ePayment

  E-Payment E-Business  

4.3  Datenschutz  32

4.4  Technische Sicherheit  33

4.4.1  Aspekte des Sicherheitsniveaus  33

4.4.2  Verschlüsselung von Daten  34

4.4.2.1  Secure Socket Layer Protocol (SSL)  35

4.4.2.2  Secure/Multipurpose Internet Mail Extensions (S/MIME)  36

4.4.2.3  Secure Electronic Transaction (SET)  37

4.4.3  Speicherung von Daten  37

4.5  Verfügbarkeit  38

5  Literaturverzeichnis  39

5.1  Internetquellen  39

5.2  Weitere Quellen  41

6  Abbildungsverzeichnis  41

7  Tabellenverzeichnis  41

  3/41  

E-Payment E-Business

Wir danken Herrn Joachim Graf (HighText Verlag, München) und Frau Kathrin Lassnig (Fa. Online/Marketing Redaktion, sms.at mobile internet services GmbH Graz) für ihre Hilfe.

Abstract

This workout gives you an overview about problems and challenges to the E-Payment topic. E-Payment systems have to be up to certain standards to be accepted by the traders and customers. Which standards that are and which systems have already become accepted will be illustrated in this document.

1 Einleitung

E-Payment gewinnt mit der steigenden Anzahl an E-Shops immer mehr an Bedeutung. In den folgenden Kapiteln wird auf Hersausforderungen und Probleme rund um das Thema E-Payment eingegangen. Es werden Anforderungen behandelt die seitens der Kunden als auch seitens der Händler an ein E-Payment-Verfahren gestellt werden. Weiters werden bestehende E-Payment-Verfahren erläutert und klassifiziert. Wobei auf die Vorauskasse über die Kreditkarte bis hin zum Micro-Payment eingegangen wird. Besonders wichtige Punkte bei E-Payment-Lösungen sind auch Sicherheit, technische und rechtliche Aspekte. Nur wenn diese Punkte zufrieden stellend erfüllt werden können, kann sich ein E-Paymentsystem auch durchsetzen.

4/41

E-Payment E-Business

2 Anforderungen an Zahlungsverfahren im

E-Commerce

Jeder Händler der im Bereich E-Commerce tätig wird, muss sich zu Beginn entscheiden, welches Zahlungsverfahren er einsetzen möchte. Je nachdem welche Anforderungen erfüllt werden sollen, wird sich der Händler für ein entsprechendes E-Payment-Verfahren entscheiden. Wichtige Voraussetzung für die Akzeptanz elektronischer Zahlungssysteme ist die Berücksichtigung der Anforderungen möglichst aller Teilnehmer (vgl. Henkel, 2001, S. 103). Die untenstehende Tabelle soll einen Überblick darüber geben auf welche Anforderungen im Folgenden genauer eingegangen wird.

Tabelle 2.1 Anforderungsübersicht

2.1 Allgemeine Anforderungen

Die Grundanforderungen können nach ihren Anfangsbuchstaben unter der Abkürzung ACID zusammengefasst werden (vgl. Henkel, 2001, S. 106). Atomicity (Totalität): Bei Zahlungstransaktionen ist es besonders wichtig, dass eine Transaktion entweder vollständig oder gar nicht durchgeführt wird. Damit soll ein konsistenter Zustand bei den Teilnehmern bestehen bleiben. Kein Kunde wäre glücklich, wenn das Geld von seinem Konto abgebucht wird, es jedoch nicht beim Händler aufgebucht wird und es somit den Anschein hat, dass der Kunde noch nicht bezahlt hat. Es muss also immer sichergestellt werden, dass die Transaktion komplett, ohne technische Unterbrechungen, abgeschlossen werden konnte. Kein Teilnehmer akzeptiert einen Geldverlust auf Grund technischer Defekte (vgl. Henkel, 2001, S. 106).

5/41

E-Payment E-Business

Consistency (Konsistenz): Alle Teilnehmer einer Transaktion müssen übereinstimmende Informationen haben. Diese Informationen betreffen:

• Höhe des Betrags der Transaktion

• Grund für die Zahlung,

• ob und wann die Zahlung stattgefunden hat

Voraussetzung dafür ist die Integrität der Daten. Unter Integrität versteht man Datenunversehrtheit, d.h. dass gesendete Daten mit den empfangenen Daten übereinstimmen. Besonders im Hinblick auf Zahlungstransaktionen muss die Unversehrtheit der übertragenen Zahlungsdaten gewährleistet werden, um zu verhindern, dass Dritte die Daten oder digitalen Münzen (Kapitel 3.1.2 eCash) bei der Übermittlung abändern, einfügen oder löschen (vgl. Henkel, 2001, S. 106). Independence (Unabhängigkeit): Voneinander unabhängige Zahlungen dürfen sich nicht untereinander beeinflussen. Die Reihenfolge der Zahlungen und der zeitliche Abstand dürfen nicht relevant sein für eine erfolgreiche Abwicklung der Transaktion (vgl. Henkel, 2001, S. 106).

Durability (Dauerhaftigkeit): Im Falle eines Defekts muss die Möglichkeit bestehen, den letzten gültigen Zustand des Systems vor dem Defekt wiederherstellen zu können. Es wird von allen Parteien einer Transaktion eine hohe Verfügbarkeit und Zuverlässigkeit des Systems erwartet (vgl. Henkel, 2001, S. 106). Reputation und Verlässlichkeit des Zahlungsverfahrens: Bekannte Banken und Kreditkartenunternehmen haben bereits das Vertrauen der Kunden auf ihrer Seite. Nicht so leicht ist es jedoch für junge Unternehmen, die neue innovative Zahlungsverfahren entwickeln und auf den Markt bringen. Sowohl der Kunde als auch der Händler möchten im Bezug auf ihre Zahlungsabwicklung keine Risiken eingehen und brauchen Gewissheit, dass der Betreiber des Verfahrens verlässlich und fehlerfrei arbeitet. Vor allem dürfen Forderungen die gegen den Betreiber eines Zahlungsverfahrens bestehen, nicht plötzlich durch einen Konkurs wertlos werden. Das ist vor allem auch für Kunden im Bezug auf Vorauszahlungssysteme relevant. Die Betreiber solcher Zahlungsverfahren müssen dafür sorgen, solche Risiken zu minimieren und dadurch zu einem guten Ruf zu gelangen (vgl. Henkel, 2001, S. 106-107).

6/41

E-Payment E-Business

Internationalität : Auch wenn grenzüberschreitender E-Commerce weit geringere Ausmaße hat als inländischer, zieht die zunehmende Internationalisierung wirtschaftlicher Aktivitäten die Forderung der internationalen Anwendbarkeit von Zahlungssystemen nach sich. Eine grenzüberschreitende Anwendbarkeit von Zahlungssystemen spielt eine wichtige Rolle und ist somit ein Indikator für das hohe Entwicklungspotential (vgl. Himmelsbach et al, 1996, S. 8).

2.2 Anforderungen der Kunden

Bevor ein Kunde etwas einkauft und bezahlt, möchte er sicher sein, dass es sich um einen seriösen Händler handelt und er die Zahlung ohne Bedenken abwickeln kann. Im Folgenden wird speziell auf die Anforderungen der Kunden an ein Zahlungssystem eingegangen.

Sicherheit gegenüber dem Händler: Der Kunde braucht Gewissheit über die Identität des Händlers. Das heißt, der Kunde möchte sicher sein, dass sein Gegenüber auch wirklich der ist, der er vorgibt zu sein. Um die Identität sicher zu stellen, kann der Kunde das digitale Zertifikat des Händlers überprüfen, vorausgesetzt der Händler verfügt über ein solches.

Ein Zertifikat entspricht einem digitalen Ausweis und dient zur Identifikation des Händlers beim Kunden, wie auch umgekehrt. Der Händler weist sich dem Kunden gegenüber mit seinem Zertifikat aus. Somit ist für beide Geschäftspartner die Gewährleistung gegeben, dass er mit dem gewünschten Transaktionspartner kommuniziert. Ein Zertifikat wird von einer anerkannten Autorität, der so genannten Zertifizierungsstelle (Certification Authority – CA siehe Kapitel 4.2.4) ausgestellt (vgl. Schneppe, 1998).

Zusätzlich zur Identität des Händlers möchte der Kunde sicher sein, dass er nur dann zahlt, wenn der Händler die Ware korrekt liefert. Durch Zahlung nach Rechnungserhalt ist diese Absicherung seitens des Kunden leicht möglich. Jedoch ist der Händler von dieser Zahlungsmethode weniger begeistert, da dies ein hohes Risiko für den Händler bedeutet. Diese Zahlungsmethode wird meist Stammkunden angeboten, die der Händler bereits kennt. Bei Bezahlungen per Nachname wird das Risiko gleichmäßig auf Kunde und Händler verteilt (vgl. Henkel, 2001, S. 107-108).

7/41

E-Payment E-Business

Es gibt zum Beispiel Shops bei denen grundsätzlich eine Zahlung per Nachname oder eine Vorauszahlung möglich ist. Kunden die jedoch dreimal oder öfter einen Einkauf ohne Probleme bei demselben Shop getätigt haben, haben dann zusätzlich auch die Möglichkeit auf Rechnung zu bezahlen.

Sicherheit gegenüber Dritten: Ein Kunde, der eine Zahlungstransaktion abwickelt, möchte nicht nur Sicherheit gegenüber dem Händler haben, sondern auch sicher sein, dass seine Daten nicht von Dritten abgefangen und missbraucht werden. Um dies auszuschließen ist eine verschlüsselte Übertragung der Daten wichtig. Sollte es jedoch zu missbräuchlichen Verwendungen der Daten wie zum Beispiel von Kreditkartendaten kommen, können nicht autorisierte Zahlungen jederzeit rückgängig gemacht werden (vgl. Henkel, 2001, S. 108). Bequeme, einfache Handhabung: Die Verwendung von E-Payment-Verfahren verursacht für den Kunden einen bestimmen Aufwand. Beim Einstieg in ein Verfahren muss sich der Kunde zuerst beim Betreiber des Verfahrens registrieren. Weiters benötigt er ein digitales Zertifikat, eine persönliche Identifikation, eventuell wird auch ein Kartenleser oder sonstige Hardware benötigt und schließlich muss auch noch eine spezielle Software installiert werden. Bei Laien kommt dann auch noch ein nicht zu unterschätzender Aufwand des Einlesens und Verstehens des Systems hinzu. Damit der Kunde einen solchen Einstiegsaufwand überhaupt in Kauf nimmt, muss auch ein entsprechend hoher Nutzen und breite Anwendbarkeit damit verbunden sein. Zusätzlich zum fixen Einstiegsaufwand entsteht dann bei jeder Zahlung ein variabler Aufwand. Es müssen persönliche Daten und PINs nachgesehen und eingegeben werden. Bei Prepaid-Verfahren kommt das regelmäßige Aufladen des Zahlungsmittels hinzu (vgl. Henkel, 2001, S. 108-109). Breite Akzeptanz: Eine breite Akzeptanz ist für den Kunden sehr wichtig, da ihm ein Za hlungsverfahren nichts nützt wenn es von den Händlern nicht akzeptiert wird. Gerade auch auf Grund des meist hohen Einstiegsaufwand, wird der Kunde, bevor er sich bei einem Betreiber registriert, zuerst erkunden ob das Verfahren von den Händlern auch akzeptiert wird.

Niedrige Kosten: „Alle Marktteilnehmer fordern günstige Kosten für eine Zahlungsabwicklung im Internet.“ (Himmelsbach et al, 1996, S. 18)

8/41

E-Payment E-Business

Kosten die bei E-Payment-Verfahren anfallen können, sind regelmäßig (jährlich, monatlich, …) zu zahlende Gebühren, Transaktionskosten, Online-Verbindungskosten oder auch Anschaffungskosten für spezielle Hardware wie Kartenlesegeräte.

Wie eine Umfrage der Universität Karlsruhe zeigt (siehe Abb. 2.1), sind die Kosten das wichtigste Kriterium für die Kunden bei der Wahl eines Zahlungsverfahrens (vgl. UNI Karlsruhe, 2003a).

Abb. 2.1 Prioritätenskala der Kriterien bei der Verfahrensauswahl aus Sicht der Kunden

Nachvollziehbarkeit: Einen wichtigen Schutz vor Missbrauch bildet die Nachvollziehbarkeit aller Zahlungen. Dadurch kann der Kunde die Zahlungen prüfen und gegebenenfalls reklamieren. „Dies ist allerdings nur dann möglich wenn die Zahlungen nachvollziehbar sind, das heißt mit Informationen über Betrag, Empfänger, Datum und Verwendungszweck gespeichert werden.“ (Henkel, 2001, S. 110) Bei den meisten Macropayments sind diese Informationen ohnedies gegeben. Anonymität : Für den Kunden ist im Vergleich zum Anbieter Anonymität wichtig, da er seine Kaufgewohnheiten nicht preisgeben möchte. „Maximale Anonymität gegenüber dem Händler ist dann gewährleistet, wenn dieser außer der (unvermeidlichen) IP-Adresse keinerlei Informationen über den Kunden erhält und darüber hinaus auch nicht verschiedene Zahlungen desselben Kunden einander

9/41