Wie Apple Pay funktioniert und weshalb es das bessere System ist

Die Bedeutung von Apple Pay – nicht nur für Apple, sondern für alle, die mit Geld umgehen – wird weiterhin großflächig verkannt oder unterschätzt. Natürlich vor allem außerhalb der USA, wo Apple Pay noch nicht verfügbar ist. Dennoch sollte man sich schon jetzt damit beschäftigen und sich eine Art Wissensvorsprung erarbeiten, der einem dann nützlich wird, wenn Apple Pay dereinst auch hierzulande verfügbar sein wird.

Von   Uhr

Die Einführung von Apple Pay in den USA bietet einen guten Anlass auch über das Bezahlverhalten in Deutschland nachzudenken. Hier ist es oft schon schwierig, wenn man mit Plastikkarten bezahlen möchte. Viele Geschäfte akzeptieren bis heute keine Kreditkarten, andere EC-Karten nur ab einem Mindestbetrag und wieder andere nehmen überhaupt keine Plastikkarte an.

Falkemedia, der Verlag hinter Mac Life, hat seine Hauptsitz in Kiel. Die geografische Nähe zu Skandinavien erlaubt es immer mal wieder einen Blick in die Zukunft zu werfen. Beziehungsweise das, was bis zur Vorstellung von Apple Pay noch die Zukunft war. In Skandinavien ist es selbstverständlich überall alles mit einer Plastikkarte zu zahlen. In Dänemark gilt das nicht nur für den Bäcker sondern auch für die Hot-Dog-Bude auf dem Parkplatz des lokalen Supermarkts.In Schweden ist man gar noch einen Schritt weiter. Dort gibt es erste Geschäfte, die überhaupt kein Bargeld mehr akzeptieren. Wer keine Karte hat, wird ausgelacht.

In den USA, dem Land, in dem Apple Pay zuerst an den Start ging, ist die Situation hingegen völlig merkwürdig. Dort regiert zwar auch die Kreditkarte, europäische Sicherheitsstandards sind dort allerdings den meisten Menschen fremd. So kann man nicht etwa davon ausgehen, dass die Kreditkarte, die einem eine US-amerikanische Bank aushändigt etwa über „Chip & PIN“ verfügt. Autorisierung durch Unterschrift ist der der Standard. Nicht selten haben (kleinere) Händler in den USA auch überhaupt kein Kartenlesegerät, sondern machen nach wie vor mit einem Blatt Kohlepapier eine Kopie der Karte. Es ist fast schon in einem absurden Maße abwegig, wie viel Vertrauen man dem völlig unbekannten Restaurantbetreiber entgegen bringen muss, nur um das Essen bezahlen zu können.

Grundlegende Probleme mit Plastikkarten

Die Kreditkartennummer steht vorne auf der Karte drauf und ist zusätzlich über den rückseitigen Magnetstreifen auslesbar. Für zum Beispiel das Zahlen im Internet gibt es, ebenfalls auf der Rückseite, einen zusätzlichen Code (CVS), der in der Regel drei Ziffern, manchmal aber sogar vier Ziffern, umfasst. Zwingend notwendig ist dieser aber nicht, um die Karte zu benutzen. Eine gestohlene Karte kann also sehr leicht vom jeweiligen Dieb benutzt werden.

Wer in einem Ladengeschäft mit so einer Karte bezahlt, der landet in einer ganz anderen Sicherheitshölle. Vom Magnetstreifen aus wird die Kreditkartennummer im Klartext an den Verkäufer, beziehungsweise seine Kasse, übermittelt. Über eine vielleicht/hoffentlich sichere Leitung wird diese Nummer dann an einen so genannten Kreditkarten-Processor übersandt, der die Daten überprüft und dann ein „Ja“ oder „Nein“ zurücksendet. Das passiert in den Sekunden, in denen man an der Kasse steht und denkt „Hoffentlich geht alles gut“.

Auch wenn das jetzt stark vereinfacht und etwas flapsig formuliert war: Nach allem, was man als Außenstehender über diese Prozesse weiß, geben sich Visa, Mastercard und Co. die größte Mühe, diese Prozesse so sicher wie möglich zu gestalten. Das größte sicherheitstechnische Problem liegt im Ladengeschäft selbst. Zwar gibt es auch hier klare Richtlinien, wie mit den erhaltenen Daten zu verfahren ist, was erlaubt ist und was nicht. Aber wenn man sich die letzten Jahre anschaut, wird schnell klar, dass es viele Firmen damit nicht so genau nehmen.

Aber wir haben doch Chips auf der Karte!

Aber selbst mit unseren europäischen Standards ist noch lange nicht alles gut. In Europa haben wir uns, wie fast überall außerhalb der USA, von den reinen Magnetstreifenkarten verabschiedet und nutzen EMV-Karten. EMV steht für „EuropayInternational, Mastercard, Visa“ und stellt eine Spezifikation für Bezahlkarten mit einem Microprozessor-Chip dar. Praktisch alle Plastik-Bezahlkarten, die wir hierzulande in unseren Portemonnaies herumtragen, wurden nach dieser Spezifikation, die international auch einfach als „Chip and PIN“ bekannt ist, gefertigt. In Lesegeräten sind diese Karten deutlich sicherer als die Nur-Magnetstreifen-Karten. Sie generieren nämlich eine Art Einmal-Passwort, das nur für die gerade angefragte Transaktion gilt. Mit dieser Information kann selbst ein schwarzes Schaf unter den Ladenbesitzern also nichts anfangen. Die Kartennummer wird aber weiterhin im Klartext übertragen. Für Online-Einkäufe bieten diese Karten praktisch überhaupt keine zusätzliche Sicherheiten. Wenn die Nummer ohnehin im Klartext übertragen wird, reicht ein weiterer Blick auf die Karte, um Ablaufdatum und CVS-Code zu erfassen und schon hat man alles, was man benötigt, um mit dieser Karte shoppen zu gehen.

Vermutlich sind auch deshalb so viele Amerikaner so hoch über Apple Pay erfreut. Es katapultiert sie aus der bezahltechnischen Steinzeit in die Zukunft und man überholt damit sogar „endlich“ wieder die Europäer.

Wie funktioniert Apple Pay?

Um die Vorteile und Diskussionen um Apple Pay zu verstehen, muss man zunächst einmal verstehen, wie Apple Pay überhaupt funktioniert. Und das ist gar nicht so einfach. Apple Pay lässt sich zwar wahnsinnig leicht benutzen (dazu später mehr), ist aber technisch dennoch wahnsinnig komplex und kompliziert. Das ist aber auch der große Vorteil gegenüber anderen Systemen.

Apple selbst beschreibt die Funktionsweise von Apple Pay in recht knappen Worten:

Wenn man mit Apple Pay eine Kredit- oder Bankkarte hinzufügt, werden die aktuellen Kartennummern weder auf dem Gerät, noch auf Apple-Servern gespeichert. Stattdessen wird eine einzigartige Geräte-Kontonummer zugewiesen, verschlüsselt und sicher in Secure Element auf iPhone oder Apple Watch gespeichert. Jeder Zahlungsvorgang wird mit einer einmaligen einzigartigen Nummer autorisiert, welche die Geräte-Kontonummer nutzt und anstatt den Sicherheitscode auf der Rückseite der Karte zu verwenden, erzeugt Apple Pay einen dynamischen Sicherheitscode, um die Sicherheit eines jeden Zahlungsvorgangs zu bestätigen. (Quelle)

Diese Gerätekontonummer ist eine Art Ersatz für eine „echte“ Kreditkartennummer. Dabei erfindet Apple keine neue, eigene und proprietäre Methode, sondern tut mehr oder weniger das, was für die Zukunft von EMV-Karten ohnehin vorgesehen ist. Das Konsortium hinter EMV hat für die Entwicklung künftiger Sicherheitsstandards eigens eine Firma namens EMVco gegründet. Apple baut quasi nur eine schöne und praktischer Benutzerschnittstelle für deren System.

Diese Ersatznummer, die an den Händler übermittelt wird, sieht dabei aus wie eine völlig gewöhnliche Kreditkartennummer, ist für sich genommen aber völlig nutzlos. Selbst wenn man diese Nummer erbeutet, kann man nichts mit ihr anfangen. 

Wie funktioniert Apple Pay im Einsatz?

Eigentlich ist alles ganz einfach. Zunächst muss man seine Kreditkarte zu Passbook hinzufügen. Dazu kann man die Daten abtippen oder einfach die im iPhone integrierte Kamera nutzen. Die Kreditkartennummer wird zusammen mit den anderen Daten über eine verschlüsselte Verbindung an das ausgebende Institut zwecks Verifikation übermittelt. Als „Antwort“ erhält das iPhone dann die ab jetzt zu verwendende virtuelle „Ersatz-Nummer“. Diese wird, vereinfacht gesagt, per Zufallsverfahren generiert und zugeteilt, so dass man vor ihr nicht auf die Nummer der echten Karte schließen kann. Theoretisch können für ein und dieselbe Kreditkarte mehrere dieser Ersatz-Nummern vergeben werden. Die Zuordnung wird natürlich bei der jeweiligen Bank in einer Datenbank hinterlegt. Das iPhone speichert diese Daten im „Secure Element“. Das ist der Teil des Systems, in dem seit der Einführung des iPhone 5S auch schon Fingerabdruckdaten landen. (Korrektur: Die Speicherstelle für Fingerabdruckdaten heißt „Secure Enclave“. Dennoch kann dies als Beleg dafür genommen werden, dass Apple es versteht, Nutzerdaten sicher zu speichern.) Das passiert schon seit über einem Jahr und bislang ist die Secure Enclave nicht geknackt, scheint seinen Namen also zu Recht zu tragen. (Achtung: Dass die Secure Enclave nicht geknackt wurde hat nichts damit zu tun, dass der Fingerabdrucksensor sehr wohl überlistet werden kann. Die Aussage bezieht sich einzig und allein darauf, dass die dort gespeicherten Daten bislang nicht erfolgreich ausgelesen werden konnten.)

Wenn man jetzt mit dem iPhone und Apple Pay einkaufen geht, wird lediglich die Ersatz-Nummer und der dynamisch generierte Sicherheitscode übermittelt. Für den Händler sieht alles aus wie immer. Die erhaltenen Daten werden zwecks Verifikation an das ausgebende Institut oder einen Kreditkarten-Processor übermittelt, er erhält (hoffentlich) ein „OK“ zurück und kann die Ware aushändigen, in dem Wissen, dafür auch eine monetäre Gegenleistung zu erhalten. Und das ganz ohne, dass man die Kreditkartendaten jemals aus der Hand gegeben hätte und ohne, dass mit den übermittelten Daten Schindluder getrieben werden könnte. Der Händler weiß nach der Transaktion nichtmal den Namen des Karteninhabers. Gegenüber Ladengeschäften erfolgt das Bezahlen mit Apple Pay also völlig anyonym.

Neben dem reinen Komfort-Plus bietet Apple Pay aber auch eine echte Hilfestellung für Menschen, die mit körperlichen Einschränkungen leben. Nicht umsonst ist das iPhone besonders bei Menschen mit eingeschränkter Sehfähigkeit sehr beliebt. Die Bedienung von Apple Pay dürfte für viele Menschen einfacher sein, als im Geldbeutel nach einer Plastikkarte oder Bargeld zu wühlen. Dabei ist Apple Pay so einfach, dass es nicht mal einen gesonderten „Accessibility“-Modus benötigt. Es ist standardmäßig extrem leicht zugänglich und bedienbar.

An dieser Stelle sei auf ein kleines, aber wichtiges Detail hingewiesen: In dem kompletten oben beschriebenen Bezahlprozess taucht nicht einmal der Name Apple auf; zumindest nicht außerhalb vom Begriff „Apple Pay“. Soll heißen: Apple hat mit der Transaktion überhaupt nichts zu tun. Beim Eintragen der Kreditkarte in Passbook erfährt Apple einmalig alle wichtigen Daten zur Kreditkarte, ja. Das tut aber auch jeder Händler, bei dem man die Karte ins Lesegerät steckt. Kein Grund zur Panik also. Danach findet alles weitere komplett ohne Apples Wissen statt. Wie Tim Cook bei der Präsentation von Apple Pay schon sagte: Apple erfährt nicht, was man kauft. Apple erfährt nicht, wo man es kauft. Und Apple erfährt nicht, wie viel man dafür bezahlt hat.

Warum dann der Gegenwind?

Wie auch bei uns zu lesen war, gibt es aber Händler, die damit nicht ganz glücklich sind. Allen voran werden stets die Apotheken-Ketten „Rite Aid“ und „CVS“ genannt. Diese Ketten haben kurzer Hand die NFC-Funktionalität ihrer Bezahlterminals deaktiviert. Ein Schritt, der sich natürlich nicht nur gegen Apple Pay richtet, sondern auch gegen Google Wallet und alle Plastikkarten mit NFC-Funktionalität.

Der Hintergrund ist einfach: Diese Ketten gehörten zur einer Gruppe, die sich MCX (Merchant Customer Exchange) nennt. Diese Gruppe arbeitet an einem eigenen Bezahlsystem der Zukunft mit dem CurrentC (abgeleitet von dem englischen Wort für Währung „currency“). CurrentC klingt verglichen mit dem verheißungsvollen Apple Pay dabei so, als käme es direkt aus den tiefsten Tiefen der Payment-Hölle. Allein schon, dass die Grundlage von CurrentC QR-Code sind sollte Anlass genug sein, zu erkennen, dass das System zum Scheitern verdammt ist. Widmen wir uns zum Vergleich kurz dem Bezahlprozess mit CurrentC.

Zunächst benötigt man eine (kostenfreie) App, die es für iOS und Android gibt. Wenn man Apples Passbook ebenfalls als eine benötigte kostenfreie App versteht, ist CurrentC bis hier im Vorteil, da es systemunabhängig funktioniert. Direkt danach wird es aber absurd. Nachdem der Händler alle zu kaufenden Artikel gescannt hat, erscheint auf einem Display ein QR-Code. Dieser muss dann mit der App – nach der Eingabe eines vierstelligen Codes – gescannt werden. Alternativ kann man einen eigenen QR-Code auf dem Telefon anzeigen lassen, der dann vom Händler gescannt werden muss. Danach muss das gewünschte Konto gewählt und mit einem Tap auf „Pay now“ bestätigt werden.

Anders als Apple bei Apple Pay setzt CurrentC nicht auf der bekannten Infrastruktur der Kreditkarteninstitute auf, sondern arbeitet an ihnen vorbei. Deshalb funktioniert CurrentC auch nicht mit Visa oder Mastercard; was im Land der Kreditkarten, USA, wie ein schlechter Scherz klingt.

CurrentC ist wertvoll für die Händler und abschreckend für die Kunden. Denn was Händler wollen sind mehr Daten über ihre Kunden. Anders als Apple Pay liefert CurrentC genau das, denn hier werden jede Menge persönlicher Informationen gesammelt und übermittelt. Zum Beispiel an Localytics, einer viel genutzten Daten-Analyse-Firma.

Banken hingegen lieben Apple Pay. Wells Fargo hat vor einigen Tagen ein Programm gestartet, dass Kunden eine Gutschrift von 20 US-Dollar verspricht, wenn sie Apple Pay ausprobieren. Das muss man sich mal auf der Zunge zergehen lassen: Eine Bank gibt den eigenen Kunden Geld dafür, dass sie aufhören die Plastikkarte zu benutzen und stattdessen auf Apple Pay setzen.

Fazit

Der Erfolg gibt Apple Recht: Auf der Wallstreet-Journal-Konferenz vermeldete Tim Cook erstmals Zahlen zu Apple Pay. Innerhalb der ersten 72 Stunden der Verfügbarkeit des neuen Dienstes haben demnach allein Mastercard und Visa mehr als eine Million Apple-Pay-Kunden gezählt. Um das ganze in Relation zu bringen: Das sind mehr Nutzer als alle anderen Nutzer von NFC-basierten Bezahldiensten (zum Beispiel Google Wallet) insgesamt auf sich vereinen können. Ein klares Zeichen, das Apple mit Apple Pay wieder mal ein Produkt zur richtigen Zeit und mit den richtigen Voraussetzungen an den Start bringt.

Außerdem ist Apple Pay technisch nicht zwingend auf Kreditkarten beschränkt. Natürlich könnte Apple Pay in Deutschland, wo Kreditkarten erst auf Platz drei nach Bargeld und EC-/Maestro-Karten kommen, auch mit eben diesen EC-/Maestro-Karten funktionieren. Darüber hinaus sind noch ganz andere Verwendungszwecke vorstellbar. Einlasskontrollen für Gebäude oder Fahrscheinsysteme sind vorstellbar. Ebenso Bonus-Karten oder Tür-Karten in Hotels.

Tim Cook gibt sich sicher, dass Händler, die sich aktuell verweigern, früher oder später einknicken werden. Apple Pay sei das sicherere und komfortablere Bezahlsystem und Kunden würden es schon bald einfordern. Und Händler werden sich immer für mehr Umsatz entscheiden.

Was Apple verstanden hat – und was andere offenbar nicht verstanden haben – ist, dass ein Bezahlsystem, das das bisherige ablösen soll, entweder massive Vorteile für den Nutzer bieten muss oder aber einfacher als das bestehende System sein muss. Mit Apple Pay schlägt man hier zwei fliegen mit einer Klappe. Der Nutzer gewinnt einerseits, weil keine persönlichen Daten mehr an den Händler übermittelt werden. Andererseits gewinnt der Nutzer, weil er sein Telefon in der Regel schneller aus der Tasche gezogen hat, als er eine Plastikkarte aus dem Portemonnaie gefriemelt hat. Der aktuell viel diskutierte Gegenentwurf, CurrentC, versagt bei beidem. Händler erhalten mehr Daten als vorher über ihre Kunden und das System ist komplizierter oder zumindest aufwändiger in der Benutzung.

Diskutiere mit!

Hier kannst du den Artikel "Wie Apple Pay funktioniert und weshalb es das bessere System ist" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Super geschrieben und erklärt.
Danke Herr Schack!

Ich denke auch, dass Apple Pay einen enormen Fortschritt für das mobile und online Bezahlen bedeutet.
Wie so oft bei einem System das derartig kritische Vorgänge abwickelt, wird die Sicherheit im Moment intensiv diskutiert. Dass aktuelle Systeme weit weniger sicher sind, wird dabei oft unter den Tisch fallen gelassen.
Durch Apple Pay wird Bezahlen für den Konsumenten leichter, schneller und sicherer, da keine kritischen Informationen über das Zahlungmittel mehr ausgetauscht werden, zudem ist der Fingerabdruck deutlich sicherer als eine Unterschrift oder auch ein 4-stelliger Pin Code.

Absolute Sicherheit gibt es nicht und mit extremen Aufwand wird sich auch Apple Pay brechen lassen, aber das System würde ich einem, bei dem das Abschreiben der Karteninformationen während eines Zahlungsvorgangs dafür ausreicht, selbst Zahlungen auszuführen und damit die Karte zu missbrauchen, jederzeit vorziehen.

Da ich das Sextett von Anfang an verstanden habe und gut finde habe ich mir mal vorsorglich darauf vorbereitet, :-) und freue mich auf den Tag an dem es alle verstanden haben und es hier zulande zum Einsatz kommt.

Mist da hat malwieder die Rechtschreibkorrektur bei mir zugeschlagen und Schrott geschrieben. Sry.

dito

Sehr schöner Artikel

Das hört sich alles wie in einem Märchen an.... Aber was mich mal wunder nehmen würde ist, wer da wie viel verdient wenn ich dann ein Fanta kaufen möchte. Als erstes möchte der Verkäufer verdienen, dann die Kreditkartenfirma und dann die Bank. Und nun möchte auch noch Apple ein Stück vom Kuchen haben....

Also ich möchte es nicht nutzen. Habe parallel auch ein Andeoid mit NFC usw. Aber am Ende ist es wie mit der Geldkarte an sich: es verleitet nur zum Geldausgeben. Ich vermeide es lieber und nehme Bargeld. Ich sehe wie es weniger wird und kann besser mit umgehen.

sehr guter verständlich geschriebener Artikel. Danke hierfür!
Ich wünsche mir schon lange überall und alles mit dem Smartphone erledigen zu können, sei es bezahlen oder Eintritts/Fahrtickets vorzuzeigen. Mit Passbook alles machbar, wann jedoch in Deutschland.... ?

Die Kommentare für diesen Artikel sind geschlossen.