Von E-Bons und QR-Codes – eine aktuelle Übersicht zur papierlosen Bonpflicht

Bon-Pflicht

Seit 01.01.2020 gilt in Deutschland die Kassensicherungsverordnung (KassenSichV) zur Bekämpfung von Steuerbetrug. Alle Registrierkassen müssen früher oder später eine technische Sicherungseinheit (TSE) nutzen, um eine signierte Transaktion zu belegen. Durch eine ergänzende Belegausgabepflicht will der Gesetzesgeber sicherstellen, dass der Verkauf als Vorgang überhaupt erfasst, ins System eingegeben und mit der Erstellung eines Bons beendet wird. Ob die Ausgabe nun analog auf Papier oder digital erfolgt, wird dem Händler offen gelassen. Für Interessenten des analogen Bons endet der Artikel hier, alle anderen können im folgenden lesen welche Möglichkeiten zzt für die digitale Variante angeboten bzw geplant sind.

e-Bons mit QR-Codes
Die einfachste Möglichkeit einen digitalen Bon zu erstellen und dem Kunden zu übermitteln ist die Erstellung als Grafik (PNG, JPG, etc) bzw PDF und den Zugriff darauf über eine öffentliche Webseite zu ermöglichen. Die genaue Adresse des entsprechenden Bons wird nach dem Erstellen des Bons in einen QR-Code kodiert und auf einem Kundendisplay dargestellt. Eine Alternative zum direkten Download des Bons ist die Eingabe der Kunden-EMailadresse in einem Webformular hinter dem QR-Code und die anschliessenden Versendung durch das Backoffice System. Vorteil dieser Lösung für den Kunden: das Anlegen eines Kundenkonto ist nicht erforderlich.

Simply POS Kassensystem / bon-online.de
Die erste QR-Code Lösung von der bereits Ende Dezember 2019 zu lesen war und die die meissten Schlagzeilen im Januar machen durfte ist das Kassensystem Simply POS von Gerd Klein / Simply POS Kassensysteme aus Bad Driburg in Zusammenspiel mit der bon-online.de App von Andreas Freyer / it relations GmbH aus Mainz. Das Kassensystem wird von vielen Bäckern eingesetzt und ist deshalb oft in der Presse zu finden, wenn es sich um Bäcker handelt, die ihre Bons nicht auf Wäscheleinen aufhängen sondern per QR-Code auf das Smartphone des Kunden übertragen lassen, nachdem es von dem Kundendisplay abgescannt wurde. Die digitalen Kassenbons sind einfache JPG-Grafikdateien und können in der minimalistischen App abgespeichert werden oder direkt per Kamera-App gescannt und heruntergeladen werden.

Android App: https://play.google.com/store/apps/details?id=de.itrelations.bon_online
e-Bon: JPG-Datei per Download
iOS App: https://apps.apple.com/us/app/bon-online-de/id1494386857
Webseite: http://www.simply-pos.de/ https://www.bon-online.de/
Facebook: https://www.facebook.com/SimplyPOSKassensysteme/

KORONA.pos
Das Kassensystem KORONA.pos der Combase AG kommt ohne App aus und erfordert lediglich ein Kundendisplay, um darauf einen QR-Code dazustellen. Nach dem Abscannen mit einer Barcode-Scanner App oder der Kamera App kann eine Webseite mit einem Eingabeformular geöffnet werden. Dort trägt man seine Email-Adresse ein und der digitale Beleg wird in Form einer PDF-Datei zugesendet.

App: nicht erforderlich
e-Bon: PDF-Datei per Email
Webseite: https://combase.net/digitaler-kassenbon-combase/
Facebook: https://www.facebook.com/combase.ag/
Twitter: https://twitter.com/combase
Presse: Dresdner Bäckerei Gnauk

Smartbon
Mit der Smartbon App der Kamphenkel Kassensysteme GmbH aus Braunschweig scannt man ebenfalls QR-Codes, die auf dem Kundendisplay des Vectron Kassensystems erscheinen. Die Kassenbelege sind zwar als PDF verfügbar und werden in der App dargestellt, allerdings fehlt noch die Möglichkeit sie zu exportieren. Da die App gerade erst seit dem 12.Januar 2020 verfügbar ist, kann davon ausgegangen werden dass zusätzliche Funktionen folgen werden.

Android App: https://play.google.com/store/apps/details?id=com.tecoyo.smartbon
iPhone App: https://apps.apple.com/de/app/smartbon-app/id1494952089
e-Bon: PDF-Datei als Download
Webseite: https://smartbon.net/
Facebook: https://www.facebook.com/smartbon.net/

copago Umweltbon
Die copago GmbH & Co. KG aus Oberhausen bietet für ihr Kassensystem den Umweltbon an. Umweltbon ist ein Dienst, der nach dem Abschluss eines Verkaufsvorganges auf dem Kundenmonitor einen QR Code generiert. Der Kunde kann diesen QR Code mit seinem Smartphone einscannen und sich den Beleg schnell und einfach auf seinem Smartphone anzeigen lassen. Dafür ist nicht einmal der Download einer App erforderlich. So die Webseite des Herstellers.

App: keine
e-Bon: PDF-Datei als Download
Webseite: https://umweltbon.com/ https://copago.de/
Facebook: https://www.facebook.com/Umweltbon/ https://de-de.facebook.com/copagokasse/

Samuelson / digitalerbon.net
Eine weitere e-Bon-QR-Code Implementierung wird von der SAMUELSON Kassensysteme GmbH aus Berliner angeboten. Die Wuppertaler Bäckerei Steinbrink hat sie in mindestens fünf Filialen eingerichtet.

App: keine
e-Bon: PDF-Datei als Download
Twitter: https://twitter.com/Samuelson_Softw
Facebook: https://www.facebook.com/samuelson.software

OK-bon (BBN Kassensystem GmbH)
Seit dem 28.Januar bietet die BBN Kassensystem GmbH aus Kusterdingen den ok-bon oder auch QR-Bon genannte digitale Alternative zum klassischen Bon an. Im Anschluss an den QR-Code Scann, kann er heruntergeladen werden oder zusätzlich auch nach Eingabe einer Email-Adresse zugesendet werden. Ein Versuch die Email auf einem Smartphone mit Dark-Mode anzuschauen hatte keinen so großen Erfolg, da die PNG-Datei transparent war.

App: keine
e-Bon: PNG-Datei als Download oder Email
Webseite: https://ok-bon.de
Facebook: https://www.facebook.com/bbnkasse

Greenbill
Die Greenbill Lösung von Ludwig Heer, einem Koch aus Kuchen, evtl bekannt aus der RTL-Plus-Serie „Essen und Trinken für jeden Tag“ setzt auf eine Box die zwischen Computer und Drucker angeschlossen wird. Ein Tablet, auf dem man seine Email-Adresse eintragen kann bzw von dem ein QR-Code abgescannt werden kann, dient hier als Schnittstelle zur Backoffice-Software.

App: keine
Status: ab 15.02.
Twitter: https://twitter.com/GreenBillde
Webseite: https://www.greenbill.de/
Youtube: https://www.youtube.com/channel/UCp7L03uKOFFJkeWjBVnmSSg

Ankündigungen

Dean & David
Ab Ende Q1/2020 will man einen e-Bon anbieten https://www.food-service.de/management/menschen/d.-baumgartner-zur-bonpflicht-bestraft-die-schwarzen-schafe-44289

Vectron Systems AG
Kassenhersteller Vectron präsentiert seine QR-Code Lösung auf der Internorga Gastronomiemesse im März https://www.dgap.de/dgap/News/corporateall/vectron-systems-loesung-fuer-aktuelle-kontroverse-kassenbonpflicht/?companyID=382355&newsID=1263065
myVectron Digital-Bon https://www.vectron-systems.com/de/myvectron/digitalpaket/myvectron-digital-bon/

Weitere Kassenbon Apps

Admin
Diese Lösung von Amir Karimi / A&G GmbH aus Bremen versucht schon seit über 2 Jahren auf sich aufmerksam zu machen. Eine Unzahl von Artikeln ist bisher dazu erschienen, nun muss die App nur noch verfügbar sein. Nach eigenen Angaben habe man rund 35 größere Firmen an der Hand und habe auch mit dem Druckerhersteller Epson kooperiert. Zur Nutzung muß die Lösung in das Kassensystem integriert werden, sodaß die digitalen Belege dann via NFC oder über das Abscannen eines QR-Codes auf das Smartphone übertragen werden können. Die Admin App kann alle anfallenden Bons verwalten, selbst Belege aus Onlineshops können hinzugefügt werden.

App: noch nicht verfügbar
Webseite: https://adminapp.de/
Facebook: https://www.facebook.com/auggmbh/
Twitter: https://twitter.com/aug_gmbh
Youtube: https://www.youtube.com/channel/UC4G6jGSjAIB4pGrep1X8fBA
API: https://dev.adminapp.de/

Wunderbon
Ob Wunderbon mehr als nur ein schöner Traum bleibt, wissen nur Benjamin Carl und Tobias Holz von der Factory Campus GmbH aus Düsseldorf. Folgt man dem Twitter-Account seit 2018 so findet man dort eine Menge Buzzword Tweets mit Stockfotos. Auf der Webseite sind einige Screenshots einer App von 2019 zu sehen und man kann sich für eine Early-Bird registrieren.

App: geplant Q2/2020
Webseite: https://wunderbon.app/
Twitter: https://twitter.com/wunderbon
Facebook: https://www.facebook.com/wunderbon.official/

Anybill
Die App von Lea Frank, Tobias Gubo, Patrick Göttler aus Regensburg macht laut Webseite bisher den ausgereiftesten Eindruck. Die App ist ist bereits seit Mai 2019 verfügbar. Jetzt arbeitet man daran die Lösung in Kassensysteme zu integrieren.

Status: kleine Läden ab April, große Läden ab September 2020
Android App: https://play.google.com/store/apps/details?id=de.anybill.anybill_mobile_app
iPhone App: https://apps.apple.com/de/app/anybill/id1460484743
Webseite: https://www.anybill.de/
Twitter: https://twitter.com/AnybillA
Facebook: https://www.facebook.com/anybillapp/

ePap
Neben Anybill ist auch ePap eine Kassenbon App, die bereits seit 2019 verfügbar ist. Zzt bietet sie nicht mehr als einen Papier-Bon-Scanner aber es ist mehr geplant. Nach Integration in die Kassensoftware soll die Nutzer-ID vom Kassenscanner – ähnlich wie die Payback-Karte – per QR-Code übertragen werden und somit kann der Bon dem Benutzer zugeordnet werden. Laut Wirtschaftswoche werden die ersten zwei Kassensysteme mit 2000 Kassen gerade angeschlossen

Status: erste Läden in Q1/2020
Webseite: https://www.epap.app/
Android App https://play.google.com/store/apps/details?id=com.fg.epapalpha

eMailBon
Die eMailBon App der GK SOFTWARE SE aus Schöneck geht einen anderen Weg. In der gerade erschienenen Version 0.0.1 der App wird die Email des Kunden als QR-Code dargestellt, um vom Kassenscanner erfasst zu werden. Die Kassensysteme der GK Software, AWEK und der Retail7 sollen diese App unterstützen.

e-Bon: per Email
Webseite: http://emailbon.de/
Android App: https://play.google.com/store/apps/details?id=com.gksoftware.hs44.eb
iPhone App: https://apps.apple.com/de/app/emailbon/id1497039598

REWE+real/Payback und andere Apps
Und last but not least der e-Bon, der durch die Verknüpfung der Payback Karte mit dem REWE bzw real-Konto erstellt wird. REWE bietet den e-Bon zwar schon seit August 2017 an, aber im Dezember/Januar hat Rewe dies noch einmal ganz offiziell kund getan. Nach Aktivierung im REWE-Konto wird der e-Bon per Mail zugesendet bzw steht so wie bei real im Kundenkonto zur Verfügung. Ganz auf Papier kann zzt noch nicht verzichtet werden, da man gesetzlich dazu verpflichett ist den Papierbon bei abgewogener Ware und an den SB-Kassen zu erstellen. Ausserdem ist das Kassenpersonal nicht immer geschult und erstellt teils einen unnötigen Papierbon ohne Nachfrage.
Andere Apps wie Netto & Co sind hier nicht erwähnt, da sie kein Papier einsparen

Haspa startet mit Mobiles Bezahlen App

1 Jahr nachdem die Sparkassen mit der Mobiles Bezahlen App gestartet sind, können nun auch die 1,6 Millionen Kunden der Haspa – Deutschlands größter Sparkasse – mit dem Smartphone bezahlen. Grund für die Verspätung ist wohl hauptsächlich die vorher erst erforderliche IT-Umstellung am Osterwochenende. Die digitale Karte muss in der App erstellt werden und kann dann nach Bestätigung per TAN genutzt werden.
Ich bin gespannt wann die ersten Nutzer in Hamburg anzutreffen sind.

Saturn SmartPay – mit NFC Tags aber ohne Bargeld

TL;DR: Ein weiteres SmartPay Konzept, das sehr schön auflistet, was technisch machbar ist (Barcode-Scan, NFC-Tags, RFID-Tags, GooglePay), in dem beim Saturn vorgefundenen Status aber wohl mehr als Werbekampagne, denn dem Beschleunigen des Bezahlen dient.

Erstkontakt

Neugierig durch die Pressemeldung und mit 5 Minuten Zeit vor meiner Feierabend Zug-Heimfahrt, muss ich doch noch schnell einen kurz Abstecher in die Saturn Filiale in der Mönckebergstraße machen. Denn hier testet Saturn ab dem 05.12.2018 das kassenlose Bezahlen mit einer neuen App.

Den erster Kontakt mit der „Zukunft des Bezahlens“ mache ich gleich am Eingang im Untergeschoss des Saturns, als ich durch die Unterführung von Galeria Kaufhof komme und mir das Werbeplakat an der Eingangstür präsentiert wird. Mein erster Check an den Kassen im UG: „Wie sieht denn der Express-Schalter zum Entsichern der Ware aus?“. Doch finde ich am Ausgang des UGs keinen solch beschrifteten Bereich vor. Weiter geht’s durch den Markt zu den Rolltreppen und ich treffe auf weitere Werbeplakate, die am Fussboden und unter der Decke hängend auf die kurze 3-monatige Aktion aufmerksam. Im EG ist dann der Express-Schalter zu finden, neben dem sich auch gleich der Ausgang befindet.

Um am nächsten Tag gut vorbereitet zu sein, lade ich mir bereits zuhause die Saturn SmartPay App aus dem Google Play Store. „SmartPay“ als Suchbegriff reicht scheinbar nicht aus, da es mehr als 10 Apps mit demselben Namen gibt. Vor dem Kauf im Laden registriere ich mich mit meinem Namen und Email.

NFC-Tag/Barcode scannen, Bezahlen, Entsperren

Mit mehr Zeit und komme ich dann am darauf folgenden Tag und öffne die App, um mein Testkauf-Produkt (eine SD-Karte) mit dem NFC-Smartphone zu scannen. Die App startet sofort mit dem Scannen des Barcodes und das Produkt ist schneller in meinem Warenkorb als ich denken kann. Alternativ können viele Produkte neben dem Barcode-Scan auch durch Scannen des im SES-imagotag Preisschilder eingebauten NFC-Tags in den Warenkorb gelegt werden, doch dieser Vorgang ist selbst mit meinem Nexus 5X, das sonst keine Probleme mit der NFC-Kommunikation macht, sehr zäh/langsam und erfordert einen zweiten Anlauf.

Als nächstes soll nun bezahlt werden. Das kann man direkt per PayPal machen oder mit einer hinterlegen MasterCard, Visa oder Maestro-Karte. Ich wähle PayPal und merke schnell dass der 2FA-Login zwar sicherer ist, aber nervig, wenn man die SMS in einem Einkaufs-Tempel empfangen muss.

Mit der Rechnung in der App gehe ich nun zum leider nicht besetzten Express-Schalter, der sich direkt zwischen Ausgang und dem Service-Desk im EG befindet. 2 Mitarbeiter versuchen die lange Schlange am Service-Desk abzuarbeiten und nach 2 Minuten signalisiert mir eine Mitarbeiterin, dass sie gleich zu mir herüber kommen wird. In der Zwischenzeit schaue ich schonmal auf das nicht gesperrte iPad des Entsperr-Desks und werfe einen kurzen Blick darauf, um zu sehen dass 5 Kunden in den letzten 2 Stunden den Prozess bereits genutzt haben 😉

Die Mitarbeiterin kommt mit den einleitenden Worten, dass sie ohne Schulung nun auch das erste Mal den Entsperr-Prozess durchführend wird, wobei sie auch nicht genau weiß, ob die SD-Karte überhaupt mit einem RFID-Tag gesichert ist. Ich gehe mal davon aus dass es nicht der Fall ist, da der Express-Schalter nur durch die RFID-Schranke am Ausgang zu erreichen ist und bereits Alarm gegeben hätte. Die Mitarbeiterin überprüft meinen Einkauf in der Liste anhand meines Namens, da scheinbar kein Scanner zum Abscannen des QR-Codes aus der App vorhanden ist.

Kurz darauf gesellt sich noch eine Londoner Mitarbeiterin von Mishipay dazu und befragt mich nach meiner Meinung über die App. Nach ca 6 Minuten verlasse ich dann den Saturn – doch etwas länger – als wenn ich mich an die Kasse angestellt hätte.

TODO

Einen Tag später finde ich noch in meinem GMX-Spamordner eine EMail mit Kaufbestätigung von saturn.hamburg.smartpay@saturn.de Macht auch nichts, denn die Email ist im Grunde unnötig beinhaltet der QR-Code den Text „TODO“ und den Zeitstempel „12/8/17 13:13“

Was soll das Ganze?

Das ganze ist mehr als Werbekampagne gegen Amazon Go bzw als ein Experiment zu sehen, das für den wirklichen Einsatz natürlich noch nicht optimiert ist. Vorteilhaft wäre ein QR-Code auf den Werbeplakaten im Markt, um die App direkt zu installieren, denn nicht jeder Kunde hat Lust die App erst umständlich im App Store zu finden. Der Entsperr-Desk soll laut Mishipay in einer zukünftigen Version ganz durch ein verbessertes RFID-System entfallen. Außerdem ist GooglePay in der App noch nicht integriert, weil noch nicht freigegeben. Aber alle Tech-Nick-Freaks kommen voll auf ihre Kosten!

‚Mobiles Bezahlen‘ App der Sparkassen (girocard mobile) ist verfügbar

Eine Woche nach dem Start von Google Pay ist nun auch die Bezahl-App der Sparkassen für Android Smartphones verfügbar. Folgende Sparkassen sind zum Start dabei, wobei teilweise erstmal nur die Mitarbeiter die App testen:
Sparkasse Baden-Baden Gaggenau GiroPrivat 4.90EUR/Monat
Sparkasse Nürnberg Konto Kompakt 2,90EUR/Monat
Förde Sparkasse MEINKonto PLUS 8,50EUR/Monat
Sparkasse Hannover Giro Smart 3.50EUR/Monat
Kreissparkasse Rhein-Hunsrück GiroPur 3.00EUR/Monat (Kreditkarte 30EUR/Jahr)
Kreissparkasse Ludwigsburg Giro Classic Online 0EUR/Monat (Kreditkarte 30EUR/Jahr)
Sparkasse Aachen Girokonto [online] 0.00EUR/Monat (Mastercard 23EUR/Jahr)
Naspa (Nassauischen Sparkasse) Naspa Giro Online 2.50EUR/Monat bzw 15,00 EUR/Quartal

Die jeweils angegebenen, doch recht unterschiedlichen Kontomodelle/Preise habe ich einfach mal mit aufgelistet falls jemand die App testen möchte 😉
Ab dem 30. Juli sollen dann auch offiziell alle (bzw die meissten Sparkassen) dabei sein. Wie immer leider ohne Haspa, die erst 2019 auf das Kernbanksystem der Sparkassen wechseln.

Die App kann im Google PlayStore heruntergeladen werden: https://play.google.com/store/apps/details?id=com.s_payment.mobiles_bezahlen

SEQR – mein Android Pay Wallet ohne Android Pay

Die App SEQR des schwedischen Finanzdienstleisters Seamless kennen bis jetzt wohl nur wenige. Vor über 3 Jahr als QR-Code Payment App gestartet kann man mit der mittlerweile für Android, iOS und Windows Phone erhältlichen App Bezahltransaktion via eingescannten QR-Codes triggern. Die App ist mittlerweile in Sweden, Finnland, Rumänien, Belgien, Portugal, Niederlande, Deutschland, Spanien, Frankreich, Italien, UK und USA verfügbar.

Eine weitere Bezahl App?

So weit, so gut. Eine weitere Bezahl App. Wäre da nicht die Integration der HCE Technik (nach Zukauf der norwegischen Firma MeaWallet AS). Mit dieser ist es möglich an allen weltweit verfügbaren NFC-Bezahlterminal kontaktlos zu bezahlen, ebenso wie es mit Android Pay, Apple Pay oder zb boon möglich ist….wenn denn Android Pay, Apple Pay schon in Deutschland verfügbar wären 😉 boon als NFC Bezahl App zu nutzen war zu Anfang vielleicht ganz nett, aber ein weiteres Konto nur für das schnellere Bezahlen aufzutanken entfällt mit SEQR, da hier der Betrag via ELV alias SEPA-Lastschrift (SEPA Direct Debit – SDD) von einem hinterlegten Konto abgebucht wird. Nach drei erfolgreichen SEPA Lastschriftzahlungen wird das Ausgabelimit automatisch von 75EUR auf 750EUR erhöht.

“Tap & Pay” – Payback in einfach

Als Beigabe verspricht der Anbieter bis zu 3% Rabatt auf alle Einkäufe zu geben. Ohne leidiges ‚Coupons Geschnipsel‘ und ‚Ja, ich habe eine Payback Karte und werde sie jetzt nutzen‘ wird je nach Anzahl der Einkäufe belohnt: 1% (1-11 Käufen/Monat), 2% (12-19 Käufen/Monat), 3% (mehr als 20 Käufen/Monat).

Installation

Bei der Installation der App wird nach SEQR-PIN, EMail Addresse, Mobilfunk Nummer, Name, Geburtsdatum, und Anschrift gefragt.                

Zur Identitäts Verifikation ist ein Personalausweis, Führerschein oder Reisepass erforderlich, der direkt mit der App fotografiert werden kann. Danach erfolgt die Aktivierung der “Tap & Pay” Bezahlfunktion, die bei mir leider nicht auf Anhieb funktioniert hat.  

Der technische Support kann in diesem Fall aber recht schnell via Twitter helfen und innerhalb von 1 Stunde war das Problem behoben und mein Account aktiviert.

Fazit

Ich benutzt die App zwar gerade mal seit dem Wochenende und habe erst vier Zahlungen damit getätigt, bin bis jetzt aber recht zufrieden damit und werde weiter Testen.
Beim Bezahlen muss der “Tap & Pay” Dialog immer im Vordergrund ausgewählt sein, selbst wenn unter den Android Systemeinstellungen die SEQR App als Default eingetragen ist.
Fünf Transaktionen können offline durchgeführt werden danach muss die App wieder ’nach Hause telefonieren‘ um neue Tokens vom Hintergrundsystem zu erhalten.
Wenn ihr euer Smarphone gerootet habt dann braucht ihr die App gar nicht erst zu installieren, denn dann wird Tap & Pay nicht aktiviert!
Schauen wir mal wie lange die DK (Deutschen Kreditwirtschaft) ihren Spec-Baukasten für eine Konkurrenz SEQR App noch in der Schublade verkümmern lässt oder es noch dauert bis Android Pay nach Deutschland kommt um meinen aktuellen NFC-ELV-Bezahlproxy abzulösen.

Play Store: SEQR App https://play.google.com/store/apps/details?id=com.seamless.seqr
SEQR – deutsche FAQ https://www.seqr.com/de/customer-service/
19. April 2015 SEQR: neuer Bezahldienst für Smartphones http://androidmag.de/news/apps-news/seqr-neuer-bezahldienst-fuer-smartphones/
SEQR Developer – Develop and accept payments with SEQR http://seamlessdistribution.github.io/
Belgischer Twitter Account (beantwortet auch Anfragen in deutsch) https://twitter.com/SEQRbe

Update: 2016-11-05

Nach einer Woche mehrfacher Nutzung der App ohne Probleme ist mein Ausgabelimit auf 3,87EUR gesunken aber noch keine SEPA Abbuchung auf meinem Konto eingegangen. Somit muss ich jetzt warten bis mein Ausgabelimit durch die ersten 3 erfolgreichen Abbuchungen wieder erhöht wird. Das scheint laut FAQ nach 7 Bankarbeitstagen der Fall zu sein. In meinem Fall dauert es also wohl noch bis Mitte nächster Woche…

Update: 2016-12-07

Mit dem App Update v4.5.17 ist die Tap and Pay Funktion nun auch mit einem Click weniger auf der Startseite erreichbar.

Update: 2016-12-21

Einen Minuspunkt muss ich der App allerdings geben: sie benutzt immer dieselbe PAN (Zahlungskartennummer) (siehe EMV Tag 56 Track 1 Data) denn es kommt leider kein Tokenizationzum Einsatz. Vielleicht wird Seamless das ja in einer späteren Version nachliefern.

Update: 2017-02-02

Ein bisschen verspätet, aber er ist angekommen – der angepriesene Bonus / Cashback / Rabatt, den SEQR mit den Worten „Zahlen Sie mit Seqr und erhalten Sie bis zu 3% auf Ihre Ausgaben“ bewirbt. Die App weisst mit einer Notification darauf hin und der vorhandenen Betrag wird dann im SEQR Account angezeigt. Für einen Betrag von fasst 10 EUR (in diesem Quartal) nimmt man doch gerne diese um 2-3 Tage zeitversetzte Abbuchung der Beträge anstelle von Realtime in Kauf.

boon – Android Pay ohne Google, ohne NFC-SIM aber mit HCE

Während der Countdown auf der boon Webseite noch bis zum 23.11.2015 den Start des ersten in Deutschland nutzbaren Wallets für alle Android NFC Smartphones (mit HCE-Unterstützung) anpreist bin ich auf dem Weg zum Aldi um die Zukunft des Bezahlen auszuprobieren. Bisher war es für mich zwar schon möglich mit einem NFC-Sticker oder einer kontaktlosen Kreditkarte bei einigen Läden in Hamburg zu bezahlen, aber das kontaktlose Bezahlen mit dem Smartphone blieb zunächst leider nur den Besitzern eines Telekom-, Vodafone- bzw E-Plus-Vertrags vorenthalten. Denn bisher war es nur möglich eine sogenannte NFC-SIM bei dem Provider anzufordern und in eins der kompatiblen Android Smartphones einzusetzen. Den Witz mit den auf dem Telefon (mit ausgeschaltetem NFC) aufgeklebten NFC-Stickern führe ich an dieser Stelle nicht weiter aus.

Was ist nun anders?

Neu ist dass keine spezielle NFC-SIM erforderlich ist, entsprechend auch Prepaid-Kunden in den Genuss des ‚Bezahlen 2.0‘ kommen und sie dafür jedes NFC-Smartphone mit Android ab 4.4 nutzen können. Beispielsweise können so alle Nexus 4,5,6 Besitzer schon einmal vor dem Android Pay Start in Deutschland im Jahre 20XX Erfahrungen sammeln.

boon? Wer?

boon payment ist der im März 2015 auf dem MWC 2015 angekündigte Bezahldienst von Wirecard. Und wer ist Wirecard? Die Firma, die den erster NFC Sticker in Deutschland unter dem Namen mpass herausgebracht hat und für viele Payment-Kunden das Backend zur Verfügung stellt.

Installation und Registrierung

Als erstes muss also – wie üblich – die erforderliche App installiert werden. Nach dem Download/Installation dann durch einige Registrierungdialoge (Telefonnummer, Passwort, PIN, Sicherheitsfrage) klicken:
 
         

Für den Start muss nur die Telefonnummer preisgegeben werden und man bekommt als Dankeschön ein Willkommens-Entgeld von 5 Euro gutgeschrieben.
 

Es kann evtl 1 Tag dauern bis die Gutschrift erscheint. Ansonsten darf man gerne auf den schnellen Support zurückgreifen, der bei mir innerhalb von einer Stunde via Mail geantwortet hat!

Der Praxistest

Im Aldi angekommen. Meine Lieblingsschokolade aus dem Regal gezückt und direkt zur Kasse. Prima, kein anderer Kunde da, sonst wird’s evtl peinlich. Aber auch keine Kassierin an der Kasse. Die räumt grade Regale ein. Warten. Dann kommt der Kollege. Nexus5X aus der Hosentasche gezückt. Fingerprintsensor erleichert das Einloggen ungemein. Kassierer sagt „99 Cent“ und hält die Hand auf. Ich sage „einmal kontaktlos Zahlen“. Dann Smartphone rann an das Verifone H5000 Terminal, PIN-Dialog der App wird angezeigt – ja das ist etwas umständlich!

 

Nach Eingabe der PIN wieder (innerhalb von 1 Minute) ans Terminal halten und Biep, es hat funktioniert! Kassierer grinst mich noch an und sagt „…Sie sind der Erste… die Anderen trauen sich noch nicht so recht…“. Im Auto angekommen wird die Transaktion bereits in der App gelistet.

Besser? Schlechter?

So kann man also Bezahlen. Etwas anders – mit der PIN-Eingabe umständlicher – gegenüber einer Kreditkarte. Aber ok – es ist ja eine weitere Möglichkeit und bestimmt nicht die letzte im NFC-Smartphone-Universum. Von Vorteil wäre wenn Wirecard die PIN-Abfrage durch einen vorhandenen Fingerprintsensor-Scann ersetzten könnte. Fraglich ist auch wie Kaufland-Mitarbeiter reagieren und ob sie die Transaktionszeit evtl durch eine abschliessende Unterschrift noch einmal drastisch anheben sollten?
Der Testballon – der Starter Account ist kostenlos (kann aber auch nicht aufgeladen werden), die Basic und Plus Variante kosten nach 1 Jahr dann 99Cent/Monat, ausserdem sind dann weitere Daten – wie bei jedem Konto – erforderlich.
Probiert die Testversion ruhig einmal aus und postet Eure Kommentare & Feedback.

Android HCE(Host Card Emulation) JavaScript App alias Virtual JavaScript Smartcard

Die App zu diesem Artikel ist eigentlich aus drei Gründen entstanden:
* zur Evaluierung der Android HCE Funktionalität
* zur Evaluierung der Mozilla Rhino Bibliothek
* weil ich immer gern das passendes Tool parat habe

Was kann die App?

Eigentlich nichts Grosses. Ein Byte-Array einem JavaScript (via Rhino-Bibliothek) übergeben und den Rückgabewert des JavaScripts wieder in ein Byte-Array konvertieren. Das einzig Spannende daran ist dass das HCE-Framework damit (via Aufruf der processApdu Funktion) befüllt wird. D.h. mit dem richtigen JavaScript-Code, den man selber editieren muss, kann man beliebige NFC Smartcards emulieren. Einziger Wermutstropfen: fehlende AIDs muessten bei Bedarf im Source-Code der App(!) ergänzt werden und die App müsste dann natürlich neu kompiliert und installiert werden. Aber diese Restriktion lässt sich bei einem gerooteten Gerät auch umgehen.

 

In der Praxis

Das einfachste JavaScript würde so aussehen:

function processApdu(apdu){
return new Array(0x90, 0x00);
}

Die virtuelle Karte würde jede Anfrage mit einem Statusword (SW) von 0x9000 (OK) quitieren.
Testen kann man das ganze wie folgt:
1. App installieren: APK-Datei direkt mit dem Smartphone runterladen und Installationsdialog bestätigen (Sicherheit | Geräteverwaltung | Installation aus andeten Quellen zulassen). Oder
1a. aus den Sourcen kompilieren, weil man evtl eine andere AID ergänzen möchte. Hierzu den Source herunterladen, AID mit folgender Zeile:

<aid-filter android:name="xxxxxxxxxxxx" />

in apduservice.xml ergänzen, mit dem SDK kompilieren und dann installieren. Optional könnte man
1b. Xposed-Framework nutzen: bei einem gerooteten Gerät kann man sich 1a auch sparen, wenn man das XposedModifyAidRouting-Modul nutzt. Hiermit können alle SELECT-Kommandos auf die App umgebogen werden und das Ergänzen von neuen/benötigten AIDs wird dynamisch erledigt.
2. JavaScript evtl verändern: nach dem ersten Start der App kann die HCE.js Datei auf den per USB-Kabel angeschlossenen PC editiert werden. Hierzu die Datei erst vom Android Gerät per adb (befindet sich im Android SDK) kopieren, zB:

~/adt-bundle-linux-x86_64-20130219/sdk/platform-tools/adb pull /sdcard/VirtualJavaScriptCard/HCE.js ~/HCE.js

Nun das Skript je nach Wunsch anpassen, zB alle Kommandos mit der Ausgabe eines File Control Information (FCI) Templates für Mastercard beantworten (macht zwar kein Sinn soll nur ein Beispiel sein)

function processApdu(apdu) {
return new Array(0x6F, 0x23, 0x84, 0x0E, 0x32, 0x50, 0x41, 0x59, 0x2E, 0x53, 0x59, 0x53, 0x2E, 0x44, 0x44, 0x46, 0x30, 0x31, 0xA5, 0x11, 0xBF, 0x0C, 0x0E, 0x61, 0x0C, 0x4F, 0x07, 0xA0, 0x00, 0x00, 0x00, 0x04, 0x30, 0x60, 0x87, 0x01, 0x01, 0x90, 0x00);
}

Danach die editierte Datei einfach wieder auf das Gerät zurück kopieren:

~/adt-bundle-linux-x86_64-20130219/sdk/platform-tools/adb push ~/HCE.js /sdcard/VirtualJavaScriptCard/HCE.js

3. Interaktion mit Smartcard Reader testen, zB mit MySmartcardIOShell (interaktive Shell zum Senden von APDUs):

$ java -cp ./MySmartCardIOShell.jar -Dsun.security.smartcardio.library=/lib/x86_64-linux-gnu/libpcsclite.so.1 MySmartCardIOShell

Android Gerät auf den Kontaktlos-Reader des PCs legen, verbinden und APDU senden. Mit dem Nexus10 würde das ganze ungefähr so aussehen:

-/term
0: REINER SCT cyberJack RFID basis 0, sun.security.smartcardio.TerminalImpl, card present: true
protocol: T=1, ATR: 3b 80 80 01 01
>/sel 325041592E5359532E4444463031
=> 00 a4 04 00 0e 32 50 41 59 2e 53 59 53 2e 44 44
46 30 31
<= 6F 23 84 0E 32 50 41 59 2E 53 59 53 2E 44 44 46
30 31 A5 11 BF 0C 0E 61 0C 4F 07 A0 00 00 00 04
30 60 87 01 01 90 00
Status: OK
>

Das gewünschte JavaScript wird durch Auswahl in der Checkbox-Liste der App aktiviert, die App muss aber nicht aktiv sein um Anfragen zu beantworten, da hierfür eine Implementierung des HostApduService im Hintergrund läuft.

Probleme

Wenn mehr als 1 App zum Bezahlen installiert ist kann man unter Einstellungen | Mobil bezahlen die gewünschte App auswählen. Aus Evaluierungszwecke war auf meinem Tablet die Tapp App installiert (und mit keinem Account verknüpft). Diese Konstellation führte dazu dass entsprechende SELECT Kommandos nicht beantwortet werden konnten und die aufrufende Reader Anwendung hing. Nach Auswahl der VirtualJavaScriptCard App als Bezahl-App war das Problem behoben.

Ausserdem kann man emulierte Karte nur mit Android Devices ab 4.4 auslesen, da hierfür der NFC-Controller in einen speziellen Modus mit enableReaderMode gesetzt werden und Android Beam ausgeschaltet sein muss.

Auf meinem Nexus 10 scheint sich der Broadcomm NFC-Controller ab und zu mal zu verabschieden. Dann hilft nur ein deaktivieren der NFC-Funktionalität mit anschliessender Re-Aktivierung.

Beispiel: Kreditkarte / PPSE

Mit dem beigefügten HCE_PPSE.js Skript kann man bereits Teile einer Kreditkarte emulieren. Cardpeek zeigt zB folgende Daten an:

Oder man schaut sich mit dem MasterCard Terminal Simulator an welche Kommandos an die Karte gesendet werden:

Links

Virtual JavaScriptCard App – Source Code https://github.com/rena2019/VirtualJavaScriptCard
XposedModifyAidRouting https://github.com/johnzweng/XposedModifyAidRouting
Blogartikel: List of HCE (Host Card Emulation) Apps

List of HCE (Host Card Emulation) Apps

I like lists and I like NFC therefore here comes a list of Android apps that emulate contactless smartcards on an Android Phone >=4.4 with HCE (Host-based Card Emulation):

Update: 2018-07-13
WeChat
* AID ??? (MicroMsg.HCEService ?)
* Play Store https://play.google.com/store/apps/details?id=com.tencent.mm

Update: 2018-07-05
SALTO JustIN Mobile
* AID A000000743CC843413925E20C59B0100
* https://play.google.com/store/apps/details?id=com.saltosystems.justin
* SALTO JustIN Mobile Zutrittskontrolle für elektronische Zylinder (Mifare DESFire EV1-Karte mit AES-128-Bit-Verschlüsselung

Google Pay
* AID 4F53452E5641532E3031 (‚OSE.VAS.01‘), A000000476D0000101, A000000476D0000111, A00000039656434103F1216000000000 (NXP MIFARE 2GO?)
* Google Pay App  com.google.android.apps.walletnfcrel

Fidor Pay
* AID 325041592E5359532E4444463031 (PPSE ‚2PAY.SYS.DDF01‘), A0000000041010 (MasterCard), A0000000042203 (MasterCard U.S. Maestro), A0000000043060 (Mastercard Maestro Debit)
* Fidor Smart Banking App https://play.google.com/store/apps/details?id=com.fidor.fsw

Sparkasse – digitale Geldbörse
* AID 325041592E5359532E4444463031 (PPSE), A0000000041010 (Mastercard), A0000000043060 (Mastercard), A00000002501 (Amex), A000000025011001 (Amex), A0000000031010 (Visa), A00000005945430100 (girocard), A0000003591010028001 (girocard), D27600002547410100 (girocard), A00000052445500100 (rupay), A0000005241010 (rupay)
* Mobiles Bezahlen App https://play.google.com/store/apps/details?id=com.s_payment.mobiles_bezahlen

VR Banking
* AID 325041592E5359532E4444463031 (PPSE), D27600002547410100 (girocard_atm), A0000003591010028001 (girocard_eaps), A0000000041010 (Mastercard), A0000000031010 (Visa)
* Digitale Karten App https://play.google.com/store/apps/details?id=de.fiduciagad.android.vrwallet

Update: 2017-06-12
Backwerk
* AID A0000007220001
* https://play.google.com/store/apps/details?id=de.backwerk.app
* Backwerk Kundenkarte https://www.back-werk.de/kundenkarte/

Nordsee
* AID A0000007220000
* https://play.google.com/store/apps/details?id=com.nordsee.de.app
* Nordsee Gutscheinkarte http://www.nordsee.com/de/gutscheinkarte.html

Host-based Card Emulation
* Android API Guide https://developer.android.com/guide/topics/connectivity/nfc/hce.html

Android Host-based Card Emulation connected to ACR122U
* AID F0010203040506, F0394148148100
* Blog http://blog.opendatalab.de/hack/2013/11/07/android-host-card-emulation-with-acr122/
* Source Code https://github.com/grundid/host-card-emulation-sample

SEQR/Glase
* AIDs A0000000041010 (MasterCard), A0000000043060 (Mastercard Maestro Debit)
* App https://play.google.com/store/apps/details?id=com.seamless.seqr

boon
* AIDs A0000000041010 (MasterCard), A0000000043060 (Mastercard Maestro Debit)
* App https://play.google.com/store/apps/details?id=de.wirecard.boon

Shakepay
* AIDs A0000000031010 (Visa)
* App https://play.google.com/store/apps/details?id=com.shakepay.shake

tap-it
* AIDs F0394148148100
* App https://play.google.com/store/apps/details?id=ch.sandpiper.mwallet.tap_it

ByblosPay
* AIDs A0000000041010 (MasterCard), A0000000031010 (Visa International), A0000000980840 (Visa US Common Debit), F101010101
* App https://play.google.com/store/apps/details?id=mobi.foo.byblospay

PeoPay
* AIDs A0000006181010 (???), A0000000031010 (Visa), A0000000041010 (MasterCard)
* App https://play.google.com/store/apps/details?id=softax.pekao.powerpay

Payback
* AIDs D2760001670001 (PAYBACKPAY), D2760001670002 (PAYBACKCOLLECT), D2760001670003 (PBPAYCOLLECT)
* App https://play.google.com/store/apps/details?id=de.payback.client.android

ING Mobile Payments
* AIDs A0000000043060 (Mastercard Maestro Debit)
* App https://play.google.com/store/apps/details?id=com.ing.mobilepayments

MobilePay
* AIDs A0000000031010 (Visa), A0000000032010 (VISA Electron Debit)
* App https://play.google.com/store/apps/details?id=sk.tb.mp.tatraandroid

NAB (National Australia Bank)
* AIDs A0000000031010 (Visa), A0000000980840 (Visa US Common Debit)
* App https://play.google.com/store/apps/details?id=au.com.nab.mobile

La tua banca per Android
* AIDs A0000000041010 (MasterCard), A0000000032010 (VISA Electron Debit), A0000000031010 (Visa)
* App https://play.google.com/store/apps/details?id=com.latuabancaperandroid

Virtual PKI Smart Card
* AID A0000000010101
* Blog http://nelenkov.blogspot.de/2012/10/emulating-pki-smart-card-with-cm91.html
* Source Code https://github.com/nelenkov/virtual-pki-card/tree/master/hce-pki

SwipeYours
* AID A0000000031010 (Visa)
* Blog http://blog.simplytapp.com/2014/01/host-card-emulation-series-swipeyours.html
* App Download https://play.google.com/store/apps/details?id=to.noc.android.swipeyours
* Source Code https://github.com/dimalinux/SwipeYours
* also available as JavaCard Applet https://github.com/SimplyTapp/CardExamples/tree/master/CardApplet-VisaMSD-SwipeYours

TechBooster / C85-Android-4.4-Sample: NdefCard
* AID D2760000850101 (NXP Semiconductors, NDEF Tag Application V2.0)
* Source Code https://github.com/TechBooster/C85-Android-4.4-Sample/tree/master/chapter08

Google Wallet
* AID F0F00777FF5511
* App https://play.google.com/store/apps/details?id=com.google.android.apps.walletnfcrel

Tapp
* AID A0000000041010 (MasterCard), A0000000031010 (Visa), A0000002771010 (Interac)
* App https://play.google.com/store/apps/details?id=com.tapp
* SimplyTapp https://www.simplytapp.com/

Mobile Bitcoin Payment Solution
* AID F0F00777FF5511
* Mensa an Uni Züri akzeptiert Bitcoins http://www.netzwoche.ch/de-CH/News/2014/02/12/Mensa-an-Uni-Zueri-akzeptiert-Bitcoins.aspx?exURL=http://bitcoin.csg.uzh.ch/
* Download http://bitcoin.csg.uzh.ch/downloads/ or Google Play https://play.google.com/store/apps/details?id=ch.uzh.csg.mbps.client

LiqPay (Ukraine’s PrivatBank)
* AID A0000000041010 (MasterCard), 325041592E5359532E4444463031 (PPSE ‚2PAY.SYS.DDF01‘)
* App https://play.google.com/store/apps/details?id=ua.privatbank.liqpay
* Website http://old.privatbank.ua/en.html

NFC Spy
* AID F04E4643535059 (nfcspy xposed mod), F04E66E75C02D8 (androcheck’s xposed mod (xda)), …many many other / all
* App https://play.google.com/store/apps/details?id=com.sinpo.nfcspy
* Source Code https://code.google.com/p/nfcspy/

Module for NFC Host-Card-Emulation (HCE) Catch-All Routing
* AIDs: receive all APDUs packets for ANY AID
* Website/Info http://repo.xposed.info/module/at.zweng.xposed.modifyaidrouting
* XDA-Forum Thread:
[DEV] Xposed module: KitKat Card-Emulation catch-all AID Routing http://forum.xda-developers.com/showthread.php?t=2573430
* Source Code https://github.com/johnzweng/XposedModifyAidRouting

VirtualJavaScriptCard – Host-based Card Emulation with JavaScript
* AIDs: A000000151000000, A000000003000000, A0000000031010, A0000000041010, A000000167413000ff, 315041592e5359532e4444463031
* Source Code https://github.com/rena2019/VirtualJavaScriptCard

EMVemulator – Android app collects Mag-Stripe data and CVC3 codes from PayPass cards and emulates that informations
* AIDs: A0000000041010 (MasterCard), 325041592E5359532E4444463031 (PPSE ‚2PAY.SYS.DDF01‘)
* Source Code https://github.com/MatusKysel/EMVemulator

NFC-Matric-System-Demo – demo application for the Mobile Matric Card project for the National University of Singapore
* AIDs: F0010203040506, F0394148148100
* Source Code https://github.com/ryandao/NFC-Matric-System-Demo

CUA redi2PAY
* CUA (Credit Union Australia) redi2PAY payment app https://play.google.com/store/apps/details?id=au.com.cuscal.redi2pay.hcelite.cua001
* Homepage http://www.cua.com.au/

BBVA Wallet
* BBVA launches the first commercial solution for Visa cloud-based mobile payments http://vision.visaeurope.com/article/bbva-launches-the-first-commercial-solution-for-visa-cloud-based-mobile-payments/1cc552c76a9d06e567c113995e4ad784
* Google Play Store https://play.google.com/store/apps/details?id=com.bbva.bbvawallet

Announcements
* Wirecard erweitert Mobile Wallet Plattform um HCE-Technologie http://www.wirecard.de/newsroom/pressemeldungen/newsdetail/wirecard-erweitert-mobile-wallet-plattform-um-hce-technologie/
* Proxama and Cryptomathic: EMV Tokenised Transaction (EMV-TT) http://proxama.com/news/proxama-and-cryptomathic-create-mobile-contactless-payment-solution-leveraging-nfc-host-card-emulation/
* Visa to Enable Secure, Cloud-Based Mobile Payments http://pressreleases.visa.com/phoenix.zhtml?c=215693&p=irol-newsarticlePR&ID=1901153
* MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments http://newsroom.mastercard.com/press-releases/mastercard-to-use-host-card-emulation-hce-for-nfc-based-mobile-payments/
* SecureKey briidge.net Connect Authentication Service Supports Google Android HCE http://securekey.com/securekey-briidge-net-connect-authentication-service-supports-google-android-hce/
* Banco Sabadell picks Carta for HCE payments trial http://www.nfcworld.com/2014/03/04/328162/banco-sabadell-picks-carta-hce-payments-trial/
* Sberbank, Biggest Bank So Far to Adopt Host Card Emulation, Aims for 3 Million Users http://www.digitaltransactions.net/news/story/Sberbank_-Biggest-Bank-So-Far-to-Adopt-Host-Card-Emulation_-Aims-for-3-Million-Users