Online-Bezahlplattformen

Paydirekt - mit Microservices gegen Paypal und Co.

07.03.2016 von Christoph Witte
Das Online-Bezahlverfahren der deutschen Kreditwirtschaft paydirekt will nicht zuletzt dank einer modernen und flexiblen IT-Plattform bei Online-Käufern und -Händlern punkten. Basis bildet ein sicheres und flexibel ausbaubares System digitaler Services, sagen die Betreiber.

paydirekt, das Online-Bezahlverfahren der deutschen Kreditwirtschaft, ist im November 2015 nach 13 Monaten Konzeptions- und Entwicklungszeit gestartet. Die zugrunde liegende IT-Plattform, die von Senacor Technologies entwickelt und betrieben wird, soll dank Microservice-Architektur und Event-getriebener Datenhaltung hohe Flexibilität und Agilität bieten.

paydirekt ist ein Gemeinschaftsunternehmen der Deutschen Kreditwirtschaft. Der Zahlungsverkehrsdienstleister tritt an, um Käufer und Banken im Online-Commerce intensiver miteinander zu verbinden.
Foto: aurielaki - shutterstock.com

So könnten sich weitere Funktionalitäten und neue Services schnell realisieren und dank eines continuous delivery Konzepts auch zügig an den Kunden bringen lassen, sagen die Betreiber. Das sei gerade im dynamischen Markt für Online-Zahlungsabwicklung enorm wichtig. Eventuell fehlende oder nicht optimal gestaltete Funktionen müssten hier schnell und effizient geliefert werden können. "Wir schalten zurzeit unsere Händler auf und werden unser System im nächsten Schritt entsprechend der Benutzerbedürfnisse weiter entwickeln. Unsere Plattform versetzt uns in die Lage, schnell neue Funktionalitäten zu integrieren", erklärt Helmut Wißmann, Geschäftsführer von paydirekt.

Helmut Wißmann, Geschäftsführer von paydirect, will schnell neue Funktionen integrieren und so das System entsprechend der Nutzeranforderungen weiterentwickeln.
Foto: Paydirect

paydirekt ist ein Gemeinschaftsunternehmen der Deutschen Kreditwirtschaft. Der Zahlungsverkehrsdienstleister tritt an, um Käufer und Banken im Online-Commerce intensiver miteinander zu verbinden. Andere Player wie Paypal, Amazon Payment und diverse Kreditkartenanbieter gestehen den Banken bisher nur eine Nebenrolle als Geldquelle zu. Das will paydirekt zugunsten seiner Partner ändern. Damit das gelingt, setzt der neue Bezahldienst auf die Attribute Einfachheit und Sicherheit. Dass es sich um ein deutsches Bezahlverfahren handelt, dürfte in Zeiten zunehmender Cyber-Attacken, Patriot-Act und Cyber-Spionage ebenfalls eine nicht ganz unbedeutende Rolle spielen.

Nah am One-Click-Shopping

Zum Jahresende 2015 machten rund 1000 Institute mit. Die Sparkassen planen ihren Start für das Frühjahr 2016. Bankkunden könnten über das Bezahlverfahren ihre Einkäufe einfach, sicher, direkt und kostenlos über ihre Girokonten abwickeln, soi die Idee der Betreiber. Nach der Registrierung bei seiner Bank kann der paydirekt-Nutzer, wenn er es möchte, in der Regel nur mit seinem Nutzernamen und Passwort die Bezahlung initiieren. Das ist nah am One-Click-Shopping.

Der Umtausch in elektronisches Geld, das Aufladen von Prepaid-Konten, Eingaben von Kreditkarten-Daten und ähnliche Hürden, die dem Online-Shopper sonst begegnen, entfallen komplett. Wenn der Kunde bereits Online-Banking nutzt, ist auch der Registrierungsprozess bei seiner Bank schnell erledigt, weil er dort bereits identifiziert und für das Online-Banking autorisiert wurde.

Die Sicherheit wollen die Betreiber des Verfahrens in verschiedener Hinsicht gewährleisten:

Plattform sorgt für Sicherheit

Für Datenschutz und Datensicherheit vor Ausspähung, Diebstahl und Manipulation soll die IT-Plattform von Senacor im Hintergrund sorgen. Innerhalb des Gesamtsystems sind dafür drei Module im Einsatz:

1. Betrugsabwehr (Fraud Prevention),2. Identifizierung und Autorisierung von Nutzern und Transaktionen und3. Abwehr von Cyber-Angriffen.

Die Kommunikation zwischen allen Beteiligten ist verschlüsselt. Käufer wickeln ihre Zahlungen per paydirekt innerhalb Deutschlands also sicher und komfortabel ohne weitere Zwischenschritte direkt über ihr Girokonto ab, versprechen die Betreiber. Und Händler haben die Garantie, dass sie für ihre gelieferten Produkte und Dienstleistungen auch bezahlt werden.

Die paydirect-Architektur kombiniert Individualentwicklungen und Standardkomponenten.
Foto: Senacor

Die teilnehmenden Kreditinstitute erhalten gegenüber dem Online-Kunden eine aktive Rolle. paydirekt ist eingebettet in ihre jeweilige Online-Banking-Anwendung. Kunden sollen so ihr Geldinstitut als sicheren und verlässlichen Partner erleben, der für sie den Bezahlvorgang komfortabel gestaltet. "Natürlich sind auf Basis unserer Plattform auch weitere sichere und verbindliche digitale Services möglich, die die Institute ihren Kunden aktiv anbieten können", erläutert paydirekt-Chef Wißmann.

Micro-Services machen paydirekt-System agil

Ein Grund für das Vertrauen der Kreditinstitute in die zugrunde liegende IT-Plattform liegt neben den aktuell angebotenen Funktionen vor allem in der flexiblen Microservice-Architektur, die schnelle Veränderungen erlaubt. Vereinfacht gesagt, kann man sich das System vorstellen wie ein Bällebad für Kinder. Jede Kugel ist einerseits in sich abgeschlossen und unabhängig, auf der anderen Seite ist sie Teil der Schwimmbad-Simulation. Jede Kugel stellt einen kompletten und unabhängigen Microservice dar, gemeinsam repräsentieren sie alle Funktionen im Gesamtsystem. Dabei lassen sich Kugeln gegen andere austauschen, hinzufügen, in ihrer Größe verändern oder auch herausnehmen. Auf das Funktionieren des Gesamtsystems hat das praktisch keinen Einfluss.

Voneinander unabhängige Microservices stellen zwar hohe Anforderungen an die Entwickler sollen das System aber flexibler und agiler machen.
Foto: Paydirect

Im paydirekt-System ist die Funktionalität aufgeteilt auf mehr als 30 einzelne, fachlich in sich geschlossene Microservices mit festgelegtem Funktionsumfang und eigener Datenhaltung. Dabei wird jede der 15 Geschäftsfunktionen des paydirekt-Systems vollständig durch einen Microservice realisiert. Jede dieser Funktionen läuft autonom ab, ohne dass auf einen anderen fachlichen Microservice zurückgegriffen werden muss.

"Abgesehen von den dezentralen Abhängigkeiten zu den angeschlossenen Banksystemen genügt zum Beispiel die Verfügbarkeit des Checkout-Services, damit ich als Käufer eine Bezahlung mit paydirekt erfolgreich durchführen kann. Andere fachliche Microservices, wie Käufer- oder Bankstammdatenverwaltung, müssen zu diesem Zeitpunkt nicht laufen", erklärt Timo Weber, Chefarchitekt und Partner bei Senacor das Prinzip.

Das erlaubt es, jeden Microservice gesondert zu entwickeln und zu deployen. "Damit werden Weiter- oder Neu-Entwicklungen viel unkomplizierter, können von kleineren Teams durchgeführt werden und kommen so viel schneller in Produktion", beschreibt Weber aus seiner Sicht die Vorzüge des Systems. Um diese Vorteile zu realisieren, bedarf es allerdings klar definierter Schnittstellen zwischen den Services und einem ausgeklügelten automatisierten Testing sowie Deployment.

Das müsse per Knopfdruck funktionieren, postuliert der Systemarchitekt, vor allem dann, wenn man wie bei paydirekt sehr kurze Innovationszyklen und ein Continuos-Delivery-Konzept verfolge. Entsprechend funktioniert das Produktivsetzen einer neuen Microservice-Version per Knopfdruck und dauert weniger als eine Minute. Die Benutzer des Systems bemerken hiervon nichts.

Die konsequente Trennung der einzelnen Services erlaube es, Datenbank und Datenmodelle optimal auf die Anforderungen der Microservices zuzuschneiden, sagt Senacor-Chefarchitekt Timo Weber.
Foto: Senacor

Jeder Microservice des paydirekt-Systems besitzt seine eigene Datenbank, in der alle Daten enthalten sind, die er zur Erbringung seiner Geschäftsfunktionen benötigt. Er besitzt damit keine Abhängigkeiten zu den Datenbanken und -modellen der anderen Microservices. Damit steigen Flexibilität und Leistung zusätzlich, wohingegen die Betriebskosten durchaus sinken können.

Timo Weber erklärt die Gründe: "Diese konsequente Trennung erlaubt es uns, Datenmodelle und sogar Datenbank-Technologien optimal auf die Anforderungen eines Microservices zuzuschneiden. Dabei muss die optimale Technologie nicht die teuerste sein. Deshalb lassen sich bei diesem Verfahren durchaus Lizenzkosten einsparen." Darüber hinaus könne so häufig auf spezielle und daher teure Hardware weitgehend verzichtet werden. "Die Microservice-Architektur verlangt Entwicklern viel ab. Doch dafür bringt sie deutliche Fortschritte in Sachen, Flexibilität, Agilität, Verfügbarkeit, Performance und Resiliance", betont Weber.

Erfahrene Spezialdienstleister mit an Bord

Diese über 30 einzelnen Services sind in folgenden übergeordneten Elementen strukturiert:

Die gesamte Integration der verschiedenen Elemente und die Entwicklung wesentlicher Services übernahm Senacor selbst. Bei den Merchant Services, der Betrugsabwehr, Security und Payment-Services waren Partner mit an Bord.

Event-Sourcing sorgt für Compliance und leichtes Reporting

Neben der Micro-Service-Architektur zeichnet sich die Paydirekt-Plattform technisch durch eine Event-Sourcing genannte Form der Datenspeicherung aus. Michael Omann, bei Senacor Architect und Technical Lead, erklärt das Prinzip an einem Beispiel. "Kontoauszüge sind nichts anderes als die Summe von Kontobewegungen. Der jeweilige Kontostand ist eine Aggregation der Bewegungen bis zu einem bestimmten Zeitpunkt. Genauso machen wir das auf der paydirekt-Plattform."

Anstatt zum Beispiel Stammdaten bei Änderungen zu überschreiben, sprich die alten Daten zu löschen, werden sie aus den gemachten Änderungen zusammengesetzt. Dieses Prinzip wird auch bei den Bewegungsdaten angewendet. Da sämtliche Veränderungen mit Datum und Urheber versehen sind, lässt sich der Zustand des Systems zu jedem gegebenen Zeitpunkt quasi auf Knopfdruck rekonstruieren und jede Veränderung erkennen. "Damit erfüllen wir automatisch sämtliche Dokumentations- und Reporting-Verpflichtungen, die den Kreditinstituten vom Gesetzgeber und von der Bankenaufsicht auferlegt werden", unterstreicht Omann einen der Vorteile.

Was ist was bei Mobile Payment?
Was ist was bei Mobile Payment?
Mobile-Payment ist in Deutschland noch gar nicht so richtig angelaufen, wirft aber technologisch und mit Kürzeln wie BLE oder HCE einige Fragen auf. Die Computerwoche erklärt die wichtigsten Begriffe.
BLE vs. NFC
NFC galt einige Zeit als abgeschrieben, aber mit Unterstützung im neuen iPhone für Apple Pay soll sich die Zahl der Nutzer bis 2019 auf 516 Millionen mehr als verfünffachen, sagt Juniper Research. Pyrim Technologies hat in dieser Infografik Bluetooth Low Energy (z.B. Apples iBeacons) mit NFC verglichen.
Wer war nochmal Bluetooth?
Bluetooth-Namensgeber ist der dänische Wikingerkönig Harald Gormson Blåtand (Blauzahn, um 910 bis 987 n.Chr.), dem es gelungen ist, sein Land mit den benachbarten Norwegern zu versöhnen. Seine Initiale H (wie ein x mit einem senkrechten Strich in der Mitte)...
Wer war nochmal Bluetooth?
... und B schmücken als zusammengeführte Runenzeichen auch das Bluetooth-Logo.
Bluetooth 4.2 soll sicherer und schneller sein
Bluetooth 4.2 wurde im Dezember 2014 vorgestellt und soll BLE noch sicherer, stromsparender und schneller machen.
Bluetooth-Varianten im Vergleich
Was es mit Bluetooth Classic, Bluetooth smart und Bluetooth smart ready auf sich hat, ob und wie sich die verschiedenen Versionen beziehungsweise Varianten miteinander vertragen, zeigt diese Ansicht.
Beacons kommen meist kieselartig daher
Beacons wie die iBeacons von Apple oder wie dieses hier auseinandergenommene von Estimote sehen oft aus wie farbige große Kiesel, aber sie können auch beliebige andere Formen annehmen.
Starke Enterprise Beacons
Nicht alle Beacons sind kieselförmig. Die der Enterprise Beacons der Onys Beacon GmbH aus Friedrichshafen, hier als technische Zeichnung, sollen besonders robust, leistungsstark und sicher sein.
Wirecard Card Reader
In Vietnam mit der dortigen Im- und Exportbank Eximbank unter dem Namen "Eximbank's mPOS" eingeführt, bietet Wirecard einen Card-Reader fürs Smartphone oder Tablet an. Denn gerade viele kleine Händler oder Betreiber von Essständen können sich die Anschaffung eines Kartenterminals nicht leisten. Die Kunden verlangen aber danach. Akzeptiert werden Kreditkarten von VISA, MasterCard und JCB.
Das NFC-Logo
Das NFC-Logo schmückt einfach ein geschwungenes N auf blauem Hintergrund. Die mit RFID verwandte Technologie wurde unter anderem speziell im Hinblick auf Mobile-Payment oder Micropayment entwickelt, weshalb die kurze Reichweite von meist unter 10 cm durchaus gewollt ist.
NFC bittet zum Druck
Die von Canon, HP, Samsung und Xerox (hier im Bild) gegründete MOPRA Alliance hat einen auf NFC basierenden mobilen Print-Service entwickelt, der es erlaubt, vom Android-Smartphone (ab Version 4.4) einen Print-Befehl an einen entsprechend vorbereiteten Drucker auszugeben.
RFID-Label für vertikale Märkte
Die Schreiner Group beziehungsweise die Tochter Schreiner LogiData bietet RFID-Etiketten für verschiedene vertikale Märkte an.
RFID-Label für die Kfz-Auslieferung
Für die Verladeprozesse nach der Kfz-Produktion hat Schreiner LogiData dieses Windshield RFID-Label entwickelt. Darauf können sich zum Beispiel Daten befinden, ob das fertige Fahrzeug per Bahn, LKW oder per Schiff verladen werden soll.
QR-Code - eine rätselhafte Matrix
QR-Codes bestehen in der Regel aus einer quadratischen Matrix mit 177 x 177 schwarzen und weißen Elementen, die wie hier zum Beispiel das ganze Vaterunser und mehr Informationen enthalten können.(Quelle: Jobo aus Wikipedia)

Ein weiteres Plus des Event-Sourcing liegt im Bereich Business Intelligence. "Weil alle Änderungen gespeichert sind, kann praktisch zu jeder Frage ein Report erstellt werden", sagt Omann. "Und vor allem brauchen wir heute noch nicht festzulegen, welche Reports wir in fünf Jahren haben wollen, weil uns sonst vielleicht die dafür nötigen Daten fehlen."

Agilität auch in der Projektorganisation

Dieses große Projekt, an dem insgesamt 40 Personen 13 Monate gearbeitet haben, konnte nur gelingen, weil die Verantwortlichen bei paydirekt und Senacor bereit waren, neue Organisationsmethoden anzuwenden. "Wenn wir im klassischen Wasserfall- oder V-Modell gearbeitet hätten, mit Fachkonzept und Pflichtenheft, wären wir niemals pünktlich und zu den vorab festgelegten Kosten fertig geworden", sagt Andreas Werner, Managing Director von Senacor. Deshalb wurde eine Mischung aus herkömmlichen und agilen Methoden gewählt: "moderat agil" nennt Werner das.

Im klassischen Wasserfall- oder V-Modell wären wir niemals pünklich fertig geworden, sagt Andreas Werner, Managing Director von Senacor.
Foto: Senacor

Ein ausführliches, aber nicht allzu stark ins Detail gehendes Fachkonzept bildete die Grundlage, um die zu erreichenden Ziele und die generelle Funktionalität festzulegen. Auf dieser Basis wurden dann - wie bei agilem Vorgehen üblich - User-Stories gebildet, die aus Sicht der jeweiligen Nutzer die Anforderungen an die Plattform formulierten. Diese über 350 Stories bildeten die Basis für insgesamt elf jeweils vierwöchige Sprints, die allerdings von vorneherein in ihrem Scope festgelegt waren.

"Dieses Vorgehen setzte großes gegenseitiges Vertrauen voraus. Und trotz der vielen beteiligten Institute hat alles sehr gut funktioniert", sagt Werner. "Das ist ein Geben und Nehmen. Da ist öfter Kompromissbereitschaft gefragt als Durchsetzungswillen - auf beiden Seiten."