Was Payment Gateways wirklich bringen

“Payment Gateways“ (oder “Payment Hubs“) werden immer wieder als Bestandteil einer modernen Zahlungsabwicklung beworben. Doch was genau verbirgt sich hinter dem Begriff? Für welche Unternehmen und Anwendungsfälle lohnt sich der Einsatz eines Payment Gateways wirklich? Welche Vorteile können erzielt werden? Was sollte beim Einsatz in Bezug auf bereits vorhandene Systeme und den Aspekt der Sicherheit beachtet werden?

Ein Gateway bezeichnet in der IT eine Verbindung zwischen zwei oder mehreren Systemen in der Rolle des Vermittlers und meint

a) … im Kontext des digitalen Zahlungsverkehrs im Handel: die Abwicklung von elektronischen Zahlungen (meist Kreditkarten und Debitkarten) zwischen Käufern (Kunden) und Verkäufern (Händler), wobei das Gateway als Vermittler Zahlungstransaktionen an angebundene PSPs¹ und Acquirer² weiterleitet. (z.B. ACI, SPREEDLY, NUVEI, aber auch andere)³

b) … im Kontext des klassischen Zahlungsverkehrs bei Corporates: die Abwicklung von Finanztransaktionen auf Bankkonten bei Hausbanken vor allem für ausgehende Zahlungen (Lieferanten, Mitarbeiter, Ämter) aber auch eingehende Lastschriften (Kunden). Dabei stellt das Payment Gateway die Verbindung vom Unternehmen zur Bank her – ähnlich zu einem Electronic-Banking System. Dabei sind die Grenzen zum Treasury Management System (TMS) häufig fließend (z.B. SERRALA, TIS, OMIKRON, aber auch andere)⁴

Der folgende Artikel konzentriert sich dabei auf die Aspekte eines Payment Gateway im klassischen Zahlungsverkehr (b).

Ein Payment Gateway bindet auf der externen Seite die Hausbanken eines Unternehmens über die verfügbaren Kanäle EBICS, H2H, SWIFT (und mittlerweile API) an. Auf der internen Seite stellt er die Verbindung zu den ERP- und Accounting-Systemen her. Er sorgt damit für einen ersten wesentlichen Vorteil im Vergleich zum Einsatz von E-Banking-Systemen: den automatischen Upload von Zahldateien ohne manuelle Intervention (= Straight Through Processing). Weiterhin bietet ein Payment Gateway meist eine Formatbibliothek an, mit der Zahlungsinformationen von intern genutzten Schnittstellen-Formaten in landesspezifische und von den jeweiligen Banken anerkannte XML-Formate konvertiert werden.

Darüber hinaus bietet ein Payment Gateway typischerweise einen Umfang zusätzlicher Funktionalitäten, wie zum Beispiel (Liste nicht erschöpfend):

• die Verwaltung von Bank-Stammdaten
• die Verwaltung von Nutzern und Freigaberechten
• die Freigabe von Zahlungen
• die Nachverfolgung und Fehleranalyse von Zahlungen 
• den Empfang von Kontoauszügen
• ein Reporting für Konten, Salden und Transaktionen
• gegebenenfalls eine Liquiditätsvorschau oder sogar Liquiditätsplanung

Das Gateway steht damit in direkter Konkurrenz zu den E-Banking-Systemen der Banken, die bei seiner Nutzung nur noch als Fallback oder für Spezialzahlungen benötigt werden. Ein Einsatz wirkt sich daher auch auf die Zusammenarbeit mit den Banken aus.

Im Payment Gateway werden zunächst Kontostammdaten bankübergreifend verwaltet. Das kann erstmals Transparenz über alle Bankkonten weltweit herstellen (sofern noch nicht vorhanden) oder zu einer Redundanz im Stammdaten-Management führen (wenn die Stammdaten bereits in ERP-Systemen erfasst sind). Bei der Nutzung von Corporate Seal können sogar Freigaberechte ohne Zutun der Bank administriert werden – oft ein großer Geschwindigkeitsvorteil bei der Anpassung von Limiten zum Beispiel für neue Mitarbeiter. Bei der Analyse von Fehlern in Zahldateien ist die Bank weiterhin gefragt aber das Gateway bringt auch hier Möglichkeiten zur Validierung von und Fehlersuche in Zahldateien mit. 

Die zusätzlichen administrativen Aufgaben im Payment Gateway bringen zunächst mehr Aufwand und Verantwortung für die Treasury-Abteilung mit sich. Allerdings stärken die neuen Aufgaben auch die Wahrnehmung des Treasury als kompetenten Ansprechpartner der Tochtergesellschaften und Service-Funktion im Konzern.

Offensichtlich verändert ein Payment Gateway auch die Zusammenarbeit mit den Hausbanken. Manche Banken sehen sich durch den Einsatz in die Rolle eines reinen “Backends“ und Zahlungsabwicklers gedrängt oder ihre Relevanz bei Implementierungsprojekten schwindet, was mit einzelnen Häusern zu Verstimmungen führen kann. Andere Banken sorgen sich um Themen wie Haftung und Betrugsprävention oder lassen sich vertraglich weitergehende Rechte in Bezug auf die anlassbezogene Herausgabe von Daten (z.B. Log-Files zur Freigabe-Historie) zusichern. Die meisten Banken gehen jedoch proaktiv mit dem Trend um, unterstützen Kunden bei ihren Implementierungsprojekten oder schließen sogar Kooperationen mit Payment Gateways. 

Einige Payment-Gateways stellen bankenspezifische, länderspezifische und vorgetestete Zahlformate in Form einer Bibliothek (Payment Library) bereit. Somit ist das Gateway in der Lage, aus Zahlungsinformationen in unterschiedlichen internen Formaten (z.B. CSV, TXT oder IDOC aus einem ERP) ein valides XML-Zahlformat nach ISO-20022-Standard zu generieren. Dies bietet zahlreiche Vorteile:

• Wenn Zentralbanken neue Zahlarten einführen (z.B. Instant Payments, Realtime Payments oder Split Payments) können Zahlformate pro Bank schnell produktiv genommen werden.
• Bei der Ablösung von Altformaten (z.B. DTAZV) und der Einführung des ISO-Standard sind Formatbibliotheken hilfreich, da sie die technische Migration beschleunigen und vereinfachen. 
• Zudem können neue Zahlläufe schneller umgesetzt und damit zusätzliche Zahlvorgänge in der Buchhaltung automatisiert werden. 

Zwar bieten auch ERP-Systeme in gewissem Maß Vorlagen für landesspezifische Zahldatei-Formate – diese sind aber mit einem Customizing-Aufwand an die Formatspezifikationen der jeweiligen lokalen Banken anzupassen. Vor allem fällt der initiale Format-Test gemeinsam mit der Bank umfangreicher aus und hängt von der Verfügbarkeit der bankseitigen Implementation-Managern ab. Auch die Verantwortung und der Aufwand für die Pflege und Wartung der Formate liegt in der IT-Abteilung des Unternehmens. Mit den vorvalidierten und automatisch gewarteten Formaten einer Payment Library hingegen kann interner IT-Aufwand eingespart und effizient zum Dienstleister ausgelagert werden. 

Abzugrenzen sind Auslagerungen, die über die Formatpflege und das E-Banking und damit das Funktionsspektrum eines Payment Gateway hinausgehen. Für eine Auslagerung des kompletten Zahlungsverkehrs inklusive der Befüllung und Vorbereitung von Zahldateien für Vendor-Payments oder komplexe HR-Zahlungen sowie deren Verbuchung und die Überwachung des Settlement sind wiederum andere Anbieter erforderlich (z.B. ADP, Bottomline Technologies, PAYONEER, DATEV, aber auch andere)⁵.

Mit der Zentralisierung der Bankstammdatenverwaltung. Bankanbindung, Kontenadministration und Zahlungsabwicklung schafft das Payment Gateway automatisch eine stärkere Abhängigkeit der Tochtergesellschaften von der Zentrale. Dies verbessert die Übersicht über lokale Bankkonten und Freigaberechte, erleichtert die Durchsetzung einheitlicher Limite und zwingt die Töchter zur stärkeren Abstimmung mit der zentralen Treasury-Abteilung bei der Eröffnung und Schließung von Bankkonten. An einer derartigen Verbesserung der Governance dürfte nicht zuletzt der CFO stark interessiert sein. Zudem kann mit der Zentralisierung die Grundlage für ein späteres Shared-Service-Center (Payment Factory) gelegt werden.

Auf der Kostenseite stehen den Einsparungen bei der Formatpflege und dem Effizienzgewinn durch einen vereinheitlichten Admin-Prozess zunächst die Kosten für die Software-Subscription einer weiteren Cloud-Plattform entgegen. Zusätzlich stärkt ein Payment Gateway jedoch den Wettbewerb zwischen den Banken in Bezug auf:

• die Zuverlässigkeit und Dauer der Zahlungsausführung
• die Einführung neuer Zahlarten 
• und nicht zuletzt das Pricing.

Der Wechsel eines Bankkontos hin zu einer besseren oder günstigeren Bank ist nach wie vor mit Aufwand verbunden aber in Bezug auf das technische Setup in einem Payment Gateway deutlich schneller und einfacher. Bei hohen Transaktionsvolumen sollten sich die Fixkosten für die Softwaremiete daher mittelfristig amortisieren.

Die technische Zahlungsfähigkeit eines Unternehmens in die Hände eines Cloud-Anbieters zu legen, könnte zunächst nachvollziehbare Bedenken bei einem verantwortungsvollen Treasurer hervorrufen – zum Beispiel in Bezug auf die Datensicherheit, das Provider-Risiko und die Kontrolle über den Zahlungsverkehr. 

Um trotzdem in den Genuss der Vorteile zu kommen, können operative Risiken zunächst durch die Auswahl eines passenden Anbieters begrenzt werden, der die erforderliche Verfügbarkeit und Zuverlässigkeit garantiert (Failover, Backup, Limitierung der Downtimes) – am besten nachweislich mit einem passenden SLA (Service Level Agreement) und einer ISO-Zertifizierung. Bei genauerer Betrachtung wird man dabei erkennen, dass sich das Ausfallrisiko und die Verfügbarkeit des Supports bei den meisten Anbietern heute auf einem Niveau ähnlich dem von Banken bewegt.

Die Einhaltung des Datenschutzrechts (GDPR, DSGVO) und die Datensicherheit wird von Behörden in Unternehmen bekanntlich mittels hoher Strafen vehement durchgesetzt und ist heute breit im öffentlichen Bewusstsein angekommen. Dies lässt dem Schutz personenbezogener Informationen im Zahlungsverkehr (z.B. Bankverbindungen) oder gar sensibler Daten (z.B. Gehaltszahlungen) eine besondere Rolle zukommen. Auslagerungsunternehmen wie Payment Gateways treffen dafür in der Regel Vorkehrungen im Vertragswerk und den Prozessen. Aber auch das Treasury sollte hierzu Maßnahmen ergreifen – z.B. in Form von: 

• eines Berechtigungskonzepts
• klaren Vorgaben und Schulungen für Admins
• Freigabeprozessen 
• und einer Dokumentation

Zudem sollte eine Tochtergesellschaft, welche die Zentrale mit der Abwicklung des Zahlungsverkehrs beauftragt, diese Aufgabe initial mit geeigneten Verträgen delegieren, um eine rechtliche Basis für die Zentralisierung zu schaffen. Eine Auslagerung ist weiterhin ein guter Anlass, sich einmal grundlegend mit Datenschutz und Datensicherheit zu befassen, um den Missbrauch sensibler Nutzerdaten zu verhindern.

Neben den bereits genannten Risiken dürfte auch das Thema Cybersicherheit in Zusammenhang mit Payment Gateways einige Bedenken aufwerfen. Cyberangriffen sind zunächst alle am Prozess des Zahlungsverkehrs beteiligten Parteien in ähnlichem Maß ausgesetzt:

• Banken (und auch Zentralbanken):
  Banken stehen besonders im Fokus von Cyber-Attacken aber unterliegen auf der anderen Seite einem hohen regulatorischen Druck. Neue Gesetze wie die Verordnung DORA (Digital Operational Resilience Act) machen strenge Vorgaben zur Cybersicherheit und zwingen die Banken zu hohen Investitionen in Sicherheit und Betrugserkennung. Diese sind auf der anderen Seite auch erforderlich, um eine komplexe und umfangreiche Infrastruktur und Organisation zu schützen.
• Cloud-Anbieter (Payment Gateways oder Treasury-Management-Systeme):
  Cloud-Anbieter haben bei geringerer Größe auch geringere Budgets zur Verfügung. Andererseits sind sie als Technologieführer am besten in der Lage, sich mit technischen Maßnahmen gegen Bedrohungen zu schützen (Authentisierung, Verschlüsselung, Dynamische IP-Adressen, usw.). Sie unterliegen zwar nicht den strengen Gesetzen der Aufsichtsbehörden aber durchlaufen meist Zertifizierungen zur Informationssicherheit (wie zum Beispiel ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 oder SOC 2, um nur einige zu nennen). Cloud-Anbieter schaffen es daher immer wieder, Cyberangriffe erfolgreich abzuwehren⁶.
• Corporates (mit einer On-Premise-Installation des ERP oder TMS):
  Das schwächste Glied in der Kette dürften leider noch oft die Unternehmen selbst sein, wenn sie nicht ausreichend in Cybersicherheit investieren, Notfallpläne vorhalten oder IT-Security-Zertifizierungen durchführen. Durch die Speicherung sensibler Daten zum Zahlungsverkehr in ERP-Systemen, E-Mail-Programmen oder Folder-Strukturen sind die Unternehmen einem hohen Risiko ausgesetzt.

Wenn ein Unternehmen über die Erhöhung der IT-Sicherheit im Zahlungsverkehr nachdenkt, dürfte somit eine Auslagerung von weiteren Prozessen zu Cloud-Anbietern oft sogar eine Verbesserung im Vergleich zum Status Quo darstellen.

Zusammenfassend erschließt ein kluges IT-Setup des Zahlungsverkehrs finanzielles Potenzial und ist ein wichtiger Stellhebel für Verbesserungen. Vor dem Start größerer Zahlungsverkehrs-Projekte kann es deshalb sinnvoll sein, sich (neben der Bankenstrategie) über die konkrete Payment-Strategie Gedanken zu machen und zum Beispiel folgende Fragen zu klären:

• Formatentwicklung:
  Make or Buy?
• Administration von Limiten:
  Inhouse oder bei Banken?
• Governance:
  Zentralisierung oder Dezentralisierung des Zahlungsverkehrs?
• Stellenwert von Sicherheit:
  Manuelle Schnittstellen oder Automatisierung?

Die nächste ERP-Migration oder ein Projekt zur Ablösung von Altformaten könnten zum Beispiel ein guter Anlass sein, sich einmal grundlegend mit der Payment-Strategie zu beschäftigen und die IT-Landschaft einem Review zu unterziehen – vor allem hinsichtlich des Einsatzes eines Payment Gateways.

Quelle: KPMG Corporate Treasury News, Ausgabe 149, November 2024
Autoren:
Nils Bothe, Partner, Finance and Treasury Management, Corporate Treasury Advisory, KPMG AG
Sascha Uhlmann, Senior Manager, Finance and Treasury Management, Corporate Treasury Advisory, KPMG AG

_______________________________________________________________________________________________________________

¹ Ein Payment Service Provider (PSP) stellt die technische Infrastruktur für die Abwicklung bargeldloser Zahlungsmethoden an der Schnittstelle zum Endkunden bereit - sowohl online im E-Commerce (über den Checkout-Prozess) als auch im stationären Handel (über Zahlungsterminals).
² Ein Acquirer ist eine Bank oder ein Finanzdienstleister, der die Autorisierung und Abwicklung von Kartenzahlungen übernimmt und die Beträge auf die Bankkonten der Händler auszahlt.
³ Die Auswahl der Anbieter wurde zufällig getroffen. Es handelt sich hierbei um illustrative Beispiele ohne Wertung hinsichtlich der Relevanz oder Kompetenz der jeweiligen Anbieter.
⁴ Gleiche Anmerkung wie unter Fußnote 3.
⁵ Die genannte Auswahl von Anbietern, die als Auslagerungspartner für weiterer Teile des Zahlungsverkehrs fungieren können, wurde zufällig getroffen. Es handelt sich hierbei um illustrative Beispiele ohne Wertung hinsichtlich der Relevanz oder Kompetenz der jeweiligen Anbieter.
⁶ Amazon Web Services (AWS) ist ein exemplarischer Vertreter der Branche und setzt zahlreiche innovative Tools im Bereich Früherkennung, Abwehr und Schutz vor Cyberattacken ein. AWS zufolge konnten mithilfe dieser Tools bereits zahlreiche Angriffe abgewehrt werden. („In the first quarter of 2023 […] we stopped over 1.3M outbound botnet-driven DDoS attacks”) 
Quelle: Ryland, M. (2023, September 28). How AWS threat intelligence deters threat actors. AWS Security Blog. Verfügbar unter: https://aws.amazon.com/de/blogs/security/how-aws-threat-intelligence-deters-threat-actors