Zentralen
Kreditausschuss (ZKA) arbeiten die Spitzenverbände
des deutschen Kreditgewerbes bei wichtigen Themen zusammen.Die "ec-Karte mit Chip" (so die offizielle Bezeichnung
der Chipkarte mit GeldKarten-Applikation) wurde 1996
eingeführt, um Bezahlvorgänge kleiner Beträge
schnell und unkompliziert auf elektronischem Wege
durchzuführen, und zwar kostengünstig ohne
Online-Verifikation. Ziel war aber von Anfang an, die Karte nicht
nur zum Bezahlen zu verwenden, sondern ihre
Einsatzmöglichkeiten auf weitere Funktionen, so genannte
Zusatzanwendungen, auszudehnen. Entgegen dem allgemeinen
Sprachgebrauch ist die GeldKarten-Funktion kein Synonym für
das verwendete Chipkartensystem, sondern nur eine Applikation, die
auf dem vom ZKA spezifizierten Betriebssystem aufbaut. Im
Zentralen
Kreditausschuss (ZKA) arbeiten die Spitzenverbände
des deutschen Kreditgewerbes bei wichtigen Themen zusammen.
Die neuen GeldKarten-Systeme sind mit den luxemburgischen und
französischen Schwestern interoperabel.
Der Schritt von der Version 3.x zur aktuellen Version 4.1 geht erheblich weiter als die bislang seit Einführung der GeldKarte durchgeführten Updates der ZKA-Spezifikation. Man spricht bei der neuen Chipkartengeneration daher auch von "Typ 1"-Karten, um diese von den vorhergehenden Versionen abzugrenzen, die allesamt als Typ 0 bezeichnet werden.
Ließen sich alle bisherigen Updates noch durch
Modifikationen des bestehenden Betriebssystems (der so genannten
Maske) umsetzen, so waren die Änderungen diesmal so
gravierend, dass man bei der Entwicklung konzeptionell von vorne
beginnen musste. Nicht zuletzt deshalb haben sich frühere
Masken-Entwickler wie IBM und Siemens-Nixdorf zurückgezogen
und das Feld den drei Chipkarten-Spezialisten
Gemplus,
Giesecke & Devrient und
Orga
Kartensysteme überlassen. Der ZKA hat
bereits die neuen Produkte von Gemplus und Giesecke & Devrient
zertifiziert; beide Hersteller bieten ihr Betriebssystem auf
speziellen Sicherheits-Chips von Philips und Infineon an.
Mit der als "neues Betriebssystem" bezeichneten Plattform Version 4.1 erhöht sich die Anzahl der Kommandos von bisher 14 auf 21. Es wurden jedoch auch Funktionen überarbeitet und erweitert, zum Beispiel das "Recovery", das sicherstellt, dass bei Störungen während einer Transaktion keine Daten verlorengehen – vor allem auch dann nicht, wenn während der Wiederherstellung des Urzustandes erneut eine Störung auftritt. Im Wesentlichen verursacht übrigens ein vorzeitiges Herausziehen der Karte an nicht gesicherten Terminals solche Störungen. Zudem wurde das Sicherheitskonzept überarbeitet, um die GeldKarte mit anderen elektronischen Börsen kompatibel zu machen.
Damit ab 2002 alle Transaktionen in Euro ablaufen können, müssen bereits die heute ausgegebenen und über den 31. Dezember 2001 hinaus gültigen "ec-Karten mit Chip" intern mit der neuen Währung arbeiten. Dennoch lag die eigentliche Herausforderung in der technischen Kompatibilität mit anderen europäischen Geldbörsen. Bereits vor der Einführung der aktuellen Version existierten in Luxemburg die mit der GeldKarte praktisch identische elektronische Geldbörse "miniCash" und in Frankreich die auf der GeldKarte basierende "moneo".
Ein erster Schritt ist die Einführung der "Purse Application for Cross Border Use in Euro" (PACE). Die Systembetreiber Cetrel (miniCash, Luxemburg), Cartes Bancaires (moneo, Frankreich) und der ZKA (GeldKarte, Deutschland) haben sich zusammengetan, um sicherzustellen, dass die Systeme der Partner ab 2001 alle Karten akzeptieren. Die Tatsache, dass die französischen und luxemburgischen Systeme auf der GeldKarte aufbauen, erleichtert dabei die Implementierung.
Eine Kompatibilität zu anderen als den genannten Geldbörsen ist jedoch weitaus komplexer und kann mit der aktuellen Betriebssystem-Variante nicht erreicht werden. Deshalb arbeiten die Chipkartenunternehmen mit eigener Entwicklungsabteilung bereits an der nächsten Fassung, dem so genannten "erweiterten" Betriebssystem, das auch als SECCOS 5.0 bezeichnet wird.
Vor allem soll das nächste Betriebssystem eine asymmetrische Verschlüsselung und damit digitale Signaturen unterstützen. Basieren bisher noch alle kryptographischen GeldKarten-Algorithmen auf DES beziehungsweise Triple-DES, so will man künftig auf das RSA-Verfahren zurückgreifen, das auch in E-Mail-Verschlüsselungs-Programmen wie etwa Pretty Good Privacy (PGP) zum Einsatz kommt.
Eine Signatur-Anwendung in der ec-Chipkarte wird wohl trotz anhaltender Diskussionen letztendlich dem deutschen Signatur-Gesetz (SigG) entsprechen müssen und somit nach heutigem Stand eine Evaluierung nach ITSEC E4 hoch erfordern. Hier spielt auch die Schlüsselgenerierung eine wesentliche Rolle: SigG-konforme Schlüssel müssen in einer gesicherten Umgebung erstellt werden. Hier bietet sich der Chip selbst an und wird daher vermutlich nicht nur zur Speicherung der RSA-Schlüssel, sondern auch zu deren Generierung dienen. An Konzepten zur Verwaltung der Vielzahl an "GeldKarten-Schlüsseln" wird bereits gearbeitet.
Der RSA-Algorithmus ist auch für den internationalen
Gebrauch der Karte wichtig: Die im vergangenen Jahr verabschiedeten
Common Electronic Purse Specifications (CEPS)
definieren die Schnittstellen für ein weltweites
Geldbörsen-System und fordern RSA.
Da ein Nutzer der Geldbörse nicht mehrere Guthaben unterschiedlicher Börsen-Systeme auf seiner Karte haben sollte, sieht CEPS ein einziges Guthaben vor, auf das man über unterschiedliche Schnittstellen zugreifen kann. So würde die GeldKarte in Deutschland über die GeldKarten-Schnittstelle geladen, eine Transaktion etwa in Paris oder Rom jedoch über die CEPS-Schnittstelle abgebucht. Der GSM-Standard für Mobiltelefone hat deutlich gezeigt, dass eine solche Standardisierung zu einer weltweiten Akzeptanz führen kann und eine essenzielle Voraussetzung für internationalen Erfolg darstellt.
Eine weitere Herausforderung der nächsten und folgender Betriebssystem-Generationen liegt in der "Qualifizierung". Das ZKA qualifiziert jeweils die Kombination von einem Chip und einem für diesen Chip entwickelten Betriebssystem. Die im deutschen Bankenmarkt primär verwendeten Halbleiter von Philips und Infineon dürften jedoch in Zukunft nach den international an Einfluss gewinnenden Common Criteria evaluiert werden, anstatt nach dem vom deutschen SigG geforderten ITSEC. Eine Ausweitung des SigG auf Common Criteria sollte daher (nicht nur aufgrund der GeldKarten-Thematik) in Erwägung gezogen werden.
Der Erfolg einer elektronischen Börse steht und fällt mit der Akzeptanz durch die Karteninhaber. Die GeldKarte ist bereits jetzt eine der erfolgreichsten Börsen. Laut S-Card Service GmbH wuchs die Anzahl der Bezahl-Transaktionen im Jahre 1999 (bei einem gleichzeitigen Rückgang des Umsatzes) im Vergleich zum Vorjahr um 74 % auf 21 Millionen Vorgänge. Als Hauptgrund nennt S-Card Service den Einsatz der GeldKarte an Fahrscheinautomaten und Parkhäusern.
So setzt die Bremer Straßenbahn AG (BSAG) die GeldKarte als elektronisches Ticket ein. Ein ermäßigtes mit der GeldKarte bezahltes Ticket wird nicht ausgedruckt, sondern elektronisch auf dem Chip hinterlegt. Bei einer Fahrausweiskontrolle wird die Karte ausgelesen und auf ein gültiges Ticket hin überprüft. In Bremen ist die GeldKarte übrigens auch als kontoungebundene "White Card" erhältlich.
Ein weiteres Beispiel findet man in Frankfurt. Hier wurden zahlreiche Parkhäuser sowohl an den Ein- und Ausfahrten als auch an den Bezahlautomaten mit Chipkarten-Lesern ausgestattet. Neben der Bezahlfunktion gibt es die Möglichkeit, mit seiner GeldKarte bei der Einfahrt "einzuchecken" und dadurch in den Genuss eines günstigeren Parktickets zu gelangen. Bei der Ausfahrt checkt der Führer des Fahrzeugs wieder aus und der zu zahlende Betrag wird von der GeldKarte abgebucht. Interessanterweise darf der Preis bei der check-in/check-out-Variante von dem Betrag abweichen, der an einem Bezahlautomaten zu zahlen ist.
Einige Sparkassen bieten ihren Kunden bereits eine GeldKarte an, deren Chip über eine HBCI-Funktion (Home Banking Computer Interface) verfügt und somit anstatt der herkömmlichen TAN (Transaktions-Nummer) durch digitale Signaturen für die Sicherheit im Online-Banking sorgt.
Mit der Einführung des Euro dürften zahlreiche weitere Automaten um die Bezahlmöglichkeit mit der GeldKarte erweitert werden. Da 30 % aller in Deutschland verkauften Zigaretten über Automaten ausgegeben werden, gibt es beispielsweise Pilotprojekte, welche die Eignung der GeldKarte als Zahlungsmittel an Zigarettenautomaten prüfen. Hier kommen besondere Anforderungen zum Beispiel aufgrund von Witterungseinflüssen zum Tragen.
Neben der steigenden Akzeptanz im Zahlungsverkehr an Automaten tragen auch neue Zusatzanwendungen auf dem Chip zum Erfolg bei: Die technischen Voraussetzungen hierfür wurden durch die vorliegenden und zum Teil bereits realisierten ZKA-Spezifikationen geschaffen. Diese Aktivitäten benötigen jedoch eine aktive Vermarktung, für die standardisierte Zusatzanwendungen eine wichtige Grundlage darstellen können.
Die Anwendung eines bundesweit akzeptierten elektronischen Tickets wäre ein Beispiel hierfür. Dabei wäre auch die Erweiterung um eine kontaktlose Schnittstelle denkbar, wodurch Automaten Tickets "im Vorbeigehen" mit Hilfe eines Induktionsfeldes auf dem Chip hinterlegen beziehungweise auslesen könnten: Der Benutzer müsste dann die Karte nur über eine "Lesefläche" ziehen, statt sie in ein Terminal einzuführen. Die Technologien für GeldKarten-Transaktionen einerseits und kontaktlose Chipkarten (Transponder) andererseits bewähren sich seit Jahren; man müsste sie "nur" zusammenführen.
Der Einsatz der GeldKarte als HBCI-Karte mit RSA-Key anstatt der bisher verwendeten DES/Triple-DES-Schlüssel könnte zudem die Basis für die Nutzung der Karte am PC des Karteninhabers verbreitern. Sicher wären viele Homebanking-Anwender bereit, sich von dem bisherigen PIN/TAN-Verfahren zugunsten eines sicheren Chipkarten-basierten Verfahrens zu trennen.
In Bremen zeigt das Projekt media@komm, wie durch Einsatz einer Chipkarte Behördengänge überflüssig werden und die Bürger die jeweiligen Vorfälle vom heimischen PC aus anstoßen können. Die zum Beispiel für An- und Ummeldungen erforderliche Rechtssicherheit wird durch eine digitale Signatur erreicht, für die derzeit eine eigene Chipkarte erforderlich ist. Hier gibt es Überlegungen, diese Funktionen mit dem erweiterten Betriebssystem der GeldKarte darzustellen, das die erforderlichen Voraussetzungen bieten wird. Den Wohnsitz könnte man dann beispielsweise online ummelden und mit nur einer (ec-)Chipkarte diese Änderung zunächst signieren und anschließend bezahlen.
Für das Bezahlen mit der GeldKarte im Internet ist ein
so genannter Klasse-3-Leser mit eigener Tastatur und Display
vorgeschrieben.
Das Beispiel der Bremer Stadtbahn AG hat gezeigt, dass diejenigen Karteninhaber, denen eine Zusatzanwendung zur Verfügung steht, auch sonst einen größeren Teil ihrer Zahlungen mit dieser Karte durchführen. Ein weiterer Aspekt könnten Internet-Geldkarten-Zahlungen im E-Commerce werden: Im November sind die ersten ZKA-Zulassungen für die erforderlichen Klasse-3-Leser sowie Transaktionssysteme ergangen. Die GeldKarte dürfte alles in allem durch die aufgezeigten Möglichkeiten weiter an Bedeutung gewinnen und zu einem üblichen Zahlungsmittel auch für diejenigen werden, die sie heute zwar bei sich haben, aber noch nicht nutzen.
Anton Greiersen ist Senior Account Manager Payment & Loyalty Germany bei der Gemplus GmbH, Ismaning.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 36
