Im Prinzip ist das Zahlen mit der Kreditkarte ganz einfach: Zusammen mit der Bestellung schickt der Kunde auch gleich die Daten seiner Kreditkarte (Name des Kontoinhabers, Kartennummer und Gültigkeitsdatum) über das Netz. Dies hat den Vorteil, daß es genauso schnell geht, wie man es vom Zahlen per Karte auf herkömmliche Weise her kennt. Es birgt jedoch große Sicherheitsrisiken in sich. So kann ja bekanntlich jeder die Daten an den Knotenpunkten im Netz abfangen. Zwar gehen die sensiblen Daten in der Informationsflut des Internets unter, doch lassen sie sich mit nur mäßiger krimineller Energie genauso leicht wieder herausfischen. Dem auffälligem Gelb der Quittungen, die beim Kreditkartenkauf auf herkömmlichen Weg entstehen -die ja auch einige unachtsame und arglose Mitmenschen einfach in den Müll werfen-, gleicht nämlich das typische 16-stellige Nummernmuster der Kreditkarte. Das zweite große Risiko ist, daß man nicht absolut sicher sein kann, wem man seine Kreditkartendaten schickt. Denn nicht immer liefert das Geschäft, dem man seine Daten sendet, auch die bestellte Ware; manchmal sammelt es auch bloß Kreditkartennummern.
Soll also im Netz mit der Kreditkarte gezahlt werden, müssen zwei Dinge sichergestellt sein: Zum einen müssen die Daten möglichst abhörsicher transportiert werden, und zum anderen muß sich der Kunde von der Authentizität des Anbieters vergewissern können. Im Prinzip ergibt sich hier das selbe Problem, das oben schon in Verbindung mit den verschiedenen Homebankinganwendungen gezeigt wurde. Auch beim Senden von Kreditkarteninformationen über das Internet zeigen sich die drei Angriffspunkte: Zielserver, Übertragung und Kunden-PC. Die Übertragung der Daten, an dieser Stelle die Kreditkarteninformationen, ist das Hauptproblem, denn dabei können die Kartennummern ausspioniert werden. Die Lösung des Problems sollen sogenannte Protokolle bieten, die den Datenfluß bei der Datenübertragung verschlüsseln. Die zur Zeit aussichtsreichsten Vorschläge sind das "Secure Hypertext Transfer Protocol" (S-HTTP), der "Secure Sockets Layer" (SSL) und das "Secure Encryption Transaction Protocol" (SET).
S-HTTP
S-HTTP wurde von Enterprise Integration Technologies eingeführt und soll sicherstellen, das eine bestimmte Meldung sicher von A nach B kommt. Für das Protokoll spricht zwar seine Flexibilität, bislang finden sich jedoch kaum Impementationen im Netz, zumal die beiden meistgenutzten Webbrowser (Netscape Navigator und Internet Explorer) S-HTTP nicht unterstützen.
SSL
SSL, das Netscape mit der Version 2.0 des Navigators einführte, ist momentan der aktuelle Standard im Netz. Bestandteil von SSL ist die Authentifizierung des Servers mittels digitaler Zertifikate.
Abb 1: Digitales Zertifikat der Bank24
Damit eignet sich SSL grundsätzlich zur Übermittlung von Kreditkarteninformationen, jedoch ist SSL in der internationalen Version nicht so sicher wie es sein könnte. Da in den USA kryptographische Methoden teilweise unter das militärische Exportverbot fallen, arbeitet die Exportversion des Navigators nur mit einer 40-Bit-Verschlüsselung, statt, wie in den USA, mit einer 128-Bit-Verschlüsselung. Diese 40-Bit-Verschlüsselung ist schon mit einem normalen Pentium-Rechner in einingen wenigen Wochen zu knacken. Eine geknackte Verbindung läßt aber keine Rückschlüsse auf andere Verbindungen zu, jede müßte für sich erneut geknackt werden. Vor kurzer Zeit hat die US-Regierung zwar das Export-Verbot für Kypto-Software gelockert, allerdings ist dies nach Ansicht von Harald Summa, Chef des deutschen Electronic Commerce Forum (eco), "in Wirklichkeit nur eine Halbe Sache. Statt mehr Sicherheit in aller Welt, bringe die neue Regelung den Betreibern von Homeshopping-Angeboten in den USA einen weiteren Wettbewerbsvorteil." Denn die angekündigte Lockerung der Exportvorschriften bezieht sich nur auf die in den Browsern enthaltene Client-Software, "die für die Verwendung des starken Schlüssels notwendige Server-Technologie bleibt weiterhin als Kriegswaffe unter Verschluß; lediglich Banken können im Einzelfall und auf besonderen Antrag eine Ausnahmelizenz bekommen."23 Somit kommt der Nutzer nur bei Onlineshops in den USA in den Genuß einer sicheren 128-Bit-Verschlüsselung, was ein "Ungleichgewicht der Chancen" zur Folge hat.
SET
Natürlich sind auch die Kreditkartenunternehmen an sicheren Kreditkartenzahlungen im Internet interessiert. Zu diesem Zweck haben sich Visa und Mastercard zusammengetan und den SET-Standard kreiert. Derzeit laufen rund um den Erdball verschiedene Tests mit SET, mit einer endgültigen Freigabe rechnet man aber nicht vor 1998. Die Chancen für den Standard stehen aber nicht schlecht, denn zum einen hat SET von allen Protokollvorschlägen die mächtigste Lobby, zum anderen ist derzeit geplant, keine Lizensierungsgebühren zu verlangen. Solange es SET noch nicht gibt, warnen Kreditkartenunternehmen wie Mastercard eindringlich davor, Kreditkartennummern dem Internet anzuvertrauen. Hier setzen Broker wie "First Virtual" an.
First Virtual
First Virtual umgeht das Problem, indem erst gar keine Kreditkarteninformationen durch das Netz geschickt werden. Statt dessen arbeitet man mit einem Bestätigungsverfahren. Die Kontoeröffnung läuft in drei Schritten ab: Zuerst teilt man dem Unternehmen Namen, Adresse, E-Mail-Adresse und ein mindestens achtstelliges Paßwort mit. Danach erhält der potentielle Kunde eine E-Mail mit einer Telefonnummer und einem zwölfstelligen Code. Über die Nummer erreicht man einen Telefoncomputer, der dann nach erfolgreicher Legitimation durch den zwölfstelligen Code die Kreditkarteninformationen entgegennimmt. Schließlich bekommt man wieder per E-Mail eine Virtual-PIN. Beim Kauf im Internet gibt man dann den Vertragspartnern von First Virtual die Virtual-PIN an. Die Anbieter wenden sich mit der PIN und dem Rechnungsbetrag an First Virtual, welche darauf per E-Mail beim Kunden nachfragen, ob der Betrag akzeptiert wird. Nur wenn der Kunde diesen Betrag explizit bestätigt, weist First Virtual ihn an. Dieses kreditkartenbasierte Zahlungsverfahren ist zwar ziemlich sicher, doch hat es auch einige Nachteile: Zum einen können mit First Virtual nur digitale Produkte, die auch über das Internet geliefert werden können (Software, Informationen, Musik, u.ä.) gekauft werden, und zum zweiten eignen sich Kreditkarten nicht für kleine und kleinste Beträge. Außerdem ist es nicht wünschenswert, wenn irgendwelche Stellen alle Transaktionen verfolgen können, wie das im Fall der Zahlung mit Kreditkarten der Fall ist. Hier lassen sich Käuferprofile erstellen und der Kunde wird zum gläsernen Kunden. Besser ist es, wenn der Zahlungsvorgang anonym erfolgen kann. Dafür eignet sich digitales Geld.
|