Career at

News at

Techmonitor

[Translate to Deutsch:]

Pay by browser – Payment Request API als universales Bezahlverfahren?

Key Facts

  • Payment Request API in der W3C als Standard für die sichere Hinterlegung von Nutzungs- und Zahlungsdaten direkt im Browser definiert
  • Erhöhung Convenience durch Reduktion Eingabeaufwand für Käufer im Checkout und Verbesserung der Konversionsrate für Online-Händler
  • Aktuell Unterstützung allein von Kreditkartenzahlung ohne dynamischen Sicherheitsfaktor – geringerer Nutzen aufgrund veränderter Regulatorik im SEPA-Raum ab Januar 2018
  • Durch PSD2 in Verbindung mit FIDO-Standard zukünftig Zahlungsauslösung direkt am Konto in Verbindung mit Payment Request API möglich – Angriff auf Bezahlverfahren wie Klarna oder Amazon Pay und PayPal
  • Lokale Hinterlegung von Bezahldaten im DOM („Supercookies“) des Browsers aus Perspektive von  Datenschutz und Datensicherheit kritisch zu betrachten

REPORT

Abbildung 1: Gegenüberstellung Online-Bezahlverfahren und Payment Request API im Browser

Entwicklungstrends im Onlinehandel

Der Internethandel wächst rapide. Der E-Commerce-Umsatz im B2C-Segment hat sich in Deutschland in den letzten 10 Jahren nahezu verfünffacht. Somit gewinnt auch das Bezahlen im Internet immer mehr an Tragweite. Der Erfolg von Bezahlverfahren wie PayPal ist wesentlich durch deren Benutzerfreundlichkeit begründet. Kunden sind nicht mehr gezwungen, komplizierte IBANs, PANs, TANs, BICs oder Zugangsdaten für das Onlinebanking einzugeben, sondern müssen sich nur noch E-Mail-Adresse/Benutzername und ein selbstgewähltes Passwort merken. Auf mobilen Endgeräten mit einem entsprechen Security Element kann die Eingabe des Passwortes durch ein hinterlegtes biometrisches Merkmal ersetzt werden. Diese Vereinfachung lassen sich Anbieter wie PayPal oder Amazon Pay durch die Händler jedoch sehr gut bezahlen. Kostet den Händler der Zahlungseingang durch eine Überweisung in der Regel nur wenige Cent oder die Abrechnung über die Kundenkreditkarte seit Inkrafttreten der MIF-Verordnung in der Regel nicht mehr als 90 Basispunkte, so schlägt eine PayPal-Transaktion, insbesondere für kleine Händler, mit bis zu 1,9% vom Umsatz und mindestens 35 Cent Fixkosten zu Buche. Händler nehmen diese Kosten dennoch regelmäßig in Kauf, um eine Verbesserung der Konversionsrate zu erzielen und damit möglichst wenige einkaufswillige Kunden im Checkout zu verlieren.

Wenngleich die Bezahlung mit E-Mail-Adresse und Passwort für Kunden eine signifikante Erleichterung darstellt, ist jeder Checkout bei einem erstmals besuchten Online-Shop für Kunden eine Herausforderung:

  • Checkout-Seiten bei Händlern sind wenig standardisiert
  • Die einzelnen Elemente auf den Seiten der Händler sind unterschiedlich angeordnet
  • Die möglichen Bezahlverfahren und daran geknüpfte Bedingungen müssen jedes Mal neu geprüft und mit den eigenen Möglichkeiten abgeglichen werden
  • Versand- und Rechnungsadresse sind separat am Ende des Prozesses in je unterschiedlichen Formaten anzugeben

Payment Request API

Bei mobilen Endgeräten ist die Konversionsrate im Checkout im Allgemeinen in etwa drei Mal so schlecht wie bei stationären Endgeräten. Die Eingabe von zusätzlichen Daten, wie Sie bei erstmals besuchten Shops notwendig ist, führt hierbei im Besonderen zu zahlreichen Kaufabbrüchen. Shops adressieren diese Schwierigkeiten mit jeweils eigenen, mobil optimierten Anwendungen, die Kunden allerdings nur sehr bedingt annehmen. Die Anzahl der Apps, die Kunden auf ihrem mobilen Endgerät installieren, ist generell rückläufig. Kunden tendieren also trotz eigentlich einfacher Bezahlverfahren dazu, sich auf einzelne Webshops und Online-Plattformen zu beschränken und nehmen auf diese Weise eine geringere Vielfalt sowie ggf. schlechtere Konditionen in Kauf. Ein Phänomen, das sich auf Grund des standardisierten Checkouts im stationären Einzelhandel nicht beobachten lässt. Gefragt sind daher technische Lösungen, die systemunabhängig sind und in bereits installierten Anwendungen, wie dem Browser oder aus einem Messenger heraus, funktionieren.

Damit adressiert die Payment Request API direkt die oben beschriebenen Problemstellungen von Online-Händlern und deren Kunden in zwei zentralen Dimensionen:

Senkung der Transaktionskosten

Statt die notwendigen Konto- oder Kreditkartenfunktionen bei einem externen Bezahlverfahren zu hinterlegen, werden die Daten direkt aus dem Browser des Kunden übertragen und können somit ohne Zahlungs-Intermediär direkt vom Händler genutzt oder an dessen Payment Service Provider (PSP) weitergegeben werden. Es entstehen für den Händler nur die üblichen Transaktionsgebühren und keine Zusatzkosten für das Online-Bezahlverfahren.

Universelle Integration

Ganz gleich bei welchem Online-Shop der Kunde einkauft: Der Checkout ist vom Browserhersteller designt und sieht immer gleich aus. Adressdaten und Bezahlverfahren sind einmalig zu hinterlegen und finden dann in unterschiedlichen Shops ohne erneute Anmeldung Verwendung. Nicht hinterlegte Bezahlverfahren werden im Checkout erst gar nicht angezeigt. Statt zusätzliche Apps herunterladen zu müssen, funktioniert die Anwendung im ohnehin installierten Browser universal für sämtliche Webshops, die die API integriert haben.

Limitationen

Bislang findet die Payment Request API kaum Anwendung. Zwar ist die Technologie bereits im aktuellen Chrome Browser (ab Version 61) und Edge (ab Version 15) verfügbar, dort aber in einem Untermenü der Autovervollständigung versteckt. Bisher gibt es erst wenige Händler, die die Erweiterung zum eigenen Checkout einsetzen (darunter aber bereits so bekannte Namen wie Airbnb). Zudem ist die Initiative US-amerikanisch getrieben, wie der Umstand der alleinigen Verfügbarkeit für „basic credit card“ erkennen lässt.

Zahlungen mit der Kreditkartennummer (PAN), dem Kartenablaufdatum und dem Sicherheitscode (CVV/CVC) werden wegen der mangelnden dynamischen Sicherheitskomponente mit der am 13. Januar 2018 in Kraft tretenden Zahlungsdiensterichtlinie PSD2 im SEPA-Raum nicht mehr zulässig sein.

Grundsätzlich unterstützt die API zwar auch die Hinterlegung anderer Daten von Payment-Apps sowie von Kontoinformationen zur Abbuchung von Lastschriften, allerdings wurde ein Standard zur Abbildung der Zahlungsgewohnheiten von deutschen Nutzern in der Payment Request API bisher nicht definiert. Daher dürfte sich die Verbreitung im deutschen Raum zunächst einmal in Grenzen halten.

Potenzial

Wenngleich zum jetzigen Zeitpunkt ein Durchbruch der Payment Request API nicht zu erwarten ist, steckt im grundsätzlichen Aufbau der Lösung enormes Potenzial.

Sollte die am 27. November 2017 veröffentlichte finale Fassung der regulatorisch technischen Standards (RTS) der PSD2 zeitnah durch das Europäische Parlament ratifiziert und damit im Frühjahr 2019 verbindlich werden, könnten mit Hilfe der Payment Request API auch Zahlungen direkt am Kundenkonto ausgelöst werden. Ein Szenario, das Anbieter von Online-Bezahlverfahren wie PayPal oder paydirekt fürchten sollten. Auch und insbesondere in Verbindung mit der Überweisung in Echtzeit (SCTinst, Instant Payments) – wie sie ebenfalls seit dem 27. November 2017 den Kunden der HypoVereinsbank bereits zur Verfügung steht – sind Online-Geschäfte Zug um Zug direkt aus dem Browser heraus möglich, ganz ohne externe Online-Bezahlverfahren, PSPs oder Acquierer integrieren zu müssen. Hierzu bedarf es jedoch weit mehr als nur der Speicherung und Wiederverwendung von Kontozugangsinformationen im Browser.

Abbildung 2: Vorteile beider Methoden für Kunden und Händler

Wie genau der Zugriff auf Konten nach der Akzeptanz der Access to Account (xs2a)-Richtlinien im Rahmen der PSD2 aussehen wird, wird sich zeigen – die Problematik des notwendigen dynamischen Sicherheitsfaktors ließe sich jedoch z. B. durch eine Integration des FIDO-Standards lösen, der sich in der Finanzindustrie mehr und mehr verbreitet. Bei FIDO handelt es sich um ein Protokoll, das die Authentifizierung auf Grundlage eines Security Elements über ein asynchrones Schlüsselpaar ermöglicht. Der zweite Faktor ist somit nicht auf ein spezielles Verfahren wie M-TAN, eine definierte App oder gar eine TAN-Liste festgelegt, sondern kann mit jeder durch die FIDO-Alliance zertifizierten Komponente in jeglichen Geräten erfolgen. Die Bank of America und Barclays beispielsweise setzen diesen Standard etwa beim Login in das Onlinebanking ein. Auch deutsche Banken sollten hier wachsam sein und einen regen Austausch mit der W3C und FIDO-Alliance suchen. Wenngleich die Onlinebanking-Portale durch offene Standards wie diese nicht stärker frequentiert werden würden, ermöglichen sie dennoch, die Rolle der Intermediäre wie Klarna (Sofortüberweisung) oder PayPal zu schwächen, und stärken somit den direkten Zugriff von Kunden auf das Bankkonto.

Kritik

Der publizierte Standard wirft in den Dimensionen Datenschutz und -sicherheit sowie im Hinblick auf die besondere Schutzwürdigkeit von Finanzdaten eine Vielzahl an Fragen auf. Die gegebenenfalls geplante Informationsverdichtung im Browser ermöglicht zahlreiche Optionen, die nach aktueller Lesart nicht ohne Einverständnis des Nutzers erschlossen werden können. Die direkte Integration in den Browser überlässt essenziell sicherheitsrelevante Elemente der Marktentwicklung, z. B. die notwendige Differenzierung nach Use-Cases und LOA-Leveln sowie die Einbettung von Schutzmechanismen. Angriffe auf im Browser gespeicherte Daten und die dafür genutzten Software-Lücken gehören zum Standardrepertoire von Cyberattacken. Die Fähigkeit der Browser-Provider, schnell mit Software-Patches zu reagieren, bewahrt nicht vor der Sicherheitslücke Nutzer, der Browser-Aktualisierungen nicht installiert oder den Zugriff auf das eigene Endgerät nicht ausreichend schützt. Somit scheint fraglich, ob die Daten der Nutzer lokal beim Nutzer selbst wirklich sicherer aufgehoben sind als bei einem Online-Service. Zudem scheint offen, inwieweit das Vorgehen, Zugangsdaten abzulegen und zu nutzen, gegen heute im Markt geltende AGBs europäischer Kreditinstitute verstößt. Entsprechende Urteile im Rahmen von Sofortüberweisung sind hinlänglich bekannt.

Mitentscheidend über Erfolg respektive Misserfolg von Initiativen wie der Payment Request API oder der FIDO-Alliance ist nicht zuletzt die Beteiligung der Kreditinstitute, die in den offenen Standards ihre Chance erkennen und nutzen sollten.

Weitere Informationen und Analysen zu Technologie-getriebener Transformation von digitalen Geschäftsmodellen, Bezahlverfahren, Identifikation und Datenmanagement sind in unserem White Paper „The Empire Strikes Back“ verfügbar.