Der Markt für Kartenzahlungen ist eine seltsame Sache. In mancher Hinsicht geschieht die Innovation erschreckend langsam. Der Wechsel von Magnetstreifenkarten zu Chipkarten dauert zum Beispiel schon seit Mitte der 1990er Jahre an. Und das ist immer noch der Fall, trotz der hohen Betrugsraten, die mit Magnetstreifenkarten verbunden sind. Kontaktlose Zahlungen, die immer noch als neue Technologie wahrgenommen werden, gibt es seit fast 15 Jahren. Es bedurfte einer weltweiten Pandemie, um viele kleinere Händler für die Nutzung zu begeistern.

Die Evolution von mPOS!

Der mPOS-Markt hat sich viel schneller entwickelt. Alles begann vor etwas mehr als einem Jahrzehnt im Jahr 2009, als Jack Dorsey (bekannt durch Twitter) Square gründete. Square zielte zunächst nur auf den US-Markt für die Akzeptanz von Magnetstreifenkartenzahlungen ab. Seitdem hat sich der mPos-Markt in mehreren großen Schritten verändert. Die erste Veränderung, nur ein Jahr nach dem Start von Square, war der unvermeidliche Schritt zur Unterstützung der Chipkartenakzeptanz. Die Umstellung auf EMV mPOS-Unterstützung wurde zunächst von dem schwedischen Unternehmen iZettle vorangetrieben und dann von einer Reihe anderer Nachahmer verfolgt. In den letzten Jahren gab es jedoch eine Reihe neuer Initiativen, die alle darauf abzielten, die Akzeptanz von mPos zu beschleunigen, indem sie den Bedarf an teuren externen Hardware-Geräten reduzierten.

Reduzieren wir die Hardware!

Die erste dieser neuen Initiativen ist die eher einfallslos benannte SPoC oder Software Based Pin Entry on COTS (wobei ein COTS ein Commercial Off the Shelf-Gerät ist, oder ein Standard-Handy für Sie und mich!) Bei SPoC nimmt man ein herkömmliches mPos-Gerät und entfernt im Wesentlichen den Bildschirm und das PIN-Pad, wodurch die Kosten erheblich reduziert werden. Das Ergebnis ist ein verschlüsselndes Kartenlesegerät, das SCRP (Secure Card Reader for PIN) genannt wird. Bei SPoC-basierten Lösungen wird die Karte in den SCRP getippt oder eingeführt, der sich meist über Bluetooth mit dem Telefon verbindet, und die PIN wird über den Touchscreen des Telefons eingegeben. Die meisten Leute in der Branche waren sich einig, dass die SPoC-Initiative ein deutlicher Schritt in die richtige Richtung ist, aber es wird immer noch eine separate Hardware benötigt, um die Karten zu lesen. Und diese Hardware ist es, die die Probleme verursacht. Sie muss gebaut, zertifiziert und vertrieben werden, die Kunden müssen sie bei sich haben, und sie muss aufgeladen werden. Genau hier gibt es jedoch den Wunsch, die externe Hardware ganz abzuschaffen.

Kurz nach SPoC kam die erste echte SoftPos-Spezifikation, CPoC (Contactless Payments on COTS). SoftPos-Lösungen, kurz für Software Point of Sale, ermöglichen es Händlern kontaktlose Zahlungen über ihre eigenen mobilen Geräte oder Tablets abzuwickeln. Die CPoC-Spezifikation macht externe Hardware gänzlich überflüssig. CPoC nutzt die im Mobiltelefon eingebaute NFC- (oder kontaktlose) Schnittstelle als Kartenleser. Bei CPoC findet alles im Smartphone des Händlers statt, d.h. die Telefon-Benutzeroberfläche wird zur Eingabe des Betrags und die eingebaute NFC zum Lesen der Karte verwendet. Die CPoC-Spezifikationen verbieten jedoch die Verwendung der PIN-Eingabe, so dass sie nur auf Transaktionen unterhalb des Mindestbetrags (50 € in den meisten EU-Ländern, 80 CHF in der Schweiz und 45 £ in Großbritannien) beschränkt ist. Es sei denn, die Kartendaten kommen von einer mobilen Geldbörse wie Apple Pay, wo die Transaktion für jeden Betrag erfolgen kann, da die Authentifizierung auf dem Gerät des Kunden durchgeführt wird.

SoftPos: der heilige Gral?

Aber noch bevor CPoC oder SPoC eine ernsthafte Markttraktion erlangt haben, sehen wir die nächsten Entwicklungen hervorkommen, und das sind die wirklich interessanten, wenn auch technisch anspruchsvollen.

Diese neuen SoftPos-Lösungen verwandeln das Telefon in ein komplettes Zahlungsterminal, mit Kartenlesung und PIN-Eingabe in einem Standardtelefon. Sie haben noch keine griffigen Namen, und die Spezifikationen werden von PCI, dem Gremium, das diese Dinge standardisiert, nicht vor Ende 2021 veröffentlicht.

Um den Markt zu testen und eine frühzeitige Einführung zu ermöglichen, haben die Kartensysteme selbst (Visa und Mastercard) Pilotspezifikationen bereitgestellt, auf deren Grundlage Unternehmen wie Abrantix entwickeln können. Die Spezifikationen sind im Wesentlichen eine Verschmelzung von CPoC und den PIN-Eingabe-Teilen von SPoC.

Ist es sicher genug?

Jetzt kommt die Herausforderung; wegen des Mangels an sicherer Hardware bedeutet das, dass ein relativ unsicheres Gerät, ein Android-Telefon, sowohl die Karte als auch die PIN liest. Und die bisherigen Regeln haben darauf bestanden, dass Karten und PINs immer gut geschützt und mit separaten Schlüsseln verschlüsselt sind, die immer getrennt gehalten werden. Das ist in einem unsicheren Smartphone knifflig zu erreichen. Es ist nicht unmöglich, aber sicherlich eine Herausforderung.

Wenn Sie das Glück haben, auf Geräten mit einem offenen TEE[1] eingesetzt zu werden, dann können Sie Ihre Apps so entwickeln, dass sie davon profitieren, indem sie hardwaregestützte Sicherheit und eine angemessene Schlüsselseparation bieten. Und in einer idealen Welt würden wir alle dies nutzen, um unsere Apps zu schützen. Aber leider ist die Realität nicht ganz so einfach. Die TEE-Zugänglichkeit ist bestenfalls lückenhaft. Wenn Sie möchten, dass Apps die Fähigkeit für einen großflächigen Einsatz erreichen, müssen Sie sich alternative Schutzmechanismen ansehen.

Geschützt mit Software!

Was können Sie also tun, wenn Sie keinen Zugriff auf sichere Hardware haben? Es gibt eine Reihe von Software-Schutzmechanismen, die zur Sicherung von Anwendungen verwendet werden können. Diese sind zwar nie so sicher wie Hardware, haben aber den Vorteil, dass sie auf jedem Gerät funktionieren und leicht zu aktualisieren sind, sollte eine Schwachstelle gefunden werden. Hardwarebasierte Sicherheitslösungen sind, wenn sie anfällig sind, wie bei Hacks wie Spectre und Platypus zu sehen war, schwieriger zu patchen, daher ist in gewisser Weise softwarebasierter Schutz die beste Lösung.

Der Softwareschutz verfolgt einen mehrschichtigen Ansatz, bei dem mehrere verschiedene Mechanismen, wie z. B. Obfuskation und White-Box-Kryptografie, verwendet werden, die jeweils auf die Anwendung angewendet werden, um ein ausreichendes Schutzniveau zu bieten.

Es gibt jede Menge Blogs von den Anbietern von Anwendungsschutz, die die verschiedenen Mechanismen erklären, die beim softwarebasierten Schutz zusammen verwendet werden, daher werde ich hier nicht ins Detail gehen.

Aber ich glaube, dass die nächste SoftPos-PCI-Spezifikation das sein wird, was der Markt braucht und will. Und zumindest für die nächsten Jahre wird ein softwaregestützter Schutz wahrscheinlich die einzige praktikable Sicherheitslösung sein.

Wenn Sie daran interessiert sind, mit uns über die Entwicklung Ihrer nächsten SoftPos-Lösung zu sprechen, zögern Sie bitte nicht uns zu kontaktieren.

[1] Ein TEE ist ein Mechanismus, der von den ARM-basierten Mikroprozessoren, die in den meisten Smartphones vorhanden sind, bereitgestellt wird und die Möglichkeit bietet, ein hardwaregetrenntes zweites sicheres Betriebssystem neben Ihrem normalen Betriebssystem, z. B. Android, auszuführen.