Exklusiv

Wie es zum Terminal-GAU kam – und die fatale Rolle der DK

Die Menschen zu Kartenzahlung, kontaktlosem Bezahlen und Mobile Payment zu erziehen ermutigen – das ist nicht nur Branchenräson der Payment-Industrie selber. Sondern: Spätestens seit der Corona-Pandemie wird der „No Cash“-Trend auch von Banken und Sparkassen nach Kräften gefördert. Schließlich ist 1.) die bankeneigene Girocard immer noch die mit weitem Abstand meistgenutzte Karte hierzulande; 2.) Banken und Sparkassen verdienen als Issuer auch an Kreditkartenzahlungen mit; und 3.) Je weniger die Kunden mit Bargeld hantieren, desto weniger teure Infrastruktur z.B. in Gestalt von Automaten braucht es.

Und so kam nicht überraschend, dass die Deutsche Kreditwirtschaft (also die gemeinsame Vertretung von BdB, DSGV und BVR) erst einmal beschwichtigte, als vergangene Woche passiert war, was nicht hätte passieren dürfen: Klar, dass in Teilen des stationären Handels seit Dienstag nicht mehr mit Karte bezahlt werden konnte – das sei unschön. Aber, so lautete Mittwochfrüh die Botschaft: Zum einen werde mit Hochdruck an einer Lösung des Problems gearbeitet. Und zum zweiten mache der betroffene Terminal-Typ (das „H5000“ von Verifone) „nur einen geringen Anteil an allen in Deutschland eingesetzten Geräten“ aus.

Indes: Es wurde Mittwochnachmittag. Es wurde Mittwochabend. Es wurde Donnerstag (wobei da immerhin Feiertag war, sodass sich das Problem wesentlich auf Tankstellen und die Bahn beschränkte). Es wurde Freitag. Und es wurde Wochenende. Und noch immer war das Problem, an dem man doch mit Hochdruck hatten arbeiten wollen, nicht gelöst. Vor allem aber: Wie Recherchen von Finanz-Szene nahelegen, dürfte das „H5000“ mitnichten bloß einen geringen Anteil an allen eingesetzten Geräten ausmachen. Das glatte Gegenteil scheint der Fall zu sein!

Und noch etwas zeigen unsere Recherchen: Beim „H5000“ handelt es sich um einen veralteten Geräte-Typus, der eigentlich hätte ausgetauscht werden sollen. Doch offenbar trug die DK durch eine umstrittene Übergangsregelung dazu bei, die Laufzeiten zu verlängern.

Die ganze Geschichte:

Was ist passiert?

Schon seit dem vergangenen Dienstag ist im deutschen Einzelhandel bei Terminals des US-Herstellers Verifone vom Typ „H5000“ keine Kartenzahlung mehr möglich. Betroffen sind große Handelsketten (Aldi Nord, Rossmann, DM, Netto, Edeka …) genauso wie Tankstellen, Reisezentren der Deutschen Bahn sowie kleinere Händler wie beispielsweise Bäckereien oder Kioske. Eigentlich sollte die zugrundeliegende Fehlfunktion im Laufe der zurückliegenden Woche behoben werden. Am Wochenende hielt das Chaos allerdings immer noch an.

Warum ist der Fehler nicht längst behoben?

Entgegen einer ersten Ankündigung von Mittwoch war es offenbar nicht möglich, die betroffenen Terminals per Fern-Update wieder in Gang zu setzen. Das heißt, allem Anschein nach müssen die Geräte entweder ausgetauscht oder einem manuellen Update durch einen Techniker unterzogen werden. Die genaue Fehlerursache war am Wochenende weiterhin unklar. Während der Geräte-Hersteller Verifone von einer „Software-Fehlfunktion“ spricht, haben diverse Tech-Blogger (siehe etwa hier und hier) ein abgelaufenes Zertifikat als Grund für die Fehlfunktion ausgemacht. Von einem Zertifikat-Fehler sprach auch Payone (zur Rolle von Payone weiter unten mehr).

Wie verbreitet ist das Terminal „H5000“?

Mitte letzter Woche hatte die Deutsche Kreditwirtschaft (also der Zusammenschluss der großen Bankenverbände) erklärt, der „H5000“ von Verifone mache „nur einen geringen Anteil an allen in Deutschland eingesetzten Geräten“ aus.

Recherchen von Finanz-Szene wecken Zweifel an dieser Darstellung. So hatte Verifone das „H5000“ zuletzt in einer Eigendarstellung noch als „meistgenutztes Terminal“ in Deutschland bezeichnet. Dazu passt eine Mitteilung des US-Unternehmens aus 2018, wonach von dem Gerätetyp zum damaligen Zeitpunkt „über 350.000 Terminals deutschlandweit und branchenübergreifend im Einsatz“ waren. Zur Einordnung: Gemessen an den Akzeptanzstellen der Girocard zählte der hiesige Einzelhandel zuletzt bis zu 973.000 Terminals insgesamt. Selbst wenn das „H5000“ seit 2018 mancherorts ausgetauscht worden sein sollte, spricht also viel dafür, dass die Verbreitung ungleich größer ist als von der DK vergangene Woche suggeriert.

Tatsächlich nahm der Bundesverband deutscher Banken (der in diesem Jahr die Kommunikation für die DK innehat) am Freitag auf explizite Nachfrage von Finanz-Szene die zuvor getroffene Aussage zurück. Stattdessen heißt es nun, die genaue Verbreitung des „H5000“ sei „nicht bekannt“.

Wer hat das „H5000“ vertrieben?

Nach allem, was man weiß, wurde das „H5000“ unter anderem von Concardis und Payone vertrieben, also von den beiden klassischen deutschen Payment Service Providern. Concardis gehörte bis vor einigen Jahren einem Konsortium deutscher Banken, wurde dann an die Finanzinvestoren Bain und Advent verkauft – und gehört inzwischen zum Milliardenkonzern Nexi/Nets. Bei Payone wiederum handelt es sich um ein 40/60-Konsortium der deutschen Sparkassen mit dem französischen Giganten Worldline.

Während die großen Handelsketten mit Anbietern wie Payone oder Concardis in aller Regel Großkundenverträge abschließen, wurde das „H5000“-Terminal aber auch über Banken und Sparkassen an kleinere Einzelhändler vertrieben.  So führen beispielsweise die Sparkasse Solingen, die Sparkasse Südwestpfalz, die Sparkasse Bochum oder die Sparkasse Tauberfranken das Terminal weiter in ihrem Angebot für Händler.

Interessant dabei:

  • Nach der Wirecard-Pleite Mitte 2020 war Aldi Süd in einer Blitzaktion von Wirecard zu Payone gewechselt (siehe unseren damaligen Scoop); Aldi Süd ist von den jetzigen Ausfällen allerdings nicht betroffen.
  • Sehr wohl betroffen ist dagegen Aldi Nord – wobei Aldi Nord nach der Wirecard-Pleite nicht zu Payone gewechselt ist, sondern zum US-Konzern Fiserv (hierzulande ehemals First Data bzw. Telecash).

Wer den „H5000“ erklärtermaßen nicht vertrieben hat, das ist zum Beispiel Computop.

Wer hat Schuld an dem Chaos? (Spoiler: auch die DK!!!)

Der erste Impuls wäre es ja, den Geräte-Hersteller (also Verifone) und die Payment Service Provider (also Payone, Concardis usw.) in der Verantwortung zu sehen. Tatsächlich sind die Zusammenhänge allerdings deutlich komplexer.

Und zwar:

Bereits im August 2019 kündigte Verifone laut unseren Recherchen an, den Vertrieb und Support seiner sogenannten „PCI 3.0-Geräte“ einzustellen – darunter auch das „H5000“-Terminal, das zu diesem Zeitpunkt schon seit etlichen Jahren am Markt war. Verifone wollte beim „H5000“ und sonstigen „PCI 3.0-Geräten“ nur noch die bestehenden Support-Verträge erfüllen und empfahl seinen Kunden einen Wechsel des Terminals.

Tatsächlich ist das „H5000“-Terminal nicht nur technisch veraltet, sondern lief hierzulande nur aufgrund einer Übergangsregelung. Hintergrund: Die Deutsche Kreditwirtschaft standardisiert die technischen Voraussetzungen, die ein Zahlungsterminal erfüllen muss. Die Branche reguliert sich so gewissermaßen selbst, beispielsweise im Hinblick auf mögliche Betrugserkennung, PIN-Abfragen oder Ähnliches.

Die Regeln nennen sich „Technischer Anhang“, kurz: TA – und der aktuell gültige Standard ist der „TA 7.2“: Seit Januar 2022 dürfen nur noch Terminals neu in den Markt eingeführt werden, die diesen „TA 7.2.“-Standard unterstützen.

Der „TA 7.2.“ unterscheidet sich vom vorherigen Standard „TA 7.1.“ unter anderem in diversen Sicherheits-Features sowie im Komfort. Ist etwa beim kontaktlosen Zahlen die PIN-Eingabe nötig, muss bei alten Geräten (wie dem „H5000“) die Karte ein zweites Mal präsentiert werden. Im „TA 7.2.“-Standard geht dies in einem Zug („Single Tap“) ohne erneutes Präsentieren.

Das „H5000“-Terminal erfüllt den „TA 7.2“-Standard nicht – und kann auch nicht geupdated werden. Hat die Deutsche Kreditwirtschaft aufgrund der starken Verbreitung des „H5000“ am Point of Sale eine extensive Übergangsregelung definiert? Der echte Zwang zu einem „TA 7.2“-Modell gilt nämlich erst ab 1. Januar 2025.

In der Payment-Branche war das Vorgehen der DK offenbar umstritten. Das lässt sich zum Beispiel daran erkennen, dass Mastercard ab September eine Extragebühr für Zahlungen an Terminals einführen will, die den „TA 7.2.“-Standard nicht unterstützen und diese ab Juli 2023 nochmals erhöhen wird. Unsere Deutung: Durch das zusätzlich erhobene Entgelt wollte Mastercard den Druck erhöhen, Geräte wie das „H5000“ schneller aussortieren.

Vieles deutet darauf hin, dass es so etwas wie ein Einvernehmen zwischen Händlern, Payment Service Providern und Kreditwirtschaft gegeben haben könnte, den Austausch der veralteten Terminals aus Kostengründen so weit wie möglich hinauszuzögern.

Was sind die Folgen des Terminal-GAUs?

Die Zusammenbruch weiter Teile der Payment-Infrastruktur im stationären Handel ist eine Blamage – und zwar für alle Beteiligten.

Banken, Payment-Konzerne und Einzelhändler eint aus Kostengründen das Interesse, das Bezahlen mit Karte und Smartphone zu forcieren. Die Corona-Pandemie hat diese Entwicklung beschleunigt. Umso ärgerlicher ist aus Branchen-Perspektive der jetzige Rückschlag. Wer als Händler immer noch skeptisch gegenüber der Akzeptanz von Kartenzahlungen war, dürfte sich durch die aktuelle Panne bestärkt fühlen. Dasselbe gilt für Kunden, die weiterhin lieber in bar bezahlen. Fallback-Systeme gab es offenbar keine.

Der Image-Schaden für Verifone dürfte immens sein. Ob andere Terminal-Hersteller in Mithaftung genommen werden, oder im Gegenteil profitieren, wird sich zeigen. Denkbar, dass sich der Geräte-Austausch beschleunigt und Unternehmen wie CCV oder TSS/Ingenico (als Noch-Worldline-Tochter ironischerweise eine Schwester von Payone) vor einem Auftragsschub stehen. Womöglich profitieren auch Mini-Terminal-Anbieter wie das deutsch-britische Fintech SumUp – und sei es auch nur als Backup-Lösung.

Wie wird am Point of Sale improvisiert?

Nachdem das angekündigte Fern-Update zunächst gescheitert ist, dürften sich die Payment Service Provider gezwungen sehen, möglichst rasch alternative Bezahl-Terminals auszuliefern. Eine Stichprobe von Finanz-Szene im Frankfurter Einzelhandel ergab am Wochenende: Wo alternative Terminals vorhanden sind, wird zumindest an einzelnen Kassen weiterhin Kartenzahlung angeboten. Die Fiserv-Tochter Telecash postete auf Linkedin am Sonntag Fotos, auf denen Kisten gepackt werden, um Terminals zu Händlern zu bringen. Auch seitens Concardis hieß es auf Anfrage, man stelle dort, wo nötig, alternative Terminals zur Verfügung. Einige Händler greifen zudem auf das elektronische Lastschriftverfahren zurück, das auch mit dem „H5000“-Terminal teilweise noch zu funktionieren scheint.

Sind Sie bereits Abonnent? Hier geht's zum Login!

Weiterlesen mit dem Premium-Abo von Finanz-Szene

Finanz-Szene ist das Nr.-1-Medium für Banken und Fintechs. Jetzt Premium-Abonnent werden und Zugang zu allen Inhalten sichern. Ab 9,99 Euro (für den 1. Monat). 

Alle Premium-Optionen auf einen Blick

  • Erhalten Sie 5x pro Woche unseren preisgekrönten Premium-Newsletter
  • Sichern Sie sich vollen Zugriff auf sämtliche Scoops, News, Analysen und sonstigen Inhalte auf Finanz-Szene.
  • Lesen Sie, was die Top-Entscheider in der deutschen Finanz-Szene lesen

Rechtehinweis

Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.

Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!

To top