Inhaltsverzeichnis Seite

Abk  ürzungsverzeichnis  4

1  Einleitung und methodischer Aufbau  

1.1  Problemstellung  5

1.2  Gang der Untersuchung  6

1.3  Einige ausgewählte Zahlungssysteme  6

1.3.1  Geldkarte  

1.3.2  eCash  

1.3.2  CyberCoin  

1.3.4  Paybox, SMS-Pay und T-Pay  

1.3.5  Firstgate click buy und  NET900

2  Anforderungen an die Sicherheit  

2.1  Vertraulichkeit  9

2.2  Integrität  9

2.3  Originalität  9

2.4  Verbindlichkeit  9

2.5  (globale) Verfügbarkeit  10

2.6  Benutzerfreundlichkeit  10

3  Basisverfahren  

3.1  Kryptographische Verfahren  11

3.1.1  Symmetrische Verfahren  

3.1.2  Asymmetrische Verfahren  

3.1.3  Hybride Verfahren  

3.2  Digitale Signatur  12

3.3  Authentisierung mit Zertifikaten  12

3.4  Biometrische Verfahren  12

4  Sicherheitsvorkehrungen  

4.1  Risiken beim Kundenrechner  13

- 2 -

4.2 Risiken bei der Bank 14

4.3 Risiken beim Übertragungsweg 14 4.3.1 Secure Socket Layer 4.3.2 Secure Electronic Transaction 4.4 Softwarelösungen 15 4.5 Hardwarelösungen 16 4.6 wichtige Standards 16 4.6.1 PIN / TAN 4.6.2 Homebanking Computer Interface 4.6.3 Open Financial Exchange 4.6.4 Finanzmanagementsoftware

5 Schlussbetrachtung 19

Literaturverzeichnis 20

Abkürzungsverzeichnis DES Data Encryption Standard HBCI Homebanking Computer Interface HTML Hypertext Markup Language HTTP Hypertext Transfer Protocoll IDEA International Data Encryption Algorithm OFX Open Financial Exchange PGP Pretty Good Privacy PIN persönliche Identifikationsnummer SET Secure Electronic Transaction SSL Secure Socket Layer TAN Transaktionsnummer TLS Transport Layer Security ZKA Zentraler Kreditausschuss

1 Einleitung und methodischer Aufbau der Arbeit

1.1 Problemstellung

Neben den klassischen Zweigstellen und der Möglichkeit, via Telefon und Telefax mit einem Kreditinstitut zu kommunizieren, setzt sich eine neue Variante der Kommunikation zwischen den Kreditinstituten und den Kunden immer mehr durch: das Internet. Dessen geschäftliche Nutzung zeigt beachtliche Wachstumsraten. Immer neue technologische Innovationen eröffnen einen neuen Vertriebskanal. Statistiken zeigen, dass das Durchschnittsalter des typischen Internet-Nutzers bei 36 Jahren liegt. Rund zwei Drittel haben einen Universitätsabschluss. Sie verfügen über überdurchschnittliche Einkommen oder sind auf dem Weg dorthin. Sie sind innovativ, informiert, selbstbewusst und gegenüber neuen Kommunikationsformen aufgeschlossen. Sie erweisen sich allerdings als überdurchschnittlich preissensibel. Ihre Loyalität gegenüber Kreditinstituten ist eingeschränkt. Viele Institute nutzen das Internet nicht nur als Präsentationsforum für ihre Produkte und Häuser, sondern bieten ihren Kunden auch die Möglichkeit, Konten online zu führen. Dazu zählen die Abwicklung des Zahlungsverkehrs (Überweisungsaufträge, Kontostandsabfrage etc.), Ausführen von Wertpapier-Order, Konsumentenkredite, teilweise Bereitstellung von Kreditkarten und Baufinanzierung online sowie viele andere. Dabei werden streng vertrauliche Daten über das Internet ausgetauscht. Diese bedürfen einem gesonderten Schutz. Es gibt vielfältige Möglichkeiten, im Internet oder per Mobiltelefon zu bezahlen. Es gibt verschiedene Wege, diese einzuteilen. Eine Variante besteht in der Einteilung in Micro-, Mini- und Macropayments wobei Micro für Beträge bis fünf Cent und Mini für Beträge bis ungefähr fünf Euro steht. Natürlich gibt es hier verschiedene Ansichten, ab wann ein Zahlungssystem ein Micro-, Mini- oder Macrosystem ist und ob sich ein Microsystem auch für Beträge von z.B. fünf Euro eignet. Eine weitere Variante besteht zwischen guthabenbasierten und Inkassosystemen sowie Pre-Paid, Pay-Now und Pay-Later-Bezahlsystemen. Pre-Paid-Systeme zeichnen sich darin aus, dass sie vorausbezahlt sind, bevor der Kunde damit einkaufen kann. Bei Pay-Now-Systemen wird das Konto des Kunden zum Zeitpunkt des Einkaufs belastet. Bei Pay-Later-Systemen wird der Geldbetrag für den Einkauf erst eine gewisse Zeit nach dem Einkauf fällig.

1.2 Gang der Untersuchung

In den folgenden Kapiteln dieser Arbeit soll mehr auf die Sicherheitsstandards eingegangen werden. Im folgenden Kapitel werden die Anforderungen an die Sicherheit beim Datenaustausch beschrieben. In Kapitel drei werden einige gängige Verfahren der Verschlüsselung von Daten vorgestellt. Eine Auswahl möglicher Risiken und wichtige Standards werden in Kapitel vier erläutert, um darauf folgend die Hausarbeit im fünften Kapitel mit einem Fazit abzuschliessen.

1.3 Einige ausgewählte Zahlungssysteme

Aufgrund der bereits zuvor erwähnten Vielfältigkeit von Zahlungsvarianten im Internet bzw. mit Mobiltelefon soll nachfolgend nur auf einige ausgewählte Bezahlsysteme eingegangen werden.

1.3.1 Geldkarte

Die Geldkarte ist bei den meisten Bankkunden in die normale eurocheque-Karte integriert. Ausserdem sind sie als separate Geldkarten erhältlich. Es sind zwischen 40 und 50 Millionen Geldkarten im Umlauf. Die Geldkarte kann an vielen Geldausgabeautomaten mit elektronischem Guthaben aufgeladen werden. In vielen Städten kann man damit bereits Fahrscheine, Parkgebühren oder andere Dinge des täglichen Bedarfs im „Kleingeldbereich“ bezahlen. Die Akzeptanz der Geldkarte ist allerdings nicht sehr gross. Zum Bezahlen im Internet benötigt der Konsument neben der geladenen Karte ebenso ein Kartenlesegerät der Klasse 3, dass am heimischen Computer angeschlossen wird. Die Zahlung erfolgt über eine Secure Socket Layer abgesicherte Verbindung.

1.3.2 eCash

eCash wurde herausgegeben vom 1994 gegründeten Unternehmen DigiCash und ist eine softwarebasierte Form von digitalem Bargeld, sogenannten Tokens. Der Kunde muss zunächst eine elektronische Geldbörse auf seinem Computer installieren und ein Guthaben von seinem regulärem Konto auf sein eCash-Konto transferieren. Das Guthaben wird zu Tokens umgewandelt. Er kann diese nun bei einer Zahlung an den Empfänger schicken. Dieser überprüft anschliessend bei der Ausgabestelle, ob die Tokens echt sind oder schon einmal eingereicht wurden. Jedes Token hat ein eindeutige Seriennummer, die zur Rücklaufkontrolle benötigt wird, dennoch können sie anonymisiert herausgegeben werden. Dieses System,