360 likes | 634 Views
Hauptseminar Web Services Zahlungssysteme und Sicherheit. Katy Kirsche Technische Universität München SS 2003. Übersicht. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen
E N D
Hauptseminar Web ServicesZahlungssysteme und Sicherheit Katy Kirsche Technische Universität München SS 2003
Übersicht • Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
1. Einkaufs- und Zahlungsszenario im Internet 1.1. Einkaufsvorgang im Internet 1.2. Akteure bei einem Zahlungsvorgang 1.3. Zahlungsszenario im Internet
Händler Kunde 1.Angebot 2. Bestellung • Produkte • Zahlungsarten - gewünschte Zahlungsart 3. Preisnennung - Preis/ Währung 4. Zahlung Zahlungs- objekt 5. Quittung • Waren- • auslieferung 1.1. Einkaufsvorgang im Internet
1.2. Akteure bei einem Zahlungsvorgang • Kunde • Händler • Systemarchitekt • Systembetreiber • Banken/ Kreditkartenfirmen • dritte Parteien: Zertifizierungsstellen, Prüfungs- und Verbindungsstellen (Payment Gateway)
Digitaler Schalter Digitaler Schalter Issuer (Kundenbank) Acquirer (Händlerbank) Clearing Sicheres Bankennetzwerk Internet Payer (Kunde) Payee (Händler) Bezahlung Digitale Geldbörse Digitale Kasse 1.3. Zahlungsszenario im Internet
Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
2. Typen von Zahlungssystemen 2.1. Kontobasierte Zahlungssysteme 2.2. Bargeldähnliche Zahlungssysteme 2.3. weitere Klassifikationsmerkmale
3. Clearing Issuer Acquirer 2. Authorisierung/ Einzug 4. Belastungs-anzeige 1. Zahlung Kunde Händler 2.1. Kontobasierte Zahlungssysteme • Geld nur auf Konten
4. Clearing Issuer Acquirer 1. Abhebung 3. Gutschrift 2. Zahlung Kunde Händler 2.2. Bargeldähnliche Zahlungssysteme • Geld als digitale Werteinheiten in Form von Dateien auf PC oder Smart Card
2.3. weitere Klassifikationsmerkmale • Zeitpunkt der Zahlung Prepaid-Systeme Pay now–Systeme Postpaid-Systeme • Zahlungsgröße Makrozahlungen Kleinzahlungen Microzahlungen
Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
3. Anforderungen an ein Zahlungssystem 3.1. Allgemeine Anforderungen 3.2. Spezielle Anforderungen 3.3. Sicherheitsanforderungen 3.4. Spannungsfeld der Anforderungen
3.1. Allgemeine Anforderungen Wirtschaftlichkeitsanforderungen: • Effizienz • geringe Kosten: Fixkosten und Transaktionskosten • Integrationsfähigkeit • Akzeptanz Funktionalitätsanforderungen: • Skalierbarkeit • Durchgängigkeit der IT-Mittel • Portabilität • leichte Bedienbarkeit • leichte Inbetriebnahme und Installierbarkeit • Transaktionalität
3.2. Spezielle Anforderungen zusätzlich noch: • Bidirektionalität • Mehrwährungsfähigkeit • Rücktauschbarkeit • Flexibilität • Konvertierbarkeit
3.3. Sicherheitsanforderungen Sicherheitsanforderungen: • Vertraulichkeit • Authentisierung • Autorisierung • Integrität • Verfügbarkeit • Zuverlässigkeit • Hardware zusätzlich noch: • Anonymität, Pseudonymität, Nichtortbarkeit • Unverkettbarkeit • Zurechenbarkeit • Nichtrückweisbarkeit/Verbindlichkeit
Sicherheit leichte Bedienbarkeit Anonymität Zurechenbarkeit, Nichtrückweisbarkeit Akzeptanz: Kundenbasis Händlerbasis Schwierigkeiten bei der Implementierung von Zahlungssystemen 3.4. Spannungsfeld der Anforderungen
Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
Vertrauen der Kunden 4. Angriff und Betrug bei Zahlungssystemen • Externe und interne Angriffe • Passive und aktive Attacken auf die Nachrichtenübertragung • Direkter und indirekter Betrug • Schutz vor Kopieren und Mehrfachausgabe bei digitalen Geld
Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
5.1.1. Secure Electronic Transaction (SET) • kontobasierte Zahlungssysteme • offener Standard für Kreditkartenzahlung entwickelt u.a. von VISA und MasterCard • Definition aller Nachrichten und Zertifikate • Festlegung aller kryptographischen Algorithmen Sicherheitsmaßnahmen: • symmetrische und asymmetrische Verschlüsselung • digitale Signaturen • Zertifikate • duale Signatur
Acquirer Issuer 4. Autorisierungsanfrage 5. Autorisierungsantwort SET Zertifi- zierungs- stelle SET Pay- ment Gate- way 3. SET Autori-sierungs-anfrage 6. SET Autori-sierungsantwort 1. Zahlungsaufforderung Kunde Händler 2. SET Zahlungsanweisung 7. SET Kaufantwort, Warenauslieferung 5.1.2. Zahlungsablauf bei SET
12. Kontenausgleich Acquirer Issuer 9. Zahlungsanweisung 10. Zahlungsantwort SET Zertifi- zierungs- stelle SET Pay- ment Gate- way 8. SET Zahl-ungsanweis-ung 11. SET Zahl-ungsantwort Kunde Händler 5.1.2. Zahlungsablauf bei SET
fehlende Akzeptanz von SET 5.1.3. Erfolg von SET Gründe: • zu umfassender Ansatz • fehlende Kunden- und Händlerbasis • enorm hohe Teilnahmehürden • juristische Schwierigkeiten • fehlende Zahlungsgarantie der Banken • fehlendes Engagement der Banken Folgen: • klassische Zahlungsarten Rechnung und Lastschrift weiter erfolgreich • fehlender Standard für Kreditkartenzahlung
5.2.1. Ecash-System von Digicash B.V. • bargeldähnliches Zahlungssystem • anonymes, bargeldähnliches Kleinzahlungssystem Sicherheitsmaßnahmen: • Datenbank zum Schutz vor Mehrfachausgabe • Blinding zur Gewährleistung von Anonymität Erforderlich: • Installation von Software • Konto bei einer Ecash-Bank oder Broker
Bank/ Ecash Broker 3. Einlösen der Münzen 4. Bestätigung über eingelöste Münzen a. “blinde“ Münzen b. blind unter-schriebene Münzen 1. Zahlungsaufforderung Kunde Händler 2. Ecash Münzen 5. Warenauslieferung 5.2.2. Zahlungsablauf bei Ecash c. unterschriebene anonyme Münzen
Digicash B.V. 1998 bankrott 5.2.3. Erfolg von Ecash Gründe: • Softwareinstallation beim Kunden erforderlich • fehlende Kunden- und Händlerbasis • Ansatz technisch, wirtschaftlich, juristisch, politisch, sozial und kulturell zu komplex • Beharren auf traditionelle Zahlungsmittel • fehlendes Engagement der Banken • ... Folgen: • keine weiteren Versuche mit digitalen Münzen
5.3.1. Geldkarte im Internet • bargeldähnliches Zahlungssystem • Smart Card-basiertes Kleinzahlungssystem • Geldkarte im Internet eine Initiative von Giesecke & Devrient Sicherheitsmaßnahmen: • Hardware • Secure Socket Layer (SSL) • Schattenkonten Erforderlich: • Geldkarte • Installation von Software • Kartenlesegerät
Issuer Acquirer 6. Kontenausgleich 5. periodische Abrechnung 1. Zahlungsaufforderung Kunde Händler 2. Zahlungsanweisung 4. Warenauslieferung 5.3.2. Zahlungsablauf von Geldkarte 3. gesammelte Zahlungsanweisungen
ausbleibender Erfolg 5.3.3. Erfolg von Geldkarte Gründe: • Anschaffung eines teuren Kartenlesegerätes • fehlende Kunden- und Händlerbasis • unzureichendes Marketing • ... Folgen: • weiterhin Anstrengungen, um die Geldkarte am Markt zu etablieren • aktuell: Geldkarte-Kampagne in München
Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen
Trend zu Mikrozahlungssystemen Firstgate paysafecard 6.1. Aktuelle Trends 2. Generation von Zahlungssystemen • Kommerzialisierung im Internet • keine umfassenden Systeme • völlig neue Ansätze • keine Softwareinstallation beim Kunden notwendig • geringerer Sicherheitsaufwand wegen kleinerer Zahlungsgröße
6.2. Aktuelle Zahlungssysteme Firstgate Internet AG • Micropayment-System Click&Buy: Tarifieren und Abrechnen von Inhalten und Diensten im Internet Paysafecard.com GmbH • paysafecard: Zahlung mit Prepaid-Wertkarten Deutsche Telekom • T-Pay: Payment-Plattform mit vier Zahlungsvarianten
6.3. mobile Zahlungssysteme PayBox.net AG • mobiles Zahlungsverfahren PayBox • Zahlung über PayBox-Account mit Zahlungsbestätigung per Rückruf Ausblick: • Zahlungssysteme der 3. Generation? • weniger Sicherheitsbedenken • Erfolgsaussichten für M-Business