Smartcards sind Karten vorwiegend im ID-1 Format. Im Kartenkörper befindet sich eine integrierte Schaltung. Es gibt Speicherkarten und Mikroprozessorkarten. Der Vorteil von Geldkarten gegenüber Magnetkarten besteht darin, daß sie einen größeren Speicher aufweisen und die Möglichkeit, die Daten auf der Karte sicher zu verschlüsseln.
Abb.21.: Microprozessorkarte
Wie funktioniert der Einsatz der Geldkarte im Internet?
Die Geldkarte stützt sich auf zwei Sicherheitskomponenten, nämlich der Kundenkarte und der Händlerkarte, die bei jeder Zahlungstransaktion in Verbindung stehen. Durch den Austausch von Zertifikaten bestätigen sich beide Teilnehmer die gegenseitige Authentizität bzw. Gültigkeit.
Im klassischen Händlerterminal befinden sich beide Sicherheitskomponenten in einem Gerät. Die beiden im Terminal befindlichen Kartenleser für die Kunden- und die Händlerkarte werden nun durch das Internet räumlich voneinander getrennt. Grundvoraussetzung für eine Kommunikation ist, daß der Kunde und der Händler über einen Internetzugang und ein Kartenlesegerät besitzen. Der Kunde muß sich nur einen Kartenleser zulegen, die Ausstattung des Händlers ist abhängig von den Anforderungen an Durchsatz und Leistungsfähigkeit.
Ein Beispiel: Ein Kunde wählt sich ein Produkt auf der Web-Seite eines Internet-Shops aus und teilt seine Kaufabsicht mit. Um dem Kunden nun die Gewißheit zu geben, mit dem richtigen Händler zu kommunizieren, wird ein Händlerzertifikat übertragen. Dabei ist nicht von einer abgesicherten Anzeige auf einem PC-Monitor auszugehen. Beispielsweise könnte ein betrügerischer Händler mit einer äußerlich identischen Web-Seite eines bekannten Anbieters den Kunden täuschen. Um dies zu verhindern, wird das Zertifikat, das den Händler klar identifiziert, in einer sicheren, separaten Einheit, dem Kundenleser (trusted device), geprüft und dort manipulationsgeschützt angezeigt.
Nachdem der Kunde sich von der Echtheit des Händlers überzeugen konnte, wird in seinem trusted device der zu entrichtende Zahlungsbetrag angezeigt und bestätigt. Anschließend wird der Kunde zum Einstecken der Geldkarte in den Leser aufgefordert. Schließlich wird das zuvor auf die Geldkarte geladene Geld abgebucht und dem Händler gutgeschrieben. Der Händler kann seine erwirtschafteten Umsätze anschließend an die Clearingstellen (Händlerevidenzzentralen) weiterleiten, um die Gutschrift auf dem Konto zu erhalten.
Wie teuer sind die den Ansprüchen an Sicherheit und Qualität aller Seiten gerecht werdenden Kartenleser?1)
Der Erfolg dieses Systems steht und fällt letztlich mit der Infrastruktur beim Kunden. Der Trend zeigt, daß Kartenleser bald wie ein Floppy-Laufwerk zu jedem PC gehören werden. Von Bedeutung ist auch Preiswertigkeit. Über die entsprechenden Stückzahlen werden dann auch Endkundenpreise von ca. 50 Mark erzielt werden.
Grundsätzlich ist die Bezahlung eine Form der Authentifizierung des Käufers und des Händlers gegenseitig oder gegenüber einer dritten Instanz. Diese Authentifizierung könnte bereits eine Zahlung sein (anonym), wie beispielsweise mit der Geldkarte. Es kann aber auch über ein kontenbasiertes (nicht anonymes) Verfahren, wie zB Lastschriften, ablaufen. Als hardwarebasiertes Verfahren vereint die Smartcard alle benötigten Eigenschaften in sich: Sie ist sicher, portabel, und anwendungsfreundlich.
Die Geldkarte ist sicher, weil
. alle Daten vor der Übertragung übers Internet verschlüsselt wurden, sodaß der Empfänger trotzdem zweifelsfrei sieht, von welcher Geldkarte bzw. Händlerkarte diese stammen und zum anderen sicher sein kann, daß die Daten bei der Übertragung nicht verändert wurden
. Zahlungen nur bei aktiver Beteiligung der handlichen Geldkarte möglich, also Zahlungen durch einfache Entnahme der Geldkarte aus dem Chipkartenleser unterbunden sind
. die Ausgabe von Händlerkarten geregelt und damit verhindert ist, daß sich Unberechtigte als legitime Akzeptanten für Geldkartenzahlungen ausweisen
. ein sogenannter Geldkartenakzeptant die Zahlung abwickelt, der bei jeder Zahlung die verläßliche Zuordnung von Händler und Händlerkarte sicherstellt
. die Erstellung von Nutzerprofilen verhindert ist, da der Händler keine Zahlungsinformationen und der Geldkartenakzeptant keine auswertbaren Bestelldaten erfährt und schließlich
. eine explizite Rückfrage beim Händler gewährleistet, daß Zahlungspflichtiger und -empfänger das gleiche Verständnis über den Bestell- und Zahlungsprozeß haben.
Auswahl der Rahmenbedingungen
Wenn der Kunde alle benötigten Informationen für die Abwicklung der Transaktion erhalten hat, antwortet er mit einem Zahlungsanfrageblock. An dieser Stelle informiert der Kunde den Händler über die ausgewählten Rahmenbedingungen. Abhängig davon kann sich der Kunde authentifizieren. Dieser Bestandteil ist optional, um Käufern auch anonyme Transaktionen zu erlauben. Hierbei werden auch die Zahlungsmittel sowie die dadurch beteiligten Organisationen vereinbart. Wenn eine Authentifizierung stattfinden soll, enthält dieser Block auch Komponenten für die digitale Signatur und das zugehörige Zertifikat. Außerdem wird durch eine Betragskomponente der Warenpreis bestätigt.
Mit diesen Informationen leitet der Händler den Zahlungsvorgang ein. Dazu sendet er einen Zahlungsblock an den Kunden, der das ausgewählte Zahlungsmittel aktiviert. Haben sich Händler und Kunde zum Beispiel auf das Zahlungsmittel Geldkarte geeinigt, startet die Wallet des Kunden mit der entsprechenden Software.
OTP (Open Trade Protocol - siehe 2.8.9 OTP) steuert die weitere Kommunikation (kann den Nachrichtenaustausch nicht lesen). Die OTP-Software packt die Nachrichten nur für den Transport ein und gibt sie auf beiden Seiten an die Geldkarte-Software weiter. Dabei kann nötigenfalls eine weitere Organisation (zB ein Finanzdienstleister) in die Transaktion eingebunden werden. Für den Kunden beginnt nun die Geldkartenzahlung.
Nachdem der Kunde die Chipkarte in das Lesegerät an seinem PC geschoben hat, erscheinen der verfügbare Restbetrag und die zu zahlende Summe auf dem Bildschirm. Bestätigt er die Zahlung, wird der Betrag von Geldkarte abgebucht und auf der Händlerkarte des Händlers gutgeschrieben. Wenn die Geldkarte-Software des Händlers seine OTP-Software über den erfolgreichen Zahlungsvorgang informiert hat, sendet der Händler einen Zahlungsbestätigungsblock an den Kunden, der die Quittung, Zahlungsmitteldaten (zB Protokollnachricht des Zahlungssystems) und Signatur enthält (alle Beteiligten müssen ihre Daten signieren: der Händler sein Angebot, der Käufer seine Bestellung und Zahlung, der Finanzdienstleister die Zahlungsbestätigung und der Lieferant die Lieferbestätigung).
Anschließend sendet der Kunde einen Lieferungsanfrageblock an den Händler. Hierbei werden die zu liefernden Waren beschrieben und der Händler über die gewünschte Lieferart und Anschrift informiert. Bei einer Lieferung über das Internet kann der Kunde zwischen einer ungesicherten und einer gesicherten Lieferung wählen. Wird HTTP als Transportprotokoll genutzt, würde eine gesicherte Lieferung unter Verwendung von SSL erfolgen. Ebenfalls kann dieser Block optional Komponenten für die digitale Signatur und das Zertifikat enthalten. Abschließend antwortet der Händler mit einem Lieferungsantwortblock, der Lieferungsinformationen enthält und der Händler die Art der Auslieferung bestätigt. Die Kauftransaktion mit OTP ist jetzt abgeschlossen.
|