Leseprobe
Inhaltsverzeichnis
Abkürzungsverzeichnis
1 Einleitung
1.1 Relevanz
1.2 Fragestellung und Zielsetzung
1.3 Aufbau der Arbeit
2 Grundlagen
2.1 Mobile Payment
2.2 Biometrie und Sicherheit
2.3 Biometric Payment
2.4 Rechtliche Betrachtung Biometric Payment (PSD2)
3 Praxisbeispiele für Biometric Payment und Systementwurf
3.1 Fingerprint Payment digiPROOF
3.2 Handflächenbezahlung Amazon One
3.3 Alipay mit Gesichtserkennung
3.4 Biometric Payment System
4 Einsatzpotentiale von Biometric Payment und Vergleich mit Mobile Payment
4.1 Chancen von Biometric Payment
4.2 Herausforderungen von Biometric Payment
4.3 Vergleich Biometric und Mobile Payment im stationären Handel
5 Fazit
Literaturverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung
1.1 Relevanz
Unterstützt durch die aktuelle COVID-19-Pandemie hat das kontaktlose Bezahlen, auch aus Sorge vor Ansteckung, im stationären Handel im letzten Jahr stark an Zuspruch gewonnen1. Einer im Mai und Juni 2020 in Deutschland unter 1.800 Personen über 18 Jahren durchgeführten Befragung zufolge haben 75 % der Befragten schon kontaktlos bezahlt, im Jahr zuvor waren es nur 55 %2. Zudem nimmt die Bedeutung von elektronischen Zahlungsmitteln der Studie zufolge zu. So nannten nur noch 32 % der Befragten Bargeld als bevorzugtes Zahlungsmittel3. Es gibt also aktuell einen Wandel im Bezahlverhalten der Menschen. Keine messbare Rolle in diesem Wandel nimmt bisher Biometric Payment ein. So ließen sich zur Verbreitung von Biometric Payment im stationären Handel in Deutschland keine Daten finden, daher ist davon auszugehen, dass Biometric Payment aktuell keinen relevanten Anteil hat. Allenfalls einzelne Händler verwenden individuelle biometrische Zahlungsmethoden, sodass Biometric Payment aktuell keine Relevanz in Europa besitzt.
Dabei ist es mit Biometric Payment möglich, allein mit biometrischen Identifikationsmerkmalen wie dem Fingerabdruck oder der Handfläche, und damit ohne weitere Zahlungsmittel wie Girokarten, zu bezahlen. Damit ist diese Bezahlungsmethode komfortabel und bequem, da das Zahlungsmittel immer mit sich geführt wird. Zudem kann es sicherer und schneller als Bargeld oder Girokarten sein. Aufgrund dieser potenziellen Vorteile und auch, weil Biometric Payment bisher kaum erforscht wurde, ist die wissenschaftliche Auseinandersetzung mit diesem Thema relevant.
1.2 Fragestellung und Zielsetzung
Ziel der Arbeit ist es, die in der deutsch- und englischsprachigen Literatur bisher nur wenig erforschte Zahlungsmethode Biometric Payment zu untersuchen. Die zu beantwortende Fragestellung lautet: Ist Biometric Payment eine aussichtsreiche Alternative zum aktuellen Trend Mobile Payment im stationären Handel? Es gibt einige Vorteile von Biometric Payment, von denen einige im ersten Absatz bereits erwähnt wurden, dennoch hat sich die Technologie bisher in Europa nicht durchgesetzt. Die Gründe dafür hängen mit den Herausforderungen von Biometric Payment zusammen, die in dieser Arbeit erläutert werden. Daher ist es außerdem Ziel dieser Arbeit, eine Aussage über die Zukunftsaussichten dieser Technologie zu treffen. Dabei soll nicht die Biometrie als Au- thentifizierungsmöglichkeit für eine Zahlungsart wie Kreditkartenzahlungen untersucht werden4. Stattdessen soll die Biometrie als alleiniges Zahlungsmittel betrachtet werden.
Es ist zudem nicht Ziel dieser Arbeit, die Potentiale von unbaren Zahlungsmethoden gegenüber der Barzahlung zu beleuchten. Stattdessen sollen die Chancen und Risiken von Biometric Payment mit denen der ebenfalls unbaren Zahlungsmethode Mobile Payment verglichen werden. Denn die Barriere von der anonymen Bargeldzahlung auf eine Bezahltechnik mit körpereigenen biometrischen Merkmalen umzusteigen ist deutlich höher, als die beim Umstieg von Mobile auf eben dieses Biometric Payment. So lassen sich die Hauptgründe der Barzahlung, wie die Nicht-Zurückverfolgbarkeit, die sofortige Bezahlung durch physische Übergabe und der gesetzlichen Annahmezwang5, durch unbare Bezahltechnologien kaum erfüllen.
1.3 Aufbau der Arbeit
Um die Einsatzpotentiale von Biometric und Mobile Payment im stationären Handel miteinander vergleichen zu können, werden im Grundlagenteil zunächst die beiden Bezahlformen erläutert. Dazu wird ihre Verbreitung in Deutschland untersucht und zum Verständnis der Chancen und Risiken von Biometric Payment benötigte Grundlagen wie die Biometrie vermittelt und eine kurze rechtliche Betrachtung unter Einbezug der Zahlungsdienstleisterrichtlinie PSD II vorgenommen. Anschließend werden aktuelle und historische Praxisbeispiele für den Einsatz von Biometric Payment in den unterschiedlichen geographischen Regionen Deutschland, USA und China zusammengestellt und ein mögliches Biometric Payment System konzipiert, um diese Zahlungsmethode greifbarer zu machen. Zudem basiert jedes dieser Beispiele auf einem anderen biometrischen Merkmal. Darauf aufbauend werden die Chancen und Herausforderungen von Biometric Payment diskutiert und ein Vergleich mit Mobile Payment gezogen. Abschließend wird auf Grundlage des Vergleichs die dieser Arbeit zugrunde liegende Forschungsfrage im Fazit beantwortet.
2 Grundlagen
2.1 Mobile Payment
Es existieren unterschiedliche Definitionsansätze von Mobile Payment (MP). Schon Kornmeier hat in seiner heute veralteten Zusammenstellung 17 verschiedene Verständnisweisen aus der Literatur unterschieden6. Es ist davon auszugehen, dass sich durch neue technologische Möglichkeiten in den letzten zwölf Jahren weitere Ansätze herausgebildet haben. Daher ist es notwendig, das dieser Arbeit zugrunde liegende Verständnis von MP zu erläutern. Zunächst ist eine Unterscheidung in der Betrachtung der räumlichen Distanz zwischen dem Standort des Bezahlvorgangs und dem Leistungsort in Proximity (räumliche Nähe) und Remote (räumliche Ferne) vorzunehmen7. Diese räumliche Nähe der Bezahlung ist im stationären Handel, bei Automaten, oder bei beweglichen Orten wie beispielsweise Trödelmärkten gegeben.
Hierl und Ginner definieren MP jeweils als elektronische, monetäre Transaktion zur Bezahlung von Waren oder Dienstleistungen durch einen Konsumenten im stationären Handel unter Verwendung eines mobilen Endgerätes8,9. Beide sehen also die Proximity als Bedingung für MP an. Im Gegensatz dazu beziehen Jelassi und Martinez-Lopez remote Bezahlvorgänge unter Nutzung eines Smartphones in ihre Definition für MP ein. So definieren sie MP sehr weitgefasst als Zahlungsvorgänge durch mobile Geräte und nennen als Beispiel auch den Geldtransfer zwischen Freunden10. Dieser Arbeit, die sich mit Zahlungsmethoden im stationären Handel beschäftigt, soll das zuerst vorgestellte Verständnis von MP, das eine physische Anwesenheit des Käufers am Transaktionsort fordert, zugrunde liegen. Einkäufe bei Versandhändlern im Internet über das Smartphone fallen daher nicht unter diese Definition. Zwar wird die Zahlung über das Mobilgerät freigegeben, allerdings ist die räumliche Nähe zwischen Verkäufer und Käufer nicht gegeben. In der Praxis für MP relevante Geräte sind damit Smartphones und Smartwat- ches. Geräte wie Tablets können zwar theoretisch auch unter Nutzung des NFC-Stan- dards zum Bezahlen verwendet werden, sind allerdings zu unhandlich.
Die regelmäßige Nutzung von MP hat im letzten Jahr stark zugenommen. So gaben in einer Studie von Forsa, die im Auftrag von Visa durchgeführt wurde, in 2019 6 % der 1.800 befragten Personen in Deutschland an, dass sie MP verwenden11. Seitdem erleichterten viele Banken die Verwendung von MP Lösungen, indem sie beispielsweise eine Nutzung ohne Kreditkarte ermöglichten. So sollen im Dezember 2020 bereits 1,5 Mio. Sparkassen-Kunden, die seit August 2020 bestehende Möglichkeit genutzt haben, ihre Girocards mit Apple Pay zu verknüpfen12. Das hat zu einem großen Wachstum der MP Nutzung geführt. So gaben 39 % der 1.002 befragten Personen in einer Befragung von Bitkom Research an, dass sie im Zeitraum von September bis November 2020 mindestens vereinzelt mit einem Smartphone oder einer Smartwatch an der Kasse bezahlt haben13.
2.2 Biometrie und Sicherheit
Unter dem Begriff Biometrie, der sich aus den altgriechischen Wörtern bios für Leben und metron für Maß zusammensetzt, wird die Wissenschaft der Körpermessung an Lebewesen verstanden14. Damit fällt das Wissen um körpereigene Merkmal von Menschen unter den Begriff der Biometrie. Durch quantitative Vermessung dieser Merkmale kann ein Mensch eindeutig identifiziert und von anderen Menschen unterschieden werden. Biometrische Merkmale werden in aktive und passive Merkmale unterschieden. Aktive biometrische Merkmale ergeben sich aus dem Verhalten einer Person. Beispiele für solche aktiven Merkmale sind die Unterschriftendynamik, die Lippenbewegung beim Sprechen und das Gangzyklusmuster15. Zu den passiven, nicht verhaltensbezogenen Merkmalen, die für Biometric Payment relevant sind, zählen die Handfläche, die Iris, die Retina, die DNA und der Fingerabdruck16.
Nicht jedes körpereigne Merkmal eignet sich zur Identifikation und Authentifizierung von Personen. So sind Körpergröße und Herzmuskelgröße zwar Teil des Körpers, allerdings sind sie weder beständig, noch lassen sich Personen anhand ihrer unterscheiden. Die grundsätzlichen Voraussetzungen, die ein Merkmal erfüllen muss, um biometrisch zu sein, sind schon seit Jahrzehnten definiert, beispielsweise von Clarke. Diese sind u.a. Universalität, also jede Person muss dieses Merkmal besitzen, Einzigartigkeit, Per- manenz, also die Unveränderlichkeit des Merkmals über die Zeit und quantitative Erfass- barkeit17. Die Biometrie kann nicht vergessen, verliehen oder gestohlen werden, da sie ein Teil des Körpers ist. Aus diesen Gründen ist die Biometrie sicherer als alle anderen Authentifizierungsmöglichkeiten, die entweder auf Wissen, also beispielsweise ein Passwort, oder auf Besitz, also z.B. eine Kreditkarte oder ein Token, aufbauen18. Theoretisch ist die Fälschung von Biometrischen Merkmalen durch Betrüger jedoch möglich. Die verschiedenen Merkmale sind jeweils unterschiedlich sicher. So ist zum Beispiel die Iriserkennung sicherer als die Gesichtserkennung, auch wenn eine hinreichende Sicherheit bei beiden Verfahren gegeben ist19. Zusätzlich ist zu bedenken, dass vielen Manipulationsversuchen durch sogenannte Lebendtests entgegengewirkt werden kann.
2.3 Biometric Payment
Bisher existiert keine allgemeingültige Definition von Biometric Payment (BP), da dieses bisher nur wenig in der deutsch- und englischsprachigen Literatur untersucht wurde. Wörtlich aus dem Englischen übersetzt bedeutet BP biometrisches Bezahlen. Priya definiert BP als eine auf Biometrie basierte Methode zur Autorisierung von Zahlungen. So beschreibt sie BP als eine Möglichkeit zur Autorisierung von Zahlungen im stationären Handel, die zur Verifizierung der Identität einzigartige physikalische Merkmale wie Fingerabdrücke vermisst und analysiert20. Damit grenzt Priya ihr Verständnis von BP von einigen Wissenschaftlern ab, welche die Verwendung von biometrischen Merkmalen als Authentifizierungsmethode von beispielsweise Kreditkarten ebenfalls als BP bezeichnen. So bezeichnet beispielsweise Nasonov die alleinige Zahlungsauthentifizierung über die Biometrie als „biometric-only authentication“21 im BP. In dieser Arbeit soll unter BP eine Zahlungsmethode am Point of Sale im stationären Handel verstanden werden, die biometrische Authentifizierung zur Identifizierung des Kunden und Autorisierung der Zahlung von einem Bankkonto verwendet.
Aufgrund der kartenlosen Technologie und der Verwendung der Biometrie kann das Au- torisierungsmittel nicht gestohlen oder vergessen werden. Als Autorisierungsmerkmal kommen dabei alle die in Kapitel 2.2 vorgestellten Bedingungen erfüllenden biometrischen Merkmale in Frage. Dies sind im Einzelnen das Gesicht, der Fingerabdruck, die Handfläche, die Iris und die Retina. Zusätzlich nennen einige Experten die Unterschriftenprüfung und Stimmauthentifizierung, die sich jedoch aufgrund von Nachahmmöglichkeiten und möglicherweise vorhandenen Hintergrundgeräuschen nur eingeschränkt eignen22. Mit diesen Merkmalen ist im Hintergrund ein Bankkonto verknüpft. Je nach Sicherheitsbedürfnis und rechtlicher Lage kann eine PIN-Validierung nach der Authentifi- zierung über das biometrische Merkmal verlangt werden23.
Der Prozess der Authentifizierung mit einem biometrischen Merkmal lässt sich in verschiedene Phasen aufteilen. Beispielhaft wird ein solcher Zyklus folgend anhand der Fingerabdruckerkennung dargestellt. Zunächst wird eine digitale Darstellung des Fingerabdrucks durch einen Scanner erzeugt24. Im nächsten Schritt wird der Fingerabdruck verarbeitet, damit es im dritten Schritt leichter wird, die einzigartigen Merkmale des Fingerabdrucks zu extrahieren25. Diese werden als Merkmalsvektoren erzeugt. Zum Abschluss erfolgt in der Matching-Phase der Vergleich und die Zuordnung der extrahierten Vektoren zu den Gespeicherten. Bei erfolgreichem Matching kann der Fingerabdruck einer Person zugeordnet werden.
2.4 Rechtliche Betrachtung Biometric Payment (PSD2)
BP zur Autorisierung von größeren Summen mit ausnahmslos nur einem Faktor ist im europäischen Wirtschaftsraum (EWR) nicht zugelassen. Der aktuellen Fassung der Zahlungsdiensterichtlinie (PSD2) zufolge muss u.a. für die Auslösung jedes elektronische Zahlungsvorgangs ab eines gewissen Volumens eine sogenannte starken Kun- denauthentifizierung oder Zweifaktor-Authentifizierung verlangt werden26. Dabei müssen mindestens zwei Elemente aus den Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist) zur Authentifizierung herangezogen werden27. Beispiele für die Kategorie Wissen sind ein Passwort oder PIN-Code, die Besitzanforderung lassen sich beispielsweise durch eine Giro- oder Kreditkarte oder ein Smartphone erfüllen und die Kategorie Inhärenz durch biometrische Merkmale. Um diese starke Kundenauthentifizierung mit BP erfüllen zu können, muss also neben dem biometrischen Merkmal aus der Kategorie Inhärenz ein weiterer Faktor aus den Bereichen Wissen oder Besitz herangezogen werden. Praktikabel ist hier ein PIN-Code, wie er zur Authentifizierung von Kartenzahlungen heute verwendet wird. Bei Beträgen bis 50 Euro ist eine Ausnahme von der starken Kun- denauthentifizierung möglich. So können kontaktlose elektronische Zahlungsvorgänge bis zu 50 Euro bis zu fünf Mal in Folge ohne starke Kundenauthentifizierung ausgelöst werden28. Bei BP ist also im EWR die komfortable Zahlung mit alleiniger Autorisierung durch das biometrische Merkmale in vielen Fällen bis zu einem Zahlungsvolumen von 50 Euro möglich.
[...]
1 Die formale Gestaltung dieser Arbeit orientiert sich an den Vorgaben des Leitfadens zur formalen Gestaltung wissenschaftlicher Arbeiten (Stand WS 2020) des Hochschulbereichs IT-Management.
2 Vgl. Visa (2020), S. 2
3 Vgl. Visa (2020), S. 1
4 Siehe dazu z.B. Mastercard (2020), S. 1
5 Vgl. Letzgus (2017), S. 68
6 Siehe dazu Kornmeier (2009), S. 20
7 Vgl. Hierl (2017b), S. 82
8 Vgl. Hierl (2017b), S. 83
9 Vgl. Ginner (2018), S. 69f.
10 Vgl. Jelassi, Martinez-Lopez (2020), S. 385
11 Vgl. Visa (2020), S. 2
12 Vgl. Heuzeroth (2020), S. 1
13 Vgl. Bitkom (2021), S. 1
14 Vgl. Labbude (2017), S. 27
15 Vgl. Pohlmann (2019), S. 182
16 Vgl. Pohlmann (2019), S. 182
17 Vgl. Clarke (1994), S. 21
18 Vgl. Priya (2017), S 114
19 Vgl. Pohlmann (2019), S. 186
20 Vgl. Priya (2017), S 117
21 Nasonov (2017), S. 6
22 Vgl. Gupta, Sharma, Jangir (2019), S. 2
23 Vgl. Garg, Garg (2015), S. 111
24 Vgl. Priya (2017), S 115
25 Vgl. Gupta, Sharma, Jangir (2019), S. 2
26 Vgl. Europäisches Parlament und Rat (2015), L 337/106
27 Vgl. Europäisches Parlament und Rat (2015), L 337/59
28 Vgl. Europäische Kommission (2018), L69/32