Der Kühlschrank bestellt und bezahlt Lebensmittel künftig automatisch, die Waschmaschine sorgt für eine ausreichende Bevorratung an Waschmittel? So oder ähnlich sehen viele Szenarien für die IoT-Welt von morgen aus. Doch wie bezahlen die Geräte die bestellten Waren? Mit ihren Kreditkartendaten? Es fällt schwer sich vorzustellen, die persönlichen Kreditkartendaten inklusive Prüfnummer einem Gerät anzuvertrauen, über dessen Sicherheitsmechanismen in der Regel wenig bis gar nichts bekannt ist.
Token statt Kreditkarte
Um dieses Dilemma zu lösen verfolgt man beim Kreditkartenanbieter Visa einen interessanten Ansatz. Die sensiblen Kreditkartendaten werden dabei durch eine digitale Identifizierung ("Digital Identifier") ausgetauscht. Hinter diesem Identifier verbirgt sich ein Token. Die Token-Technologie, ist jetzt keine neue Erfindung, sondern wurde 2014 von Visa entwickelt. Sie bildet die Grundlage für mobiles Bezahlen und wird etwa von Apple Pay und Android Pay genutzt.
Neu ist dagegen die Idee, die Token-Technologie als zentrale Bestandteil für das mobile Bezahlen im IoT-Umfeld zu nutzen. Auf diese Weise soll eine sichere und bequeme Zahlungsabwicklung auf allen vernetzten Devices wie Smartphones, Tablets, Wearables, Autos und Haushaltsgeräten möglich sein. Selbst in einen Ring könnte die Technik integriert werden.
Mehr Sicherheit in der IoT-Welt
Für Sandra Alzetta, Executive Director Digital Solutions bei Visa, hat der Token-Ansatz einen entscheidenden Vorteil: "Auf dem Token sind keinerlei Kreditkartendaten hinterlegt und der Token kann nur mit einem fest definierten Counterpart Zahlungen abwickeln, wobei die Höhe begrenzt werden kann." Sollte also der Kühlschrank im obigen Beispiel gehackt werden und der Angreifer das Token entwenden, hätte er daran wenig Freude. Denn das Token kann nur für das Bezahlen beim vordefinierten Händler und in Verbindung mit dem festgelegten Device verwendet werden und die Ware wird zudem an den vorab hinterlegten Empfänger geliefert. "Des Weiteren können die Berechtigungen des Tokens auch wieder eingezogen werden, so dass es für den Dieb komplett nutzlos ist", erklärt Alzetta weiter.
Herausgeber der Tokens sind nach der Vorstellung von Visa vorerst die Karten emittierenden Kreditinstitute, bei denen der Kunde auch die Tokens bestellt. Mittelfristig ist für Alzetta auch vorstellbar, dass den Kunden eine Art Dashboard zur Verfügung gestellt wird. In diesem könnten sie dann selbst Tokens bestellen und an ihre Geräte übertragen wie auch Tokens sperren.
Die Einführung in Europa
Die Technologie wird weltweit bereits in 27 Ländern für mobiles Bezahlen eingesetzt, darunter Frankreich, Irland, Polen, die Schweiz sowie Großbritannien. Bis Ende 2017 soll das Token-Verfahren in mehr als 12 europäischen Ländern zur Verfügung stehen. Dazu, ob Deutschland auch dazu gehören wird, wollte Alzetta keine Angaben machen.
Kooperation mit IBM Watson
Bei Visa ist man überzeugt davon, dass die Token-Technologie das Fundament für ein sicheres Bezahlen mit einer großen Auswahl von IoT-Devices ermöglicht. Um die Technologie zu pushen, arbeitet Visa global mit IBM und dem IBM Watson IoT Research Center in München zusammen. Als Teil der Kooperation zwischen den beiden Unternehmen soll IBM Watson IoT-Kunden die Visa Token-Technologie durch ein Netzwerk von Token-Service-Anbietern (TSP) zugänglich gemacht werden. Dies ist Teil des Visa Ready Partnership Programms. Visa selbst hat im Februar ein Innovation Center in London eröffnet. An dieses ist ein Forschungs-Hub in Berlin angeschlossen.