Im normalen Zahlungsalltag nutzen Sie Ihre Karte meist online. Das heißt, das Kartenterminal (Point of Sale [POS]) ist mit dem Internet verbunden und verifiziert somit sowohl Ihre Identität, durch einen Abgleich Ihrer PIN, als auch Ihre Zahlungsfähigkeit. Ist Ihr Konto nicht ausreichend gedeckt oder Ihr Kreditrahmen ausgeschöpft, wird die Transaktion dementsprechend abgelehnt. Jedoch funktionieren seit ein paar Jahren Kreditkarten auch, ohne einen Direktabgleich mit dem Kreditinstitut zu haben, und noch beachtenswerter ist, dass Sie auch die PIN eingeben und validieren können ohne Internetverbindung!
Um besser zu verstehen, wie eine offline Zahlung abläuft, schauen wir uns am besten erst an, wie eine reguläre Zahlung abläuft. Nutzen Sie Ihre Karte normal im Laden, sendet das Zahlungsterminal eine verschlüsselte Anfrage an Ihre Bank. Hier wird erst überprüft, ob die eingegebene PIN korrekt ist. Wenn das der Fall ist, schaut die Bank nun, ob Ihr Konto oder Ihr Kreditrahmen ausreichen, um die Zahlung durchzuführen. Ist das auch gegeben, schickt die Bank eine Bestätigung zurück an das Zahlungsterminal. Sie sehen jetzt die „Zahlung bestätigt ✅“ Nachricht und Ihr Beleg wird gedruckt. Seitens des Händlers und der Bank ist indessen der Zahlungsvorgang abgeschlossen.
Die Bestätigung per PIN ist zwar nicht immer notwendig, vor allem wenn Sie kontaktlos bis 50 € bezahlen, jedoch bestätigt die Bank hier immer noch Ihre Zahlungsfähigkeit. In unserer Infografik haben wir einen vereinfachten Ablauf des Prozesses für Sie dokumentiert.
Da wir nun wissen, wie eine normale Zahlung abläuft und wie eine Kreditkarte funktioniert, können wir uns fragen: „Was ist eine offline Kreditkartenzahlung?“
Ist das Kartenterminal nicht ans Internet angeschlossen, läuft der gesamte Bezahlvorgang etwas anders ab. Davon merken Sie jedoch als Kunde nicht viel. Der grundsätzliche Unterschied liegt hier darin, dass die Zahlung nicht direkt durch Ihre Bank verifiziert und akzeptiert wird, denn das muss nun vorerst lokal geschehen.
Wenn Sie am Zahlungsterminal (der Kasse) bezahlen und Ihre PIN eingeben, dann kann das Terminal diese nicht mit Ihrer Bank abgleichen. Deshalb gleicht die Karte dies nun stellvertretend mit dem Terminal ab. Die Karte selbst hat ein verschlüsseltes Archiv, in dem die PIN hinterlegt ist. Dieses Archiv kann nur dann entschlüsselt werden, wenn die richtige PIN angegeben wurde, was als Sicherheitsmerkmal dient. Das heißt, geben Sie die richtige PIN ein, kann der Bestätigungscode gelesen werden und das Terminal weiß jetzt, dass Sie berechtigt sind diese Zahlung anzufordern. (Schritt 1 & 2 im Diagramm)
Da das Terminal keine Internetverbindung hat, kann der Zahlungsauftrag jedoch nicht an die Bank weitergeleitet und verarbeitet werden. Deshalb speichert das Terminal indessen alle relevanten Daten für den Zahlungsauftrag intern und wartet, bis eine Internetverbindung aufgebaut wird. Das geschieht übrigens mit allen Zahlungen, die Offline durchgeführt werden. Alle werden separat gespeichert und warten, bis diese dann an die jeweiligen Banken gesendet werden. (Schritt 3 & 4 im Diagramm)
Sobald das Terminal wieder mit dem Internet kommunizieren kann, versucht es eine Verbindung mit dem jeweiligen Zahlungsnetzwerk aufzubauen. Dort sendet es dann alle gespeicherten Zahlungsaufträge an die jeweiligen Banken zur Bearbeitung (Schritt 5 im Diagramm).
Die Banken (genauer gesagt die Zahlungsnetzwerke) stellen dann fest, ob die Transaktionen durchgeführt werden können und ob der Kontostand oder der Kreditrahmen ausreicht. Ist das der Fall, wird das Konto entsprechend belastet und der Händler erhält das Geld gutgeschrieben. Ist das jedoch nicht der Fall, wird die Zahlung seitens der Bank abgelehnt. Hier ist der Händler nun um sein Geld gekommen und muss dies eintreiben oder eine entsprechende Versicherung für solche Fälle haben. (Schritt 6 im Diagramm).
Auch mobil können Sie mit Apple Pay oder Google Pay bezahlen, und das ohne Internetverbindung! Hier speichert Ihr Handy schlicht die Karteninformationen, und verifiziert Sie somit nicht durch die PIN, sondern Biometrie oder Ihr Handycode.
Um mit Ihrer Kreditkarte offline zahlen zu können, muss Ihre Kreditkarte mit offline PIN versehen sein. Das heißt, Ihre Karte muss technisch so ausgestattet sein, dass auf dem Chip eine verschlüsselte PIN hinterlegt und abgerufen werden kann.
Wenn Sie das erste Mal die Karte einsetzen, kann es sein, dass Sie diese erst mit einer Online-Zahlung aktivieren müssen. Sobald das geschehen ist, speichert die Karte Ihre PIN in einem verschlüsselten Modul, welches genutzt wird, falls eine Offline-Zahlung getätigt wird. Kontaktieren Sie am besten Ihre Bank, um zu schauen, ob Sie Ihre Karte auch offline einsetzen können. Ist Ihre Karte jedoch eine VISA oder Mastercard, welche in den vergangenen 5 Jahren ausgestellt worden ist, sollte diese offline-Zahlungen in der Regel akzeptieren.
Wenn Sie Gewerbetreibender sind und Kartenzahlungen akzeptieren, fragen Sie sich jetzt sicher, wie Sie anfangen können, offline Kartenzahlungen zu akzeptieren. Je nachdem welches Zahlungsterminal Sie verwenden, kann es sein, dass Sie bereits Offline-Zahlungen annehmen können. Wenn Sie nicht sicher sind, kontaktieren Sie am besten den Hersteller Ihres Kartenlesegerätes.
Hinweis: Für Händler ist es außerordentlich wichtig zu wissen, wenn ein Kartenlesegerät im Offline-Modus ist, da Sie ansonsten erhöhtem Risiko ausgesetzt sind. Wir haben das für Sie zusammengetragen im nächsten Abschnitt.
Kreditkarten mit offline PIN sind zwar recht sicher, jedoch gibt es hier auch ein paar Bedenken. In einer Studie fanden britische Kryptografie-Experten 2013 eine Angriffsstelle für Kriminelle, um die PIN bei der kontaktlosen Offline-Verifizierung unbegrenzt oft zu raten. Ob diese Angriffsstelle nach über 11 Jahren behoben ist, konnten wir in unserer Recherche nicht herausfinden.
Händler sind diejenigen, die mit Offline-Transaktionen ein höheres Risiko eingehen. Bezahlt Ihr Kunde via einem offline Terminal, haben Sie als Verkäufer nicht die Zusage der Bank, dass diese Zahlung auch ausreichend vom Kunden gedeckt ist. Das ist eine vergleichbare Situation wie der Umgang mit einem Scheck. Wenn Sie einen Scheck bekommen, geben Sie dem Kunden das Vertrauen, dass dieser gedeckt ist, da Sie in diesem Moment nicht mit der Bank diesen überprüfen können. Wenn Sie jedoch nach dem Verkauf zur Bank gehen, und der Scheck ist geplatzt, dann haben Sie ein Problem. Genauso ist es mit offline Zahlungen. Hier geben Sie dem Kunden das Vertrauen, dass der Betrag gedeckt ist, und ist das nicht der Fall, bleiben Sie auf den Kosten sitzen.
Wirklich schützen vor diesen Risiken können Sie sich als Händler nicht, jedoch können die folgenden Maßnahmen das Risiko limitieren:
Die meisten modernen Kreditkarten der vergangenen 5 Jahre sollten bereits mit Offline PIN ausgerüstet sein. Als Faustregel sind vorwiegend Airline-Kreditkarten mit der Technologie ausgestattet, da diese Karten an Bord von Flugzeugen einsatzbereit sein soll. Wir haben eine Liste der besten Kreditkarten zusammengetragen, welche mit Offline PIN ausgestattet sind.
Mit seinem Abschluss im volkswirtschaftlichen Feld unterstützt Johannes unser Kreditkarten360 Team und berät unsere Kunden über alle wirtschaftlichen Faktoren, die für Nutzer von Kreditkarten relevant sind. Ob Zinsen, Konsumverhalten, Wirtschaftsentwicklung oder Kreditwürdigkeit – Johannes teilt seine sorgfältig recherchierten Artikel hier mit unseren Lesern.