Sicherheit bei Zahlung mit Kreditkarter />
Soll also im Netz mit der Kreditkarte gezahlt werden, müssen zwei Dinge sichergestellt sein: Zum einen müssen die Daten möglichst abhörsicher transportiert werden, und zum anderen muß sich der Kunde von der Authentizität des Anbieters vergewissern können. Auch beim Senden von Kreditkarteninformationen über das Internet zeigen sich die drei Angriffspunkte: Zielserver, Übertragung und Kunden-PC. Die Übertragung der Daten, an dieser Stelle die Kreditkarteninformationen, ist das Hauptproblem, denn dabei können die Kartennummern ausspioniert werden. Die Lösung des Problems sollen die im vorhin beschriebenen Protokolle bieten, die den Datenfluß bei der Datenübertragung verschlüsseln.
Sicherheit bei First Virtual
Hier wird dieses Problem der Kreditkartenzahlung umgangen, indem keine Kreditkarteninformationen durch das Netz gesendet werden. Bei First Virtual arbeitet man mit einem Bestätigungsverfahren. Die Kontoeröffnung läuft in drei Schritten ab: Zuerst teilt man dem Unternehmen Namen, Adresse, E-Mail-Adresse und ein mindestens achtstelliges Paßwort mit. Danach erhält der Kunde eine E-Mail mit einer Telefonnummer und einem zwölfstelligen Code. Über die Nummer erreicht man einen Telefoncomputer, der nach erfolgreicher Legitimation durch den Code die Kreditkarteninformationen entgegennimmt. Dann bekommt man per E-Mail eine Virtual-PIN. Beim Kauf im Internet gibt man dann den Vertragspartnern von First Virtual nur die Virtual-PIN an. Die Anbieter wenden sich mit der PIN und dem Rechnungsbetrag an First Virtual, welche darauf per E-Mail beim Kunden nachfragt, ob der Betrag akzeptiert wird. Nur wenn der Kunde diesen Betrag bestätigt, weist First Virtual ihn an.
Dieses kreditkartenbasierte Zahlungsverfahren ist zwar ziemlich sicher, doch hat es auch einige Nachteile: Zum einen können mit First Virtual nur Produkte, die übers Internet geliefert werden können (Software, Informationen, Musik, u.ä.) gekauft werden. Zum zweiten eignen sich Kreditkarten nicht für Kleinbeträge. Außerdem ist es nicht wünschenswert, wenn irgendwelche Stellen alle Transaktionen verfolgen können, wie das im Fall der Zahlung mit Kreditkarten der Fall ist. Hier lassen sich Käuferprofile erstellen und der Kunde wird zum gläsernen Kunden. Besser ist es, wenn der Zahlungsvorgang anonym erfolgen kann, wofür sich digitales Geld eignet.
Sicherheit bei Zahlung mit digitalem Geld
Besondere Anforderungen gelten beim elektronischen Geld (E-Cash). Es wird von Jedermann akzeptiert und man sieht der Banknote nicht an, durch welche Hände sie gegangen ist. Zur Verbindlichkeit kommt die Anforderung nach Anonymität hinzu.
Digitales Geld (CyberCash, Digicash, ...) wird auf der Festplatte des Computers gespeichert und kann wie ein Geldschein im Portemonnaie verwendet werden. Will man im Internet bezahlen, schickt man dem Händler einfach den Betrag durchs Datennetz zu. Um von diesen digitalen Geldscheinen auf der Festplatte nicht einfach Kopien erzeugen zu können, enthält jede digitale Banknote eine Seriennummer, welche das Geldinstitut bei der Einlösung speichert. Somit kann ein digitaler Geldschein nicht mehrfach eingelöst werden. Als weiteren Schutz enthält digitales Geld eine digitale Unterschrift des ausgebenden Kreditinstitutes. Der Käufer des Geldes bleibt durch die sogenannte blinde Signatur unbekannt. Der Händler kann die Signatur des Geldes prüfen, ohne sich mit der Bank in Verbindung setzen zu müssen. Nur bei einer zweifachen Bezahlung kann die Bank die Daten des Kunden ermitteln. Auch einer zweifachen Einlösung durch den Händler ist ein Riegel vorgeschoben. Damit die Währung nicht von der Festplatte oder auf dem Weg durchs Netz zum Händler gestohlen bzw. abgehört wird, ist die Währung auf der Festplatte, genauso wie der Datenverkehr im Internet, verschlüsselt.
Sicherheit bei Datenverkehr zwischen Kreditinstituten1)
S.W.I.F.T (Societey for Wordwide Interbank Financial Telecommunikation - betriebt Datenfernübertragungsnetze zwischen Kreditinstituten) ermöglicht es, Nachrichten im Internet zwischen Kreditinstituten zu übermitteln. S.W.I.F.T. hat sich zu einem System entwickelt, das nicht nur den internationalen Zahlungsverkehr, sondern in dem auch Inkasso- bzw. Akkreditivgeschäfte, Wertpapier-, Devisen-, Edelmetallgeschäfte usw. abgewickelt werden.
Sicherheit bei Digicash
Digicash verwendet sogenannte Token, die die Nutzer bei ihrer Bank in Geld umwandeln können. Jeder Token kann nur einmal verwendet werden und wird dann zur ausgebenden Bank zur Prüfung und Inzahlungnahme weitergeleitet.
Die Verschlüsselung basiert auf dem Verfahren des öffentlichen Schlüssels. Die Münzen von der Bank werden mit einem geheimen Schlüssel gekennzeichnet auf die Smartcard geladen und der Händler prüft dann die Echtheit der Münzen mit einem öffentlichen Schlüssel. Dieses System ist grundsätzlich sehr sicher, weil eventuelle Mißbräuche der Werte auf der Smartcard nicht gespeichert werden.
Sicherheit beim Einkaufen mit CyberCash2)
CyberCash benutzt eine sichere 1024 Bit Verschlüsselung zur Codierung der Transaktionsdaten. CyberCash ist nicht münzbasierend, sondern überträgt nur Kreditkartenangaben auf sicherem Weg.
Die Registrierung muß bei der Bank, von welcher er die Wallet-Software bezogen hat, erfolgen. Erst dann kann der Kunde am CyberCash-System teilnehmen. Dabei erklärt der Kunde, daß er eine eindeutig identifizierte CyberCash-Geldbörse (durch die Wallet-Id) eingerichtet hat und über die darin eingebundenen Zahlungsmittel im Rahmen der CyberCash-Bezahlverfahren verfügen will. Die Bank prüft die Legitimation des Kunden und seine Verfügungsgewalt über die jeweiligen Zahlungsmittel, indem der Kunde einen Personalausweis und die EC-Karte bzw. einen anderen geeigneten Kontonachweis vorlegen muß.
Der Händler legt seiner Bank statt der Wallet-Id seiner Bank die Kennung für das CashRegister (Merchant-CCId) vor. Somit registriert sich der Händler bei der Bank.
Der Zugang zur CyberCash-Geldbörse ist durch ein Paßwort geschützt, das mindestens acht Zeichen lang ist. Bei dreimaliger Falscheingabe des Paßwortes ist die jeweilige Geldbörse dauerhaft gesperrt. CyberCoin-Beträge, die gegebenenfalls noch geladen waren, werden zurück auf das Bankkonto des Kunden übertragen.
Die Vertraulichkeit der persönlichen Daten des Benutzers der CyberCash-Geldbörse wird mit der Verschlüsselung nach dem DES-Verfahren gesichert. Wenn Informationen zum Händler und von dort zum CyberCash-Gateway übertragen werden, wird automatisch eine Verschlüsselung der zahlungsrelevanten Daten durchgeführt. Mit der Verschlüsselungstechnik DES wird die eigentliche Nachricht verschlüsselt. Der DES-Schlüssel ist für jede Transaktion einzigartig und wird vor dem Transport mittels des geheimen Schlüssels des Absenders (RSA-Verfahren) verschlüsselt. Mit Hilfe des bei der Anmeldung hinterlegten öffentlichen Schlüssels kann das CyberCash-Gateway jede Nachricht entschlüsseln und ihre Echtheit (Schutz vor Änderungen) und ihren Ursprung (Schutz vor Abstreiten der Urheberschaft) bestätigen.
Sollte der Benutzer einmal die Verfügungsgewalt über die Wallet-Dateien verlieren (zB Diebstahl), kann er unter Angabe des vorher festgelegten Sperrcodes und der Wallet-Id seine CyberCash-Geldbörse dauerhaft sperren lassen.
Buchführung bei CyberCash1)
Die Konsumenten- und Händler-Software führen über alle Transaktionen Buch. Ebenfalls protokollieren auch die Gateway-Server ihre Aktionen, sodaß die Gültigkeit von Transaktionen im Streitfall nachgewiesen werden kann.
Die Entschlüsselung der Auftragsdaten, die der Händler zusammenstellt, werden nicht an die Bank geschickt, sondern an CyberCash. CyberCash übernimmt die Entschlüsselung und sendet (außerhalb des Internet) die Daten an die Bank, die die Inhalte überprüft und eine Rückantwort gibt. Diese wird vom Händler zugestellt, der die weiteren notwendigen Schritte veranlaßt.
Sicherheit bei NetCash2)
Um sicherzustellen, daß das Geld nicht digital kopiert werden kann, unterhält die Bank eine Datei mit Seriennummern. Jeder Coupon ist einmalig und kann auch nur ein einziges Mal verwendet werden. Was auf der einen Seite ein perfekter Kopierschutz ist, wird auf der anderen Seite zum perfekten Überwachungsinstrument. Jeder Coupon kann von der Bank zum Kunden über den Händler verfolgt werden, und damit kann festgestellt werden, wer was wann wo gekauft hat.
|