paydirekt, das Online-Bezahlverfahren der deutschen Kreditwirtschaft, ist im November 2015 nach 13 Monaten Konzeptions- und Entwicklungszeit gestartet. Die zugrunde liegende IT-Plattform, die von Senacor Technologies entwickelt und betrieben wird, soll dank Microservice-Architektur und Event-getriebener Datenhaltung hohe Flexibilität und Agilität bieten.
So könnten sich weitere Funktionalitäten und neue Services schnell realisieren und dank eines continuous delivery Konzepts auch zügig an den Kunden bringen lassen, sagen die Betreiber. Das sei gerade im dynamischen Markt für Online-Zahlungsabwicklung enorm wichtig. Eventuell fehlende oder nicht optimal gestaltete Funktionen müssten hier schnell und effizient geliefert werden können. "Wir schalten zurzeit unsere Händler auf und werden unser System im nächsten Schritt entsprechend der Benutzerbedürfnisse weiter entwickeln. Unsere Plattform versetzt uns in die Lage, schnell neue Funktionalitäten zu integrieren", erklärt Helmut Wißmann, Geschäftsführer von paydirekt.
paydirekt ist ein Gemeinschaftsunternehmen der Deutschen Kreditwirtschaft. Der Zahlungsverkehrsdienstleister tritt an, um Käufer und Banken im Online-Commerce intensiver miteinander zu verbinden. Andere Player wie Paypal, Amazon Payment und diverse Kreditkartenanbieter gestehen den Banken bisher nur eine Nebenrolle als Geldquelle zu. Das will paydirekt zugunsten seiner Partner ändern. Damit das gelingt, setzt der neue Bezahldienst auf die Attribute Einfachheit und Sicherheit. Dass es sich um ein deutsches Bezahlverfahren handelt, dürfte in Zeiten zunehmender Cyber-Attacken, Patriot-Act und Cyber-Spionage ebenfalls eine nicht ganz unbedeutende Rolle spielen.
Nah am One-Click-Shopping
Zum Jahresende 2015 machten rund 1000 Institute mit. Die Sparkassen planen ihren Start für das Frühjahr 2016. Bankkunden könnten über das Bezahlverfahren ihre Einkäufe einfach, sicher, direkt und kostenlos über ihre Girokonten abwickeln, soi die Idee der Betreiber. Nach der Registrierung bei seiner Bank kann der paydirekt-Nutzer, wenn er es möchte, in der Regel nur mit seinem Nutzernamen und Passwort die Bezahlung initiieren. Das ist nah am One-Click-Shopping.
Der Umtausch in elektronisches Geld, das Aufladen von Prepaid-Konten, Eingaben von Kreditkarten-Daten und ähnliche Hürden, die dem Online-Shopper sonst begegnen, entfallen komplett. Wenn der Kunde bereits Online-Banking nutzt, ist auch der Registrierungsprozess bei seiner Bank schnell erledigt, weil er dort bereits identifiziert und für das Online-Banking autorisiert wurde.
Die Sicherheit wollen die Betreiber des Verfahrens in verschiedener Hinsicht gewährleisten:
Für die angeschlossenen Händler bietet das paydirekt-Verfahren eine Zahlungsgarantie. Sobald ein Kunde verbindlich bestellt, wird in Echtzeit überprüft, ob dessen Konto ausreichend gedeckt ist. Der Händler hat damit Zahlungssicherheit. Bleibt die Zusage aus, wird der Bestellvorgang beendet. Bei ausreichender Deckung erhält der Händler sein Geld.
Für den Kunden greift im Zweifelsfall ein Käuferschutz. Erhält er seine Ware nicht und kann der betreffende Händler gegenüber paydirekt den Versand nicht nachweisen, erhält der Kunde sein Geld zurück.
Plattform sorgt für Sicherheit
Für Datenschutz und Datensicherheit vor Ausspähung, Diebstahl und Manipulation soll die IT-Plattform von Senacor im Hintergrund sorgen. Innerhalb des Gesamtsystems sind dafür drei Module im Einsatz:
1. Betrugsabwehr (Fraud Prevention),2. Identifizierung und Autorisierung von Nutzern und Transaktionen und3. Abwehr von Cyber-Angriffen.
Die Kommunikation zwischen allen Beteiligten ist verschlüsselt. Käufer wickeln ihre Zahlungen per paydirekt innerhalb Deutschlands also sicher und komfortabel ohne weitere Zwischenschritte direkt über ihr Girokonto ab, versprechen die Betreiber. Und Händler haben die Garantie, dass sie für ihre gelieferten Produkte und Dienstleistungen auch bezahlt werden.
Die teilnehmenden Kreditinstitute erhalten gegenüber dem Online-Kunden eine aktive Rolle. paydirekt ist eingebettet in ihre jeweilige Online-Banking-Anwendung. Kunden sollen so ihr Geldinstitut als sicheren und verlässlichen Partner erleben, der für sie den Bezahlvorgang komfortabel gestaltet. "Natürlich sind auf Basis unserer Plattform auch weitere sichere und verbindliche digitale Services möglich, die die Institute ihren Kunden aktiv anbieten können", erläutert paydirekt-Chef Wißmann.
Micro-Services machen paydirekt-System agil
Ein Grund für das Vertrauen der Kreditinstitute in die zugrunde liegende IT-Plattform liegt neben den aktuell angebotenen Funktionen vor allem in der flexiblen Microservice-Architektur, die schnelle Veränderungen erlaubt. Vereinfacht gesagt, kann man sich das System vorstellen wie ein Bällebad für Kinder. Jede Kugel ist einerseits in sich abgeschlossen und unabhängig, auf der anderen Seite ist sie Teil der Schwimmbad-Simulation. Jede Kugel stellt einen kompletten und unabhängigen Microservice dar, gemeinsam repräsentieren sie alle Funktionen im Gesamtsystem. Dabei lassen sich Kugeln gegen andere austauschen, hinzufügen, in ihrer Größe verändern oder auch herausnehmen. Auf das Funktionieren des Gesamtsystems hat das praktisch keinen Einfluss.
Im paydirekt-System ist die Funktionalität aufgeteilt auf mehr als 30 einzelne, fachlich in sich geschlossene Microservices mit festgelegtem Funktionsumfang und eigener Datenhaltung. Dabei wird jede der 15 Geschäftsfunktionen des paydirekt-Systems vollständig durch einen Microservice realisiert. Jede dieser Funktionen läuft autonom ab, ohne dass auf einen anderen fachlichen Microservice zurückgegriffen werden muss.
"Abgesehen von den dezentralen Abhängigkeiten zu den angeschlossenen Banksystemen genügt zum Beispiel die Verfügbarkeit des Checkout-Services, damit ich als Käufer eine Bezahlung mit paydirekt erfolgreich durchführen kann. Andere fachliche Microservices, wie Käufer- oder Bankstammdatenverwaltung, müssen zu diesem Zeitpunkt nicht laufen", erklärt Timo Weber, Chefarchitekt und Partner bei Senacor das Prinzip.
Das erlaubt es, jeden Microservice gesondert zu entwickeln und zu deployen. "Damit werden Weiter- oder Neu-Entwicklungen viel unkomplizierter, können von kleineren Teams durchgeführt werden und kommen so viel schneller in Produktion", beschreibt Weber aus seiner Sicht die Vorzüge des Systems. Um diese Vorteile zu realisieren, bedarf es allerdings klar definierter Schnittstellen zwischen den Services und einem ausgeklügelten automatisierten Testing sowie Deployment.
Das müsse per Knopfdruck funktionieren, postuliert der Systemarchitekt, vor allem dann, wenn man wie bei paydirekt sehr kurze Innovationszyklen und ein Continuos-Delivery-Konzept verfolge. Entsprechend funktioniert das Produktivsetzen einer neuen Microservice-Version per Knopfdruck und dauert weniger als eine Minute. Die Benutzer des Systems bemerken hiervon nichts.
Jeder Microservice des paydirekt-Systems besitzt seine eigene Datenbank, in der alle Daten enthalten sind, die er zur Erbringung seiner Geschäftsfunktionen benötigt. Er besitzt damit keine Abhängigkeiten zu den Datenbanken und -modellen der anderen Microservices. Damit steigen Flexibilität und Leistung zusätzlich, wohingegen die Betriebskosten durchaus sinken können.
Timo Weber erklärt die Gründe: "Diese konsequente Trennung erlaubt es uns, Datenmodelle und sogar Datenbank-Technologien optimal auf die Anforderungen eines Microservices zuzuschneiden. Dabei muss die optimale Technologie nicht die teuerste sein. Deshalb lassen sich bei diesem Verfahren durchaus Lizenzkosten einsparen." Darüber hinaus könne so häufig auf spezielle und daher teure Hardware weitgehend verzichtet werden. "Die Microservice-Architektur verlangt Entwicklern viel ab. Doch dafür bringt sie deutliche Fortschritte in Sachen, Flexibilität, Agilität, Verfügbarkeit, Performance und Resiliance", betont Weber.
Erfahrene Spezialdienstleister mit an Bord
Diese über 30 einzelnen Services sind in folgenden übergeordneten Elementen strukturiert:
Web Portal: Es sorgt für die Einbindung von Käufern und Kunden. Die Kunden werden über die Online-Portale ihrer Kreditinstitute eingebunden.
Das BV-Kernsystem untergliedert sich in: Fraud Services, Security Services, Customer Services, Transaction Services Payment Services sowie Data Processing und Provision Services.
Bank Integration Services: Sie bestehen aus der Standardschnittstelle (REST) und den Adaptern für die Core-Banking Systeme.
Merchant Integration Services: Sie bestehen aus der Standardschnittstelle und den Best-Practice- Integrationsbeispielen für die Web-Shops der Händler.
Die gesamte Integration der verschiedenen Elemente und die Entwicklung wesentlicher Services übernahm Senacor selbst. Bei den Merchant Services, der Betrugsabwehr, Security und Payment-Services waren Partner mit an Bord.
Event-Sourcing sorgt für Compliance und leichtes Reporting
Neben der Micro-Service-Architektur zeichnet sich die Paydirekt-Plattform technisch durch eine Event-Sourcing genannte Form der Datenspeicherung aus. Michael Omann, bei Senacor Architect und Technical Lead, erklärt das Prinzip an einem Beispiel. "Kontoauszüge sind nichts anderes als die Summe von Kontobewegungen. Der jeweilige Kontostand ist eine Aggregation der Bewegungen bis zu einem bestimmten Zeitpunkt. Genauso machen wir das auf der paydirekt-Plattform."
Anstatt zum Beispiel Stammdaten bei Änderungen zu überschreiben, sprich die alten Daten zu löschen, werden sie aus den gemachten Änderungen zusammengesetzt. Dieses Prinzip wird auch bei den Bewegungsdaten angewendet. Da sämtliche Veränderungen mit Datum und Urheber versehen sind, lässt sich der Zustand des Systems zu jedem gegebenen Zeitpunkt quasi auf Knopfdruck rekonstruieren und jede Veränderung erkennen. "Damit erfüllen wir automatisch sämtliche Dokumentations- und Reporting-Verpflichtungen, die den Kreditinstituten vom Gesetzgeber und von der Bankenaufsicht auferlegt werden", unterstreicht Omann einen der Vorteile.
Ein weiteres Plus des Event-Sourcing liegt im Bereich Business Intelligence. "Weil alle Änderungen gespeichert sind, kann praktisch zu jeder Frage ein Report erstellt werden", sagt Omann. "Und vor allem brauchen wir heute noch nicht festzulegen, welche Reports wir in fünf Jahren haben wollen, weil uns sonst vielleicht die dafür nötigen Daten fehlen."
Agilität auch in der Projektorganisation
Dieses große Projekt, an dem insgesamt 40 Personen 13 Monate gearbeitet haben, konnte nur gelingen, weil die Verantwortlichen bei paydirekt und Senacor bereit waren, neue Organisationsmethoden anzuwenden. "Wenn wir im klassischen Wasserfall- oder V-Modell gearbeitet hätten, mit Fachkonzept und Pflichtenheft, wären wir niemals pünktlich und zu den vorab festgelegten Kosten fertig geworden", sagt Andreas Werner, Managing Director von Senacor. Deshalb wurde eine Mischung aus herkömmlichen und agilen Methoden gewählt: "moderat agil" nennt Werner das.
Ein ausführliches, aber nicht allzu stark ins Detail gehendes Fachkonzept bildete die Grundlage, um die zu erreichenden Ziele und die generelle Funktionalität festzulegen. Auf dieser Basis wurden dann - wie bei agilem Vorgehen üblich - User-Stories gebildet, die aus Sicht der jeweiligen Nutzer die Anforderungen an die Plattform formulierten. Diese über 350 Stories bildeten die Basis für insgesamt elf jeweils vierwöchige Sprints, die allerdings von vorneherein in ihrem Scope festgelegt waren.
"Dieses Vorgehen setzte großes gegenseitiges Vertrauen voraus. Und trotz der vielen beteiligten Institute hat alles sehr gut funktioniert", sagt Werner. "Das ist ein Geben und Nehmen. Da ist öfter Kompromissbereitschaft gefragt als Durchsetzungswillen - auf beiden Seiten."