Neben den klassischen Zweigstellen und der Möglichkeit, via Telefon und Telefax mit einem Kreditinstitut zu kommunizieren, setzt sich eine neue Variante der Kommunikation zwischen den Kreditinstituten und den Kunden immer mehr durch: das Internet. Dessen geschäftliche Nutzung zeigt beachtliche Wachstumsraten. Immer neue technologische Innovationen eröffnen einen neuen Vertriebskanal.
Statistiken zeigen, dass das Durchschnittsalter des typischen Internet-Nutzers bei 36 Jahren liegt. Rund zwei Drittel haben einen Universitätsabschluss. Sie verfügen über überdurchschnittliche Einkommen oder sind auf dem Weg dorthin. Sie sind innovativ, informiert, selbstbewusst und gegenüber neuen Kommunikationsformen aufgeschlossen. Sie erweisen sich allerdings als überdurchschnittlich preissensibel. Ihre Loyalität gegenüber Kreditinstituten ist eingeschränkt.
Viele Institute nutzen das Internet nicht nur als Präsentationsforum für ihre Produkte und Häuser, sondern bieten ihren Kunden auch die Möglichkeit, Konten online zu führen. Dazu zählen die Abwicklung des Zahlungsverkehrs (Überweisungsaufträge, Kontostandsabfrage etc.), Ausführen von Wertpapier-Order, Konsumentenkredite, teilweise Bereitstellung von Kreditkarten und Baufinanzierung online sowie viele andere. Dabei werden streng vertrauliche Daten über das Internet ausgetauscht. Diese bedürfen einem gesonderten Schutz.
Es gibt vielfältige Möglichkeiten, im Internet oder per Mobiltelefon zu bezahlen. Es gibt verschiedene Wege, diese einzuteilen. Eine Variante besteht in der Einteilung in Micro-, Mini- und Macropayments wobei Micro für Beträge bis fünf Cent und Mini für Beträge bis ungefähr fünf Euro steht. Natürlich gibt es hier verschiedene Ansichten, ab wann ein Zahlungssystem ein Micro-, Mini- oder Macrosystem ist und ob sich ein Microsystem auch für Beträge von z.B. fünf Euro eignet. Eine weitere Variante besteht zwischen guthabenbasierten und Inkassosystemen sowie Pre-Paid, Pay-Now und Pay-Later-Bezahlsystemen. Pre-Paid-Systeme zeichnen sich darin aus, dass sie vorausbezahlt sind, bevor der Kunde damit einkaufen kann. Bei Pay-Now-Systemen wird das Konto des Kunden zum Zeitpunkt des Einkaufs belastet. Bei Pay-Later-Systemen wird der Geldbetrag für den Einkauf erst eine gewisse Zeit nach dem Einkauf fällig.
Inhaltsverzeichnis
Abkürzungsverzeichnis
1 Einleitung und methodischer Aufbau
1.1 Problemstellung
1.2 Gang der Untersuchung
1.3 Einige ausgewählte Zahlungssysteme
1.3.1 Geldkarte
1.3.2 eCash
1.3.2 CyberCoin
1.3.4 Paybox, SMS- Pay und T- Pay
1.3.5 Firstgate click & buy und NET
2 Anforderungen an die Sicherheit
2.1 Vertraulichkeit
2.2 Integrität
2.3 Originalität
2.4 Verbindlichkeit
2.5 (globale) Verfügbarkeit
2.6 Benutzerfreundlichkeit
3 Basisverfahren
3.1 Kryptographische Verfahren
3.1.1 Symmetrische Verfahren
3.1.2 Asymmetrische Verfahren
3.1.3 Hybride Verfahren
3.2 Digitale Signatur
3.3 Authentisierung mit Zertifikaten
3.4 Biometrische Verfahren
4 Sicherheitsvorkehrungen
4.1 Risiken beim Kundenrechner
4.2 Risiken bei der Bank
4.3 Risiken beim Übertragungsweg
4.3.1 Secure Socket Layer
4.3.2 Secure Electronic Transaction
4.4 Softwarelösungen
4.5 Hardwarelösungen
4.6 wichtige Standards
4.6.1 PIN / TAN
4.6.2 Homebanking Computer Interface
4.6.3 Open Financial Exchange
4.6.4 Finanzmanagementsoftware
5 Schlussbetrachtung
Literaturverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung und methodischer Aufbau der Arbeit
1.1 Problemstellung
Neben den klassischen Zweigstellen und der Möglichkeit, via Telefon und Telefax mit einem Kreditinstitut zu kommunizieren, setzt sich eine neue Variante der Kommunikation zwischen den Kreditinstituten und den Kunden immer mehr durch: das Internet. Dessen geschäftliche Nutzung zeigt beachtliche Wachstumsraten. Immer neue technologische Innovationen eröffnen einen neuen Vertriebskanal.
Statistiken zeigen, dass das Durchschnittsalter des typischen Internet- Nutzers bei 36 Jahren liegt. Rund zwei Drittel haben einen Universitätsabschluss. Sie verfügen über überdurchschnittliche Einkommen oder sind auf dem Weg dorthin. Sie sind innovativ, informiert, selbstbewusst und gegenüber neuen Kommunikationsformen aufgeschlossen. Sie erweisen sich allerdings als überdurchschnittlich preissensibel. Ihre Loyalität gegenüber Kreditinstituten ist eingeschränkt.
Viele Institute nutzen das Internet nicht nur als Präsentationsforum für ihre Produkte und Häuser, sondern bieten ihren Kunden auch die Möglichkeit, Konten online zu führen. Dazu zählen die Abwicklung des Zahlungsverkehrs (Überweisungsaufträge, Kontostandsabfrage etc.), Ausführen von Wertpapier- Order, Konsumentenkredite, teilweise Bereitstellung von Kreditkarten und Baufinanzierung online sowie viele andere. Dabei werden streng vertrauliche Daten über das Internet ausgetauscht. Diese bedürfen einem gesonderten Schutz.
Es gibt vielfältige Möglichkeiten, im Internet oder per Mobiltelefon zu bezahlen. Es gibt verschiedene Wege, diese einzuteilen. Eine Variante besteht in der Einteilung in Micro- , Mini- und Macropayments wobei Micro für Beträge bis fünf Cent und Mini für Beträge bis ungefähr fünf Euro steht. Natürlich gibt es hier verschiedene Ansichten, ab wann ein Zahlungssystem ein Micro- , Mini- oder Macrosystem ist und ob sich ein Microsystem auch für Beträge von z.B. fünf Euro eignet. Eine weitere Variante besteht zwischen guthabenbasierten und Inkassosystemen sowie Pre- Paid, Pay- Now und Pay- Later- Bezahlsystemen. Pre- Paid- Systeme zeichnen sich darin aus, dass sie vorausbezahlt sind, bevor der Kunde damit einkaufen kann. Bei Pay- Now- Systemen wird das Konto des Kunden zum Zeitpunkt des Einkaufs belastet. Bei Pay- Later- Systemen wird der Geldbetrag für den Einkauf erst eine gewisse Zeit nach dem Einkauf fällig.
1.2 Gang der Untersuchung
In den folgenden Kapiteln dieser Arbeit soll mehr auf die Sicherheitsstandards eingegangen werden. Im folgenden Kapitel werden die Anforderungen an die Sicherheit beim Datenaustausch beschrieben. In Kapitel drei werden einige gängige Verfahren der Verschlüsselung von Daten vorgestellt. Eine Auswahl möglicher Risiken und wichtige Standards werden in Kapitel vier erläutert, um darauf folgend die Hausarbeit im fünften Kapitel mit einem Fazit abzuschliessen.
1.3 Einige ausgewählte Zahlungssysteme
Aufgrund der bereits zuvor erwähnten Vielfältigkeit von Zahlungsvarianten im Internet bzw. mit Mobiltelefon soll nachfolgend nur auf einige ausgewählte Bezahlsysteme eingegangen werden.
1.3.1 Geldkarte
Die Geldkarte ist bei den meisten Bankkunden in die normale eurocheque- Karte integriert. Ausserdem sind sie als separate Geldkarten erhältlich. Es sind zwischen 40 und 50 Millionen Geldkarten im Umlauf. Die Geldkarte kann an vielen Geldausgabeautomaten mit elektronischem Guthaben aufgeladen werden. In vielen Städten kann man damit bereits Fahrscheine, Parkgebühren oder andere Dinge des täglichen Bedarfs im „Kleingeldbereich“ bezahlen. Die Akzeptanz der Geldkarte ist allerdings nicht sehr gross. Zum Bezahlen im Internet benötigt der Konsument neben der geladenen Karte ebenso ein Kartenlesegerät der Klasse 3, dass am heimischen Computer angeschlossen wird. Die Zahlung erfolgt über eine Secure Socket Layer abgesicherte Verbindung.
1.3.2 eCash
eCash wurde herausgegeben vom 1994 gegründeten Unternehmen DigiCash und ist eine softwarebasierte Form von digitalem Bargeld, sogenannten Tokens. Der Kunde muss zunächst eine elektronische Geldbörse auf seinem Computer installieren und ein Guthaben von seinem regulärem Konto auf sein eCash- Konto transferieren. Das Guthaben wird zu Tokens umgewandelt. Er kann diese nun bei einer Zahlung an den Empfänger schicken. Dieser überprüft anschliessend bei der Ausgabestelle, ob die Tokens echt sind oder schon einmal eingereicht wurden. Jedes Token hat ein eindeutige Seriennummer, die zur Rücklaufkontrolle benötigt wird, dennoch können sie anonymisiert herausgegeben werden. Dieses System, welches inzwischen wegen fehlender Akzeptanz eingestellt wurde, wurde in Deutschland von der Deutschen Bank betrieben. Weitere teilnehmende Banken waren die AdvanceBank, BankAustria, Den Norske Bank, Mark Twain Bank, die schwedische Post und andere.
1.3.3 CyberCoin
Der Kunde kann hier zwischen dem Einsatz einer Kreditkarten- , Bankeinzug- und der vorausbezahlten Zahlungsfunktion wählen. Die Funktionsweise ist ähnlich wie bei den DigiCash- Verfahren. Der Kunde muss ein Guthaben zu Lasten seines Bankkontos auf sein Verrechnungskonto übertragen. Von diesem kann er die Zahlungen senden. Die persönlichen Daten des Konsumenten bleiben dem Händler verborgen. Auch dieses Verfahren wurde mangels Akzeptanz eingestellt.
1.3.4 Paybox, SMS- Pay und T- Pay
Dieses Macropaymentsystem der payment.net AG aus Wiesbaden wickelt die Zahlung über das Mobilfunknetz ab. Der Kunde muss sich einmal anmelden und eine Einzugsermächtigung erteilen. Daraufhin bekommt er eine PIN zugeschickt. Bei einem Kauf gibt er seine Mobiltelefonnummer an, der Händler leitet diese Nummer geschützt an Paybox weiter. Diese rufen den Konsumenten dann an und er bestätigt mit seiner PIN die Transaktion. Das Geld wird eingezogen und an den Händler weitergeleitet. Vorteil dieses Systems ist, dass das Geld auch zwischen Privatleuten transferiert werden kann sobald beide bei Paybox angemeldet sind. Es gibt auch Systeme (SMS- pay, StreetCash), die den Konsumenten nicht anrufen, sondern ihm eine SMS senden und er mit einer weiteren SMS die Transaktion bestätigen muss.
Ähnlich funktioniert auch T- Pay von der Deutschen Telekom. Der Konsument registriert sich und kann zwischen den Zahlungsmethoden per TelekomRechnung, per Micromoney, einer Guthabenkarte sowie per Lastschrift oder per Kreditkarte bezahlen.
1.3.5 Firstgate click & buy und NET900
Die Firstgate Internet AG aus Köln hat ein Macropaymentsystem geschaffen, mit dem kostenpflichtig digitale Inhalte aus dem Internet abgerufen werden können. Der Nutzer muss sich einmal kostenlos registrieren. Er erteilt Firstgate eine Einzugsermächtigung oder gibt die Daten seiner Kreditkarte preis. Klickt er anschliessend auf einen kostenpflichtigen Link, muss er sich mit seinem Benutzernamen und Passwort identifizieren. Erst dann kommt er an die gewünschten Daten. Einmal im Monat werden alle angesammelten Beträge von Firstgate eingezogen. Net900 ist ein ähnliches System, der Nutzer muss sich hier zwar nicht anmelden, allerdings muss zuerst eine Software installiert werden. Klickt der Surfer auf einen kostenpflichtigen Link, wird die Modemverbindung getrennt und eine neue zum Netz von Net900 aufgebaut. Die Abrechnung erfolgt entweder zeitabhängig oder transaktionsabhängig.
2 Anforderungen an die Sicherheit
Sowohl von Anbieter- als auch von Nutzerseite werden besondere Anforderungen an die Sicherheit des Datenaustausches gestellt. Die sechs wesentlichsten Punkte werden im folgenden erläutert.
2.1 Vertraulichkeit
Nur berechtigte Personen und Programme haben Lesezugriff auf bestimmte Informationen. Zu dieser Art des Zugriffs gehören die Kenntnisnahme des Inhalts, aber auch die Bekanntgabe der Existenz eines Objektes. Als eine spezielle Ausprägung der Vertraulichkeit kann Anonymität gelten. Das bedeutet, dass die Identität einer Person einer anderen in einem bestimmten Zusammenhang verborgen bleibt. Vertraulichkeit ist besonders wichtig, da sich in der Auswertung von Kundenprofilen ein hohes Missbrauchspotential verbirgt.
2.2 Integrität
Integrität bezeichnet die die Eigenschaft eines Systems, nur erlaubte und beabsichtigte Veränderungen an den Informationen zuzulassen. Dazu zählen die Duplikation, Löschung und die Veränderung von Datensätzen. Unbefugte Manipulationen an der Nachricht sollen entdeckt werden können.
2.3 Originalität
Originalität verhindert unbefugte Duplikationen von Informationen. Durch sie wird z.B. sichergestellt, dass Überweisungsnachrichten auf dem Übertragungsweg nicht aufgezeichnet und zu einem späterem Zeitpunkt als Kopie versendet werden können.
2.4 Verbindlichkeit
Durch Verbindlichkeit wird die Nichtabstreitbarkeit von Inhalt und Herkunft garantiert. Hier kann inzwischen durch ein Trust Center ein vertrauenswürdiger, unparteiischer Dritter hinzugezogen werden. Die elektronische Signatur, die in diesem Bereich von grossen Nutzen ist, wurde im Mai 2001 gesetzlich verankert. Inzwischen wird sie akzeptiert und vielfach verwendet.
2.5 Verfügbarkeit
Einem bestimmten Personenkreis, z.B. angemeldete Nutzer oder Inhaber eines Kontos bei einem Kreditinstitut ohne vorherige Anmeldung, sollen die Rechneranlagen des Instituts und die darauf gespeicherten Informationen rund um die Uhr zur Verfügung stehen. Im Idealfall kann der Nutzer von jedem Computer weltweit seine Geschäfte tätigen. Die Ausfallsicherheit sollte so groß wie möglich sein, da kein Nutzer bereit ist, Geld und Zeit durch Server- und Netzwerkabstürze zu investieren.
2.6 Benutzerfreundlichkeit
Jede Applikation muss unkompliziert, ohne großes technisches Verständnis und lange Einarbeitungszeit zu bedienen sein und in einem akzeptablen Zeitrahmen den Wünschen des Kunden gerecht werden. Dazu zählt unter anderem eine gut gesteuerte Menüführung sowie vielfältige Kontaktmöglichkeiten auch bei Problemen z.B. über Telefonhotlines. Weiterhin müssen Aktualisierungen und fortlaufende Weiterentwicklungen über Updates möglich sein.
[...]
-
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X. -
Téléchargez vos propres textes! Gagnez de l'argent et un iPhone X.