Apple Pay, Banken, Kreditkarten - Smalltalk und Spekulationen

[Verlon]

Relevant ist lediglich eine marktbeherrschende Position. Dass Apple der einzige Anbieter eines OS für iPhones ist, spielt keine Rolle.

Der Marktanteil von Apple Pay liegt nach einer Erhebung von Bailey bei 90%, daraus folgt, dass mind. 90% aller mobilen Zahlungen mit iOS Geräten erfolgen, somit kann man durchaus argumentieren, dass Apple in diesem Segment eine marktbeherrschende Stellung inne hat und diese missbraucht, um Wettbewerb bei mobilen Zahlen zu verhindern.
https://www.heise.de/mac-and-i/meld...rozent-bei-Mobilgeraetezahlungen-3870905.html

Apple hindert doch keine Bank daran, ihre Plattform aufzunehmen.

Es geht darum, dass Apple eben nicht nur den Service anbietet, sondern eben auch mit dem OS auch die Kontrolle über die Infrastruktur (NFC) besitzt. Und sie nutzen die Macht bei der Infrastruktur aus, um Wettbewerb zu verhindern.

 

[bzzzer]

Apple-Pay-Boykott? Razzien bei Schweizer Großbanken https://www.ifun.de/apple-pay-boykott-razzien-bei-schweizer-grossbanken-129853/

 

[seventh]

Apple-Pay-Boykott? Razzien bei Schweizer Großbanken https://www.ifun.de/apple-pay-boykott-razzien-bei-schweizer-grossbanken-129853/

Eindeutig Fake News

 

[Misto]

Der Marktanteil von Apple Pay liegt nach einer Erhebung von Bailey bei 90%, daraus folgt, dass mind. 90% aller mobilen Zahlungen mit iOS Geräten erfolgen, somit kann man durchaus argumentieren, dass Apple in diesem Segment eine marktbeherrschende Stellung inne hat und diese missbraucht, um Wettbewerb bei mobilen Zahlen zu verhindern.
https://www.heise.de/mac-and-i/meld...rozent-bei-Mobilgeraetezahlungen-3870905.html


Es geht darum, dass Apple eben nicht nur den Service anbietet, sondern eben auch mit dem OS auch die Kontrolle über die Infrastruktur (NFC) besitzt. Und sie nutzen die Macht bei der Infrastruktur aus, um Wettbewerb zu verhindern.

Und die Sparkasse macht das umgekehrt nicht? Die sagt: nimm unsere App oder lass es bleiben. Deine App wollen wir nicht. Die Sparkasse wird eben nicht ausgegrenzt, sondern grenzt sich selber aus. Und damit ihre Kunden.

Das nennt man Geschäfte machen. Ganz normaler Vorgang. Millionenenfach am Tag durchgeführt in der ganzen Welt.

Sah bspw. das australische Kartellamt übrigens auch so. Dort sind die australischen Banken mit der Klage gescheitert. Auch, weil Apple durchaus nachvollziehbare Gründe dafür vorgebracht hat, niemand auf ihren Sicherheitschip zugreifen zu lassen.

Bei Android ist das System ja anders, da gibt es keinen Sicherheitschip, auf den man zugreifen müsste. Die Token werden bei Google Pay in der Google-Cloud generiert. Für jeden Zahlungsvorgang wird ein neues Token genutzt. Während es bei Apple Pay nur ein Token für alle Zahlungsvorgänge gibt, welches im Securechip gespeichert ist.

 

[Verlon]

Und die Sparkasse macht das umgekehrt nicht?

Nö, welche Infrastruktur blockieren sie denn für den Wettbewerb? Es wäre das gleiche, wenn die Sparkasse auch Betreiber der NFC-Terminals wäre und dort ApplePay blockiert. Ja, dann wäre es das gleiche und ja, dann wäre ich ebenso dafür, dass dort gehandelt wird, denn die Sparkasse würde dann die Kontrolle über die Infrastruktur nutzen, um Wettbewerb zu verhindern.

Das nennt man Geschäfte machen. Ganz normaler Vorgang. Millionenenfach am Tag durchgeführt in der ganzen Welt.

Es geht nicht um "Geschäfte machen" sondern um einen funktionierenden Markt. Grundlage dafür ist Wettbewerb. Und diesen verhindert Apple, in dem sie NFC nicht freigeben. Fairer Wettbewerb ist so nicht möglich, zum Nachteil des Kunden.

Bei Android ist das System ja anders, da gibt es keinen Sicherheitschip, auf den man zugreifen müsste. Die Token werden bei Google Pay in der Google-Cloud generiert. Für jeden Zahlungsvorgang wird ein neues Token genutzt. Während es bei Apple Pay nur ein Token für alle Zahlungsvorgänge gibt, welches im Securechip gespeichert ist.

Bei Apple wird ebenso für jeden Zahlungsvorgang ein neues Token genutzt.

 

[NorbertM]

dass Apple in diesem Segment eine marktbeherrschende Stellung inne hat und diese missbraucht, um Wettbewerb bei mobilen Zahlen zu verhindern.

Das liegt doch daran, das Besitzer von Android-Geräten offenbar Bedenken haben, die dort vorhandenen Paysysteme einzusetzen. Apple unterbindet lediglich den Zugriff auf NFC. Alternativen zu ApplePay gibt es genung und die dafür geeigneten Geräten haben einen erheblichen Marktanteil.

Es sind übrigens Androiden, mit denen im Vorbeigehen Kreditkartendaten abgegriffen werden.

 

[kelevra]

Der Marktanteil von Apple Pay liegt nach einer Erhebung von Bailey bei 90%, daraus folgt, dass mind. 90% aller mobilen Zahlungen mit iOS Geräten erfolgen, somit kann man durchaus argumentieren, dass Apple in diesem Segment eine marktbeherrschende Stellung inne hat und diese missbraucht, um Wettbewerb bei mobilen Zahlen zu verhindern.

Das sehe ich nicht so. Der Marktanteil der Geräte ist hier ausschlaggebend. Niemand würde nämlich behaupten, Apple hätte mit dem iPhone eine marktbeherrschende Position, weil sie 86% der Gewinne im Smartphonemarkt für sich beansprucht. iPhones haben einen Marktanteil von etwa 15%.

Es ist nunmal nicht Apples Schuld, dass es sonst kein Unternehmen auf die Reihe bekommt, mobiles Bezahlen technisch so umzusetzen, dass die Kunden es auch mit wenig Bedenken einsetzen wollen.

 

[Misto]

Bei Apple wird ebenso für jeden Zahlungsvorgang ein neues Token genutzt.

Nein. Bei Apple Pay wird einmalig eine sogenannte Device Account Number erstellt. Das ist das, was man ein Token nennt. Das ist eine zufällige 16-stellige Nummer, die deine Kreditkarte repräsentiert. Beim Eintragen in die Wallet wird diese Nummer generiert und zusammen mit anderen Daten (Gerätenummer, Teile der Mobilfunknummer afaik) an die kartenausgebende Bank (also nicht an Apple) übermittelt, damit die Bank das auch verifizieren kann. Diese Nummer ändert sich nicht, solang Du die Karte nicht löschst. Und aufgrund der damit verbundenen Gerätedaten gilt diese Nummer auch nur für dieses eine Gerät. Dies alles wird im Securechip gespeichert.Die Device Account Number wird dazu auf Banknetzservern gespeichert (ohne Daten dazu), um eine jederzeitige Verifizierung zu gewährleisten

Wenn Du an der Kasse mit Apple Pay bezahlst, sendet dein iPhone/deine Watch etc. die Device Account Number an den Händler. Dessen Terminal leitet das dann weiter an das Banknetzwerk, Von da kommt dann die Verifizierung und Freigabe für die Zahlung zurück an den Händlerterminal. Der Händler überträgt dann seine Daten (Händler-ID, Zahlbetrag etc.) zurück an das Gerät, diese erstellt nach Freigabe durch den Benutzer dann ein Kryptogramm (kein Token im eigentlichen Sinn, sondern Zahlungsdaten, die auch die Device Account Number enthalten), indem dann alle Zahlungsdaten hinterlegt sind, wieder zurück an den Händler, der das wiederum an das Bankennetzwerk weiterleitet und die Zahlung letztendlich durchgeführt wird. Dadurch wissen im Endeffekt nur der Käufer und die kartenausgebende Bank die genauen Zahlungsdaten. Der Händler weiß natürlich den Betrag, den er bekommt, aber nicht den Namen und auch nicht die Kartendaten des Kunden. Apple weiß das dadurch auch nicht.

Bei Google Pay werden dazu im Unterschied vorab in der Cloud mehrere Token erstellt und diese vorab an die Geräte übermittelt (afaik bis zu 6 Token, um auch bei Netzausfall/kein Netz vorhanden Zahlungen abzuwickeln). Bei Google Pay werden die Token dann auch dem Zahlungskryptogamm hinzugefügt und übermittelt, wie bei Apple Pay. Aber diese Token werden für jede Zahlung eben neu in der Cloud von Google erstellt und auch an die kartenausgebende Bank im Netzwerk übermittelt.

Während bei ApplePay diese Nummer immer gleich bleibt.

 

[Verlon]

@Misto
auch bei ApplePay wird neben der Device Account Number ein transaktionsspezifischer, dynamischer Sicherheitscode gesendet, der immer neu ist. Ich hatte das als Token bezeichnet, ich weiß nicht, ob dies die korrekte Bezeichnung ist.
https://support.apple.com/de-de/HT203027

Das ist doch auch der Grund, warum man eben nicht beliebig oft mit der Watch ohne iPhone-Anbindung bezahlen kann, oder nicht?

Das sehe ich nicht so. Der Marktanteil der Geräte ist hier ausschlaggebend.

Eben nicht, wenn man den Markt des mobilen Payments nimmt. Ist halt eine Frage der Definition des Marktsegments.

Es ist nunmal nicht Apples Schuld, dass es sonst kein Unternehmen auf die Reihe bekommt, mobiles Bezahlen technisch so umzusetzen, dass die Kunden es auch mit wenig Bedenken einsetzen wollen.

Ohne Freigabe von NFC kann es logischerweise auch keine konkurrenzfähige Lösung geben. Und das ist sehr wohl Apples Schuld.
Ein Blick auf Android zeigt ja auch, dass es durchaus verschiedene konkurrenzfähige Lösungen gibt.

 

[Misto]

@Misto
auch bei ApplePay wird neben der Device Account Number ein transaktionsspezifischer, dynamischer Sicherheitscode gesendet, der immer neu ist. Ich hatte das als Token bezeichnet, ich weiß nicht, ob dies die korrekte Bezeichnung ist.
https://support.apple.com/de-de/HT203027

Das ist doch auch der Grund, warum man eben nicht beliebig oft mit der Watch ohne iPhone-Anbindung bezahlen kann, oder nicht?.

Nach Zahlungsfreigabe via Token wird ein Zahlungskryptogramm erstellt, Diese gilt natürlich nur nur für diese eine Zahlung. Darin steht die Device Account Number (das eigentliche Token), die Händler-ID und der Zahlbetrag. Sicher auch noch andere Daten, vielleicht einen Freigabecode, genau ist das ja nicht bekannt.

Man kann dieses Kryptogramm auch als temporäres Token im weiteren Sinne bezeichnen. Es ist aber im Grunde nur eine verschlüsselte Übermittlung der Zahlungsdaten, während das eigentliche Token, die Device Account Number ist. Nur mit dieser Nummer ist eine Zahlungsfreigabe überhaupt möglich. Denn diese symbolisiert deine Kreditkartennummer. Diese wird auf den Bankrechnern verifiziert,

 

[kelevra]

@MistoEin Blick auf Android zeigt ja auch, dass es durchaus verschiedene konkurrenzfähige Lösungen gibt.

Und die alle schaffen es nicht Apple Paroli zu bieten? Das ist natürlich Apples Verschulden und der Grund, warum Apple mit Apple Pay den Hauptanteil der Umsätze via mobile paymanet macht.

Ich würde mal eher sagen, selbst wenn Apple NFC für andere Bezahldienste öffnen würde, wären iOS Geäte die Mehrheit, die dafür eingesetzt werden. Und das liegt weder an einer scheinbaren Marktmacht sondern schlichtweg daran, dass Android gefühlt ständig mit Sicherheitsproblemen um die Ecke kommt. Und wenn ich ehrlich bin, würde ich auch kein Banking/Payment mit einem Android Gerät betreiben, obwohl, oder gerade weil, ich noch im Vergleich zum Durchschnitt tiefer in der Materie drin bin.

 

[Verlon]

@Misto
ok, ich verstehe nur nicht den Zusammenhang mit Apples Blockade NFC freizugeben. Warum lässt Apple technische Lösungen von Drittanbieter ähnlich GooglePay oder eben die Sparkassen-App nicht zu?

 

[kelevra]

@Misto
ok, ich verstehe nur nicht den Zusammenhang mit Apples Blockade NFC freizugeben. Warum lässt Apple technische Lösungen von Drittanbieter ähnlich GooglePay oder eben die Sparkassen-App nicht zu?

Sie möchten die etablierten Sicherheitsmechanismen nicht für andere aufweichen. Sie müssten Prozesse etablieren, die eine ähnliche Sicherheit gewährleisten, wie Apple Pay. Der Vorteil von Apple Pay ist ja bspw., dass kein Tracking des Kunden anhand der Kreditkartennummer möglich ist. Ich glaube nicht, dass dies für die Kreditinstitute ein Argument ist, wo sie doch selbst mit den Daten ihrer Kunden handeln.

Natürlich kann und darf man auch unterstellen, sie wollen alleine damit Geld verdienen.

 

[Verlon]

Sie möchten die etablierten Sicherheitsmechanismen nicht für andere aufweichen. Sie müssten Prozesse etablieren, die eine ähnliche Sicherheit gewährleisten, wie Apple Pay. Der Vorteil von Apple Pay ist ja bspw., dass kein Tracking des Kunden anhand der Kreditkartennummer möglich ist. Ich glaube nicht, dass dies für die Kreditinstitute ein Argument ist, wo sie doch selbst mit den Daten ihrer Kunden handeln.

Was genau ist denn bei der Sparkassen-Lösung so unsicher, als das man sie nicht freigeben darf? Tracking ist damit ebenso wenig möglich wie mit Apple Pay.

Der wahre Grund ist viel simpler: ohne Blockade des Wettbewerbs könnte Apple bei den großen Banken niemals die 0,15% durchdrücken.

 

[echo.park]

Es geht doch eher darum die NFC-Schnittstelle freizugeben und weniger darum, was genau die Sparkasse dann damit machen würde.

 

[NorbertM]

Wenn ich ein iPhone ohne "Fremd-NFC" kaufe, möchte ich nicht, dass da irgendwelche Behörden dazwischen funken und mir so eine Funktion nachträglich aufzwingen.

Das ist eine Sache zwischen Hersteller und Kunde.

 

[Misto]

@Misto
ok, ich verstehe nur nicht den Zusammenhang mit Apples Blockade NFC freizugeben. Warum lässt Apple technische Lösungen von Drittanbieter ähnlich GooglePay oder eben die Sparkassen-App nicht zu?

Sie lassen aus Sicherheitsgründen keine Drittapps auf den Securechip zugreifen. Gilt ja auch für andere Apps, nicht nur für Bankingapps. Nur für lesenden Zugriff hat man NFC mittlerweile freigegeben (bspw. um Hotelzimmertüren zu öffnen, das geht anscheinend ohne Chipzugriff?), nicht aber schreibend. Fürs Banking ist aber ein schreibender Zugriff nötig.

Das ist die offizielle Begründung von Apple.

Sicher ist das nicht gerade unvorteilhaft für das eigene Produkt, keine Frage.

 

[kelevra]

Das ist genau der Punkt: Für solche Anwendungen müsste man Zugriff auf die Secure Enclave schreibend erlauben. Diese API möchte Apple aber bislang nicht freigeben.

Ich kann mir gut vorstellen, dass man an einer sicheren Lösung dafür arbeitet, bis das aber nicht gewährleistet werden kann, sperrt man eben Drittanwendungen konsequent aus. Gleiches gilt ja bspw. für Apps aus anderen Quellen als den Apple App Store. Auch da sperrt Apple alle anderen möglichen Quellen aus und erlaubt nur die Installation aus dem App Store. Resultat: Man bekommt nicht jede Woche die Meldung das ein paar Hundert Apps mit Malware verseucht sind oder Fake Apps Malware auf die Geräte spielen.

Am Ende müssen wir Kunden über unsere Kaufentscheidung Zeichen setzen.

 

[Verlon]

Ja klar, ApplePay gibt es seit 2014 und Apple ist es nicht gelungen, in 4 Jahren eine entsprechende API bereitzustellen. Angeblich aus „Sicherheitsgründen“. Sorry, das ist nicht glaubwürdig.

 

[ottomane]

„Sicherheit“ bezieht sich dabei bestimmt auf die Absicherung des Geschäftmodells durch Abschottung.