Overlay SIM für mobile Bankgeschäfte

Während wir in Deutschland auf die ultimative Lösung bei mobilen Bezahlsystemen warten und immer wieder die Datensicherheit in Frage stellen, macht man sich in anderen Ländern diesbezüglich weniger Sorgen. Sorgen um die Manipulierbarkeit eines ohnehin schon wackeligen Mobilfunksystems, dessen Sicherheit für eine größere Kundenzufriedenheit und niedrigere Gebühren bereitwillig geopfert wird. Bedenken gibt es da höchstens seitens der Politik, die hier gierig die Hand auf hält und eine Einnahmequelle sieht.

73% Martkanteil
Der zur Vodafone-Gruppe gehörende kenianische Mobilfunkanbieter Safaricom hat mit seinem in 2007 eingeführten mobilen Bezahlsystem M-Pesa einen Marktanteil von derzeit 73%. Ein breites Händlernetz (das anfangs aufwendig und kostenintensiv geschult werden musste) erlaubt dabei jederzeit, die virtuellen Guthaben gegen eine Gebühr in Bargeld einzutauschen. M-Pesa als Marktführer ist somit nicht einfach nur ein etabliertes Bezahlsystem, sondern beflügelt eine ganze Wirtschaft, die aufgrund umständlicher Transaktionsmöglichkeiten früher so nicht stattfinden konnte. Allerdings sind die Transaktionsgebühren relativ hoch und liefern immer wieder Grund zur Kritik.

Safaricom SIM
Eine alte Safaricom SIM-Karte ohne M-Pesa Toolkit auf einem 50/= Kshs. Geldschein.

Technisch läuft das Verfahren so ab, dass sich auf der SIM-Karte ein programmierbarer Bereich befindet, der für diese Bezahlfunktion genutzt wird. Wir kennen diese Funktion auch bei den SIM-Karten in Deutschland: dieser Menüpunkt vom jeweiligen Anbieter, bei dem man sich das aktuelle Wetter, die Lottozahlen oder Horoskope aufs Handy schicken lassen konnte und was wohl nie richtig genutzt wurde (~ der letzte Menüeintrag bei den alten Nokia Handys). Diese Funktionalität direkt in der SIM-Karte wurde dann seinerzeit für die Bezahlfunktion umprogrammiert und in Kenia als M-Pesa eingesezt. Als Kunde musste man dafür seine SIM-Karte beim Servicecenter gegen eine mit so einem umprogrammierten Speicherbereich eintauschen. Trotzdem, und auch in Ermangelung sinnvoller Alternativen wurde M-Pesa alsbald so erfolgreich, dass Safaricom fortan den Markt damit beherrschte und das System (mit all seinen Sicherheitsrisiken) lange Zeit als Vorzeigesystem gehandelt wurde. Meine letzten Zahlen dazu stammen aus 2010 und waren Teil eines Vortrags über AfriGadget und die Techsphere in (Ost)Afrika beim Webmontag Frankfurt:

[WordPress! Also hier bitte mal klicken, danke: http://www.slideshare.net/Kikuyumoja/afrigadget-webmontag-frankfurt-june-6-2011 ]

(ab Folienseite 68, btw – aktuellere Zahlen gibt es beim Vodafone Institute for Society and Communications in einem sehr schönen Report von Julia Manske. Interessant, und deshalb habe ich auf diese alten Folien verlinkt: das System war schon in 2010 komplett etabliert und sehr erfolgreich.)

Man darf auch nicht vergessen, dass vorher schon Prepaidguthaben (“airtime”) über USSD-Code zwischen den Handys verschickt werden konnte. Das ist etwas, was in Deutschland selbst bei virtuellen Anbietern (MVNO) wie Lycamobile nur ins Ausland möglich ist. Ich kenne die Gründe hierfür leider nicht, wahrscheinlich gibt es auch hier Sicherheitsbedenken oder andere, regulative Vorgaben.

Bänker aufwecken
Safaricom geriet seinerzeit völlig unvorbereitet in diese Rolle einer Bank, die sie mit ihrem System quasi über Nacht geworden waren. Selbstverständlich dient M-Pesa inzwischen auch als Kundenbindungsmaßnahme – einen besseren Grund gibt es wohl nicht, seinem Systemanbieter treu ergeben zu bleiben.

Die sehr einflussreiche und kundenstarke Equity Bank Kenya möchte ihren eigenen Anteil am großen Kuchen der Transaktionsgebühren haben und köderte ihre Kunden bisher über eine Zusammenarbeit mit einem anderen Mobilfunkanbieter, wo man eigene Bankingmöglichkeiten anbot. Inzwischen haben alle großen Mobilfunkanbieter in Kenia ihre eigenen mobilen Bezahl- und Sparsysteme am Markt. Alleine: man braucht für deren Nutzung jeweils eine eigene SIM-Karte. Wie überall auf der Welt, möchte man auch in Kenia seiner Mobilfunkrufnummer treu bleiben – die eigene Rufnummer ist auch immer ein Stück weit Identität; eine Individualisierungsoption, die auch an Apps wie WhatsApp gebunden ist.  Das ist dann mitunter auch ein Grund dafür, wieso Handys mit Dual-SIM-Funktionalität in diesen Ländern so populär sind (selbst die kostengünstigen China Androiden sind fast alles DualSim-Geräte).

Bei der Equity Bank ist man sich dieses Umstands natürlich bewusst und hat jetzt die Einführung eines neuen Systems (“Thin Sim”) angekündigt, das Geldgeschäfte über die Equity Bank mit jeder SIM-Karte erlauben soll. Technisch gesehen wird hier über die bereits existierende SIM-Karte eine nur 0,1mm dünne Folie geklebt, die die Kontakte der SIM-Karte durchschleift und über eine integrierte Schaltung den kompletten Datenverkehr zwischen der SIM-Karte und dem Handy kontrollieren und beeinflussen kann. Statt die Bezahlfunktion also in einem relativ gekapselten Bereich auf der SIM-Karte ablaufen zu lassen, wird diese Funktionalität im wahrsten Sinne des Wortes auf die SIM-Karte geklebt und dort abgewickelt.

Die Technik nennt sich auf Englisch “Overlay SIM” und wird hier mal am Beispiel des Anbieters BiBiTel demonstriert. Das System mit den SIM-Kartenadaptern kennen wir eigentlich auch schon seit einigen Jahren, beispielsweise als die ersten USA-iPhones noch über solche Adapterkarten freigeschaltet werden mussten oder eine Dual-SIM-Kartenfunktionalität über zwei zurechtgeschnittene SIM-Karten erreicht werden konnte, die dann beide in so einen SIM-Kartenadapter gesteckt wurden. Populär wurde dieses System mit den dünnen Klebefolien aber erst in China, wo es aufgrund unterschiedlicher Roaminggebühren für die verschiedenen Provinzen einen Bedarf zu mehr integrierten Systemen gab, so dass man auf Reisen nur noch ein Gerät mit einer SIM-Karte brauchte.

Die Equity Bank Kenya ist übrigens auch genau die Bank, die landesweit Filialen betreibt (wo die staatliche Bank kläglich versagt hatte) und deren Geschäftsführer in der Vergangenheit öfter nach England und die USA gereist sind, um die dortige Diaspora von Investitionen in Kenia zu überzeugen. Man versteht sich also auf Geldgeschäfte und möchte diese ganze Bandbreite an Remittanz-Zahlungen möglichst gewinnbringend bündeln. Geldtransfers in die Heimat also – das ist ein riesiger Geschäftsbereich, der margenintensiver erscheint als die Abwicklungen kleinerer, lokaler Zahlungen.

Vertrauen!
Die GSM Association (GSMA) ist sich dieser Technik der Overlay SIMs und der damit verbundenen Manipulationsmöglichkeiten natürlich bewusst, verlinkt online aber nur eine zweiseitige Sicherheitseinschätzung, die das System abstrakt beschreibt und mögliche Gefahrenquellen auflistet. Kurz: wer sich so eine Folie auf die SIM-Karte klebt, erweitert damit seine Risiken. Es wird allerdings auch auf den disruptiven Charakter dieses Systems hingewiesen, das tatsächlich den kompletten Funktionsumfang herkömmlicher SIM-Karten unterwandert und erweitert.

Möchte man vor diesem Hintergrund tatsächlich Bankgeschäfte über eine modifzierte SIM-Karte tätigen? Und auch dann, wenn die Kreditkartendaten beim Anbieter hinterlegt sind?

Mit der Sicherheit hat man es in Kenia mobilfunktechnisch noch nie so ernst genommen, insofern darf der technische Ansatz nicht wirklich verwundern. Fragwürdig erscheinen da jetzt eher die plötzlichen Nachfragen der kenianischen Parlamentsabgeordneten, die ein Mitspracherecht anzeigen (und damit eigentlich einen Anteil am Geschäft haben möchten).

Über den Einsatz dieser Technologie in Kenia wird wohl in den kommenden Tagen entschieden werden, und meine persönliche Einschätzung ist, dass es dann weniger um Risikobedenken gehen wird, sondern eher um eine Verteilungsgerechtigkeit.

Während wir uns hier also gerade an der Integration von NFC in den neuen iPhones erfreuen und endlich auf einen Durchbruch der Bezahlsysteme hoffen, wird die gesamte Bezahlthematik in anderen Ländern einfach mal komplett anders aufgezäumt: wenn das System ein Problem bereitet, hacken modifzieren wir es uns soweit, dass es passt. Hauptsache jeder bekommt seinen Anteil vom Kuchen.

Author: jke

Hi, I am an engineer who freelances in water & sanitation-related IT projects at Saniblog.org. You'll also find me on Twitter @jke and Instagram.

4 thoughts on “Overlay SIM für mobile Bankgeschäfte”

Comments are closed.