Embed Size (px)
Citation preview
gi G
eldi
nstit
ute
4/20
20
B1618 51. Jahrgang Ausgabe 4/2020
++ + SPECIAL +++Security for Financeand Insurance
Daten treiben KosteneffizienzAnsgar Steden, Vice President Banking DACH bei Diebold Nixdorf, spricht im Interview über Vorbilder, partnerschaftliche Kooperationen und Zukunftsszenarien.
Machine-to- Machine-Payments Bug-Bounty als Security-Strategie
Physische Sicherheit in der Bankfiliale
22 STRATEGIE
Den Einkauf zahlt die MaschineOhne Machine-to-Machine-Payments (M2M-Payments), also autonom zwischen
Maschinen getätigten Zahlungstransaktionen, wird das Internet of Things Stückwerk
bleiben. Damit das nicht passiert arbeiten Politik und Wirtschaft daran, rechtliche und
technische Hindernisse aus dem Weg zu räumen. Zahlungsdienstleister tun gut daran,
sich bereits jetzt Gedanken über die Implementierung zu machen.
Das Internet of Things (IoT) ist auf dem besten Weg, die Welt zu verändern. Ein Blick auf die Zahlen verdeutlicht die Dimensionen: Aktuell sind etwa 27 Milliarden vernetzte Geräte im Einsatz, Experten rechnen bis 2025 mit einer Verdreifachung. Die zu erwartenden Benefitssindvielfältig.Soisteinehöhe-reWertschöpfungdurchpräziseresPro-zesswissen möglich, ebenso genauereLagebilder, Reaktionen in Echtzeit, neue Fähigkeiten von Systemen und vielesmehr. Das Wissen um Vorgänge und Interaktionen verbessert die Entschei-dungsgrundlage für künftiges Handeln, senkt Kosten und erlaubt die Konzeption individuellererProblemlösungen.Auchmüssen Geräte für bestimmte Leistun-gen nicht mehr gekauft, geleast oder gemietetwerden. Stattdessenwird dieNutzung abgerechnet.
IoT braucht autonome Bezahlverfahren
Aber wer bezahlt wie und wann eben die-se Abrechnung? Die Frage ist zu klären, wenndasIoTseineWertschöpfungskraftheben soll. Denn bislang lassen sich Zah-lungen für erbrachte Leistungen zwar automatisiert einfordern, für die Bezah-lung aber muss der Mensch selbst han-deln, indem er die Transaktion autorisiert. Das kostet Zeit, ist fehleranfällig und
bringtsodenGesamtprozessinsStocken.Beispielsweise wäre ein intelligenter Kühlschrank in der Lage festzustellen, dass die Milch aufgebraucht ist. Auch die Nachbestellung würde funktionieren. Aber der Onlinehändler müsste auf die Zahlung solange warten, bis der Kühl-schrankbesitzerdieSummefreigibt.
DieLösung:vollkommenautonomeZah-lungsströme zwischen Geräten, soge-nannteMachine-to-Machine-Payments.
gi Geldinstitute 4 | 2020
Autor: Michael Titsch, Managing Consultant und Experte für Pro-jektmanagement, Payments und Banking
Bei der Implementierung von M2M-Payments sind vielfältige Fragestellungen zu klären, mit deren Beantwortung möglichst bald begonnen werden sollte
4 | 2020 gi Geldinstitute
23STRATEGIE
Nur damit werden alle Vorteile des IoT nutzbar sein. Das Marktpotenzial ist enorm, denn es ist mit bis zu 85 Milliar-den Transaktionen bis 2027 alleine im Euroraum zu rechnen. Diese Dimension zeigt, warum Zahlungsdienstleister sich möglichstbaldaufdenMarktderM2M-Paymentsvorbereitensollten.
Rechtliche Voraussetzungen
Zunächst einmal müssen die rechtlichen Grundlagenvorhandensein.SofehltesMaschinen bisher an einer eigenen Rechtspersönlichkeit,wasRegelungenzuHaftung undAuthentifizierung verhin-dert. Entsprechende Vorschriften sind national und international in Arbeit.
Die zweite Schwierigkeit liegt in derSchaffung rechtsverbindlicherMaschi-nenidentitäten. Schließlich muss jedeHandlung eindeutig einer bestimmten Maschine zuzuschreiben sein. Hier wird vermutlich alles auf die Verwendung digitaler Zertifikate hinauslaufen. Fürderen universelle Gültigkeit bedarf es der Einschaltung neutraler Instanzen, beispielsweise der Bundesdruckerei oderGlobalSign.
Grundlegende Handlungsfelder
SinddieseHerausforderungenzufrieden-stellend bewältigt, steht der Implementie-rungvonM2M-Paymentsansichnichts
mehr im Wege. Da es aber eine ganze Reihe unterschiedlicher praktischer Aspekte gibt, zu denen Standards undHandlungsempfehlungen zu entwickeln sind, sollten Finanzdienstleister mit den Vorarbeiten beginnen.
Die Themenfelder im Einzelnen:
• Sicherheit von Maschinen OffeneSchnittstellen,Datenaustausch
mit Drittanbietern, ein hoher Vernet-zungsgradundvielfacheinfacheSoft-warebietenAngriffsflächenfürCyber-kriminelle. Der potenzielle SchadendurchunbefugtausgelösteM2M-Zah-lungsströme ist enorm.Hier sind vorallem die IoT-Betreiber gefragt, in en-ger Abstimmung mit den Zahlungs-dienstleistern einer möglichen Ver-trauenserosion vorzubeugen.
• Digitales Onboarding DieAnmeldeverfahren zuM2M-Pay-
ments für eine erste Gerätegenerationließensichvielleichtnochmanuellbe-wältigen. Bei einer millionenfachenEtablierung autonomer Maschinen istdem aber nur noch digital und vollauto-matisiert nachzukommen.
• Compliance für Maschinen Hießesbislang„Knowyourcustomer“(KYC),wirdzukünftig„Knowyourob-ject“(KYO)wichtig.Finanzdienstleis-termüssenPrüf-undDokumentations-prozesse hinsichtlich der Vertrauens-
würdigkeit und wirtschaftlichen Zuord-nung einer Maschine entwickeln.
• Identifikation vonMaschinen zahlungen
DieZahlungsverkehrssystememüssenum Felder und Funktionen zur eindeu-tigen Zuordnung einer Maschine erwei-tert werden, etwa deren Autorisierungs-methodeoderdasIdentitätszertifikat.
• Verarbeitung vonRückinformationen
Maschinenmüssen–jenachgenutztemZahlverfahren – auch in der Lage sein,prozessualeund technischeStörungenzu verarbeiten. Das umfasst insbeson-dere Fälle wie
- Dispositionsprüfung mit negativemErgebnis,
- fehlende Zahlungseingangsbestäti-gungen,
- Widerruf von Zahlungen,- technische Unterbrechungen in der
Zahlungskette,- Angriffe auf die Maschine und- Erkennen von Betrugsfällen.
• Komplexes ReportingAufbereitung und Abrechnung von ma-schinellen Nutzungsdaten sowie zusätz-lichen Informationen über die Maschi-nen müssen für unterschiedliche Re-portingskonfiguriertsein.Entsprechendhohen Anforderungen unterliegt dieDatenstruktur.
24 STRATEGIE
Entscheidung für ein Bezahlverfahren
Wichtig ist auch die Wahl des geeigneten Verfahrens für intermaschinelles Bezah-len, gekoppelt mit der Überlegung, über welche Infrastrukturen die Abrechnung beim Kunden erfolgen soll:
•KlassischerZahlungsverkehr–SEPA-Verfahren der Kreditwirtschaft
• Kartengestützter Zahlungsverkehr – Debit- und Kreditkarten
• E-Geld – geschlossene virtuelle Konto-systeme
•DigitalesGeld–UnbackedCoinsbezie-hungsweiseStableCoins
Da für das IoT mit vielen Transaktionen von Kleinstbeträgen zu rechnen ist, dürf-ten Kryptogeld- und E-Geld-Lösungenbesondersattraktivsein.Dennsieeröff-
nendieMöglichkeit,auchDienstleistun-gen von nur geringem Wert – selbst unter einemCent–wirtschaftlichabzurechnen,beispielsweise die Nutzung einer Glüh-birne imSmartHome. Sie sind zudemunabhängig von klassischen Finanz-dienstleistern integrierbar. Allerdings mussKryptogelddieFähigkeitzurEcht-zeitverarbeitung großer Transaktions-mengen noch beweisen.
ZudemstelltsichbeiUnbackedCoinsdieFrage nach dem Umgang mit starken Wertschwankungen. Zur Verwendung der Bezahlverfahren im IoT kommt ins-besondere eine Wallet in Betracht, in der Zugangsdaten für verschiedene Zah-lungsnetzwerke hinterlegt sind. Nutzt eine Maschine die Wallet, so wird die priorisierte Zahlmethode automatisch verwendet oder durch Auswahl ein alter-natives Zahlungsverfahren bestimmt.
Darüber hinaus hat die Finanz industrie mit ihrenBezahlverfahren Instant Pay-mentsundRequest toPaydieBasisfürdie Nutzung im Internet of Things geschaffen.
Folgen für das Geschäftsmodell
Neben diesen eher technischen Angele-genheiten sollten sich Finanzdienstleister darüber klar werden, wie sie am künfti-genMarktfürM2M-Paymentsauftretenwollen. Bleiben sie reine Infrastruktur-anbieter oder entwickeln sie selbst Kun-denlösungen und datenbasierte Ge-schäftsmodelle?FürdiezweiteStrategiespricht die Tatsache, dass die Zahlungs-dienstleister auf einem gewaltigen Daten-schatz sitzen, der durch die Zunahme von IoT-Geräten noch weiter anwachsen dürf-te – mit der Folge, dass sich zusätzliche Geschäftspotenziale beziehungsweise -modelleergeben.SolassensichzumBei-spiel auf Basis detaillierter Verbrauchs-daten an diese angepasste Finanzierungs-modelle entwickeln. Finanzdienstleisterkönnten auchDatenmarktplätze organi-sierenoder als zentraleFX-Plattformenfür digitale Währungen auftreten.
Aber dafür muss es den Anbietern gelin-gen,sich„auf“denMaschinenzuplatzie-ren, um sich diese Daten zu sichern. Zu-mindest aber müssen sie als Aggregator fungieren, der die Nutzungsdaten zu Zahldaten bündelt und diese transferiert. Denn der Wettbewerber, der über die pri-mären Nutzungsdaten verfügt, wird am Endedemjenigenüberlegensein,dernurdie sekundären, sprich abgeleiteten Zahl-daten des Kunden kennt.
Gerade im Hinblick auf eine Rolle als Datenaggregator könnten Zahlungs-dienstleister zudem für das nötigeVer-trauen bei allen Beteiligten sorgen. Denk-bar wäre zum Beispiel die Funktion als eineArtClearing-Stellefürsicheredigi-taleIdentitätenundvalideDaten.Schließ-lichgenießensieeinhohesVertrauenhin-sichtlich Identitätsverwaltung, Daten-schutzundauchIT-Security.EinAspektdabei ist die Tatsache, dass – wie die Bei-spiele von Google, Facebook und Apple zeigen–derjenigePlayerdenHebelfürweiteres Geschäft in der Hand hält, der die digitalen Identitäten kontrolliert.
gi Geldinstitute 4 | 2020
Übersicht über die denkbaren Bezahlverfahren für M2M-Payments
4 | 2020 gi Geldinstitute
25STRATEGIE
Veränderungen in der Kundenstruktur
Auch der Vertrieb der Zahlungsdienst-leister wird sich mit steigender Bedeu-tung von IoT undM2M-Payments neuaufstellen müssen. Denn die Bedeutung vonÖkosystemenwächst,etwabeimau-tonomen oder teilautonomen Fahren. Dann entscheidet nicht mehr der einzelne Wirtschaftsteilnehmer, über welche Be-zahlverfahren erProdukte oderDienst-leistungenabrechnet.StattdessenmusserdieMöglichkeitendesÖkosystemsver-wenden, innerhalb dessen er sich gerade bewegt. Beispielsweise gibt der Flot-tenanbieter vor, wie und womit Kraftstof-fe beziehungsweise Energie für ein Fahr-zeug zu bezahlen sind. Für die Ver-triebsorganisationen bedeutet das einen – teilweisen – Abschied von der Betreuung einzelnerUnternehmenoderPrivatkun-denhinzurBetreuungvonÖkosystemen.
Systemlandschaften an der Belastungsgrenze
BereitsjetztsolltenZahlungsdienstleisterInvestitionen in ihre IT-Infrastruktur planen. Denn: Die Anforderungen von M2M-PaymentsandieLastfähigkeit,dieVerfügbarkeitunddieSkalierbarkeitsind
mitdenhistorischgewachsenenSystem-landschaften der europäischen Finanz-dienstleister nicht auf Dauer zu erfüllen. KünftigmüssenZahlungsverkehrssyste-meundihreUmsystememaschinellevonnicht-maschinellen Zahlungen unter-scheiden können, da diese nach unter-schiedlichenRegelnablaufen.Siemüs-sen das Onboarding von Maschinen auto-matisiert durchführen sowie Identitäten und Zertifizierungen verifizieren. Das bereits beschriebene KYO muss in den Systemenabgebildetundorganisiertsein.Hinzu kommen Rückinformationen aus System- und Prozessstörungen sowie deren Verarbeitung.
Zugleich sind künftig signifikant mehr Transaktionen zu bewältigen, bei paralle-ler Zunahme der Bedeutung von 24/7/365-Betriebsmodellen und Echtzeit-fähigkeit.ZwarkönnenauchimIoTZah-
lungen mit einem zeitlichen Abstand zum Grundgeschäft akzeptabel sein. In vielen Fällen dürfte aber erwartet werden, dass auf den sofortigen Informationsaustausch beziehungsweise die sofortige Leistungs-erbringung oder Nutzung auch eine unmit-telbareZahlungsauslösungdurchdieMa-schinefolgt.HostbasierteLösungenoderDowntimes für das Einspielen neuer Re-leases werden damit immer inakzeptabler.
Die Zeit läuft
Angesichts des Klärungsbedarfs, der Infrastrukturarbeiten und Grundsatz-entscheidungen wird klar, dass die Zeit gegen die Zahlungsdienstleister läuft. Eine prognostizierte Verdreifachung der IoT-Geräteanzahl innerhalb von gerade einmal fünf Jahren ist einklaresSignalzum Aufbruch in die neue Zeit eines InternetofPayments.
Aktuelle StudieDetails und weitere Informationen zu Herausforderungen und Chancen durch M2M-Payments für Zahlungsdienstleister sind in der unlängst erschienenen Stu-die „Internet of Payments“ des Hamburger Beratungs- und Softwarehauses PPI nachzulesen. Diese kann auf der Website von PPI kostenlos angefordert werden: www.ppi.de/studie-iop
Beim Eintritt in den Markt von M2M-Payments müssen Finanzdienstleister eine Grundsatz-entscheidung treffen, deren Richtung von verschiedenen Treibern bestimmt wird
