik wird ein spezieller Token über die Kombination aus der 16-stelligen Kartennummer, die sich auf der Mastercard befindet, und dem mobilen Endgerät generiert.
Laut Mastercard können dank der Verwendung des verschlüsselten Tokens weder die Kartennummer oder vertrauliche Karteninformationen abgefangen werden. Der Token selbst geht verschlüsselt an den Händler bzw. dessen Bank und anschließend an Mastercard. Letztere prüfen die Gültigkeit bzw. die Berechtigungen des Geräts. Erst danach wird der Token entschlüsselt und die Zahlung genehmigt. Auch die Autorisierung wird wieder als Token an den Händler übertragen und somit die Transaktion autorisiert.
Das Procedere funktioniert an allen Kassen, die kontaktloses Bezahlen mit Mastercard erlauben. Abseits von Smartphones ist MDES etwa auch für Wearables geeignet. Im konkreten Falle der Volks- und Raiffeisenbanken ist zum Bezahlen auf dem Smartphone die VR-BankingApp mit den digitalisierten Bankkarten notwendig. An der Kasse wird das Smartphone dann statt der Kreditkarte an das Bezahlterminal gehalten und die Transaktion nimmt ihren Lauf. PIN-Eingaben sind erst bei Zahlungen über 25 Euro notwendig.
Wer optional ExpressZahlung aktiviert, kann sogar ohne das sonst notwendige Öffnen der VR-BankingApp unter Android direkt nach dem Einhalten des Displays via NFC bezahlen. Wie bereits erwähnt, geht das Verfahren aber aktuell im Rahmen der Testphase zunächst nur bei der Volksbank Mittelhessen und der VR Bank HessenLand. Die Ausweitung dürfte, sollte im Test alles glatt gehen, aber anschließend hoffentlich nicht mehr allzu lange dauern.
Wie wäre es, wenn die Banken und Sparkassen anstelle ihrer peinlichen Paypal-Klone und Bezahl-Apps endlich einfach übergreifende Protokolle wie z.B. Apple Pay unterstützen? Deutschland ist hier wieder mal ein digitales Dritte-Welt-Land…
Finde es auch absolut überflüssig, dass jeder sein eigenes Süppchen kocht. Man sollte sowas lieber den Software Firmen wie Google und Apple überlassen, die mit Android und Apple Pay bereits gute Lösungen im Angebot haben.
@Daniel
Und genau das scheuen die deutschen Banken wie der Teufel das Weihwasser, weil sie –
berechtigterweise – Angst haben dann einen guten Teil der Kontrolle aus der Hand zu geben. Aber so ist das halt wenn man zu lange wartet, und sich auf seiner Marktposition ausruht.
Ja, wäre echt toll, wenn ihr (André?) mal bei den Banken nachfragen könntet, wieso die da jetzt was eigenes entwickeln, anstatt auf Android Pay zu setzen?
Sind diese Fragen Ernst gemeint?
Was Apple und Google bereit stellen sind ja nicht nur irgendwelche Protokolle und Software sondern auch die gesamte Dienstleistung, für die natürlich auch Gebühren anfallen.
Dass viele der deutschen Banken leider spät dran sind und manche Produkte (Paydirekt z.B.) echt schlecht sind ändert nichts daran, dass es auch für uns als Kunden von Vorteil sein dürfte wenn wenigstens ein bisschen Wettbewerb da ist.
Wozu soll das gut sein? Ich hab eine EC Karte immer am Mann. Die hat keinen Akku der geladen werden muss, braucht nicht gepatcht werden und muss nicht entsperrt werden vorm Benutzen.
Überflüssig…..
Apple und Google haben schon soviel Macht. Schlimm dass die Leute jetzt noch beim Bezahlen an die Hand genommen werden wollen.
@Markus
Es geht halt schneller als die Karte extra rauskramen zu müssen.
Kontaktloses bezahlen, deren Ernst?
Das, was als Naechstes geplant ist, ist doch wohl offensichtlich,oder?
Chipimplnatate, da bin ich so gaaaaaaaaaa rkein Fan von, irgendjemand schonmal in der, ja ich weiss, Bibel einen Absatz gelesen?
Lutherbibel: Offenbarung 13:16´-17: Zitat: Und es macht, daß die Kleinen und die Großen, die Reichen und die Armen, die Freien und die Knechte-allesamt sich ein Malzeichen geben an ihre rechte Hand oder an ihre Stirn, 17daß niemand kaufen oder verkaufen kann, er habe denn das Malzeichen, nämlich den Namen des Tiers oder die Zahl seines Namens.
So, bin durchaus NICHT religioes, nur mir stellt sich hier eine einzige Frage: Muss man denn tun, was moeglich ist, ich denke nicht.
Greets, InGSoC 🙂
@Markus
Diese Lösung ist wirklich etwas überflüssig. Apple Pay bzw Android Pay hat hingegen wirklich einige Vorteile: Erst einmal generell.. man hat sein Handy immer dabei (mein Portmonee vergesse ich gerne mal). Bei mir geht es auch schneller, als die Karte aus dem Kartenfach zu fummeln, das Handy sitzt locker in der Hosentasche. Und dann ist es bei Android/Apple Pay immer der gleiche Vorgang, man muss dort nie eine PIN eingeben, egal wie hoch der Betrag ist bzw auch nicht nach der fünften Zahlung. Einfach Handy dran halten… fertig. Sicherer ist dies auch, als eine Kartenzahlung, erst recht wenn kontaktlos gezahlt wird unter 25€.
Danke an Fuchs und elknipso2 die hier mal versierte Meinungen kundtun. Die Blauäugigkeit wie hier die Geeks krakelen ja bloß auf Apple und Google zu setzen. Die machen das bekanntlich auch nicht gratis meine Herren – Apple kriegt direkt Kohle und Google kriegt alle Transaktionsdaten geteilt. Und das gleich „Protokoll“ nutzen sie sowieso alle – alle nutzen ganz standard NFC zur Terminalkommunikation und als Zahlungsintrument ganz klassische Debit/Kreditkartenprofile. Alles Standardkost, was meint ihr wie ihr sonst mit einer Wallet auf der ganzen Welt zahlen können solltet?!
Fest steht, Wettbewerb ist gut, gesund und die Initiative der VR Banken hier mit Mastercard, Visa und bald girocard auf HCE zu gehen hat Respekt verdient.
@Tannenpflaum
Jein, Apple Pay (und Android Pay?) nutzen zwar die Standards, die auch andere NFC Apps/Karten nutzen, aber zumindest das System von Apple ist sicherer, weil die Secure Enclave im Gerät genutzt wird. Somit kann ein Datendieb nur den unbrauchbaren Token abgreifen, der zwischen iPhone, Terminal und Bankserver umher wandert, die restlichen Nutzerdaten sind hinter der Secure Enclave und hinter den Bankservern sicher versteckt. und genau diesen Sicherheitsgewinn lässt sich Apple von den Banken bezahlen… Google wohl nicht, aber dafür wollen die ein paar Daten dafür haben.
Auf Apple Pay und Android Pay zu setzen bzw diese beiden Systeme zu feiern und andere Versuche in diese Richtung (wie in diesem Bericht beschrieben) schlecht zu machen, ist nachvollziehbar. Nur Apple Pay und Android Pay sind wirklich komfortabel zu nutzen und bieten eben auch noch einen Sicherheitsgewinn. Alles andere sind schlechte und hilflose Versuche von den Banken Apple und Google zu entfliehen… keine dieser Insellösungen wird Erfolg haben.
Und das was diese völlig unnütze Neuentwicklung nun wieder kostet würde sicher leicht die Gebühren decken, die Apple/Google für die Abwicklung verlangen. Wahrscheinlich sogar für einige Jahre. Und man hätte die Wünsche der Kunden gehört….
Es ist doch echt erbärmlich, dass wir in D diese Services noch immer nicht nutzen können, aber wen interessieren schon die Kundenwünsche…?
@lars
es geht nicht um die Einmalkosten einer Entwicklung, sondern um die Dauerhafte (monopolähnliche Stellung) und dessen, dass der Kunde „weg“ ist.
die 2-3 Player würden dann die Provisionen vorschreiben und man kann den Kunden nicht mehr zurück holen
@HO, bei Android Pay liegt der private key nicht in der Secure Enclave, bzw. wie bei NFC-Simkarten im Secure Element, sondern in Hardware Security Modulen beim Bezahldienstleister. Da werden nur Transaktionstoken auf Vorrat im Smartphone gespeichert. Das ist eigentlich noch sicherer als bei Apple, hat aber den Nachteil, dass ohne Datenverbindung keine neuen Token abgerufen werden können. Nach ein paar Zahlungsvorgängen ohne Netz (Kreuzfahrschiff z.B.) ist Schluss.
@lars: Das stimmt, Kosten sind hoch für die Entwicklung, allerdings ist der Lock-In wenn du nur auf Dritte setzt ein sehr hohes Geschäftsrisiko. Apple kann jederzeit die Gebühren verzehnfachen und wenn du dann keine Alternative hast, musst du das abschalten. Erklär das dann mal Millionen von Kunden.
@HO: Da hast du Recht. Die embedded Secure Element Lösung von Apple ist,was die lokale penetration security auf dem Gerät angeht sehr sicher. Auf „Bankseite“ Seite gibt es keine Secure Enclave – die braucht man auch nicht, da sowieso nur ein „Token“ bei der Bezahlung ausgetauscht wird – sprich ein „Wegwerfkartenprofil“.
Bei AndroidPay kommt wie auch hier bei den VR Banken HCE zum Einsatz. Das heißt es gibt kein Hardwareelement indem die Kartendaten gespeichert werden sondern die werden auf Softwareebene abgelegt und abgesichert. Ob AndroidPay jetzt per Definition sicherer ist als die VR Banken Lösungen – da könnte man die Annahme treffen, dass bei Google halt sehr viele fähige Securitycracks sitzen, die das relativ gut hinbekommen sollten. Und wenn da einer doch mal reinkommt dann haben sie die Legals und die Finanzkraft, um da den Daumen drauf zu haben.
Ihr schreibt „keine dieser Insellösungen wird Erfolg haben“ und „unnütze Neuentwicklung“,
aber die Verbindung zu Mastercard um zum Beispiel bei Aldi zu bezahlen ist doch perfekt und marktüblich. Also perfekt.
Fazit: ich freue mich darauf!
Einige Probleme mit denen alle deutschen Banken sich herumschlagen müssen sind BaFin, Kartellamt und die in immer schnellerem Takt aufschlagenden Richtlinien die es umzusetzten gilt. Leider agieren die Großen der Branche außerdem aber immer noch, als wenn es eben keine Altenative zu ihnen gibt. Anstelle die Ressourcen zu bündeln kommt es dadurch leider immer noch zu diesen Insellösungen, die nicht wirklich jemandem helfen, außer der Marketingabteilung, die was nettes zu berichten hat.
Wirkliche Innovation ist so schon fast nicht mehr möglich (siehe paydirekt), wohl aber Wettbewerb (am Kundenwunsch vorbei).
Mit der Karte geht das doch nicht schneller. Das Handy ist in der einen Hosentasche – die Karte in der anderen.
Außerdem wurde ich noch nie von einer Kartenzahlung „überrascht“. Ich hab also die Karte in der Hand wenn ich dran bin.
@InGSoC
In Schweden Alltag, in D http://www.iamrobot.de
WDR-Bericht: https://www.youtube.com/watch?v=HTo_jEGH_7k