1 / 36

Hauptseminar Web Services Zahlungssysteme und Sicherheit

Hauptseminar Web Services Zahlungssysteme und Sicherheit. Katy Kirsche Technische Universität München SS 2003. Übersicht. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen

rumor
Download Presentation

Hauptseminar Web Services Zahlungssysteme und Sicherheit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hauptseminar Web ServicesZahlungssysteme und Sicherheit Katy Kirsche Technische Universität München SS 2003

  2. Übersicht • Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  3. 1. Einkaufs- und Zahlungsszenario im Internet 1.1. Einkaufsvorgang im Internet 1.2. Akteure bei einem Zahlungsvorgang 1.3. Zahlungsszenario im Internet

  4. Händler Kunde 1.Angebot 2. Bestellung • Produkte • Zahlungsarten - gewünschte Zahlungsart 3. Preisnennung - Preis/ Währung 4. Zahlung Zahlungs- objekt 5. Quittung • Waren- • auslieferung 1.1. Einkaufsvorgang im Internet

  5. 1.2. Akteure bei einem Zahlungsvorgang • Kunde • Händler • Systemarchitekt • Systembetreiber • Banken/ Kreditkartenfirmen • dritte Parteien: Zertifizierungsstellen, Prüfungs- und Verbindungsstellen (Payment Gateway)

  6. Digitaler Schalter Digitaler Schalter Issuer (Kundenbank) Acquirer (Händlerbank) Clearing Sicheres Bankennetzwerk Internet Payer (Kunde) Payee (Händler) Bezahlung Digitale Geldbörse Digitale Kasse 1.3. Zahlungsszenario im Internet

  7. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  8. 2. Typen von Zahlungssystemen 2.1. Kontobasierte Zahlungssysteme 2.2. Bargeldähnliche Zahlungssysteme 2.3. weitere Klassifikationsmerkmale

  9. 3. Clearing Issuer Acquirer 2. Authorisierung/ Einzug 4. Belastungs-anzeige 1. Zahlung Kunde Händler 2.1. Kontobasierte Zahlungssysteme • Geld nur auf Konten

  10. 4. Clearing Issuer Acquirer 1. Abhebung 3. Gutschrift 2. Zahlung Kunde Händler 2.2. Bargeldähnliche Zahlungssysteme • Geld als digitale Werteinheiten in Form von Dateien auf PC oder Smart Card

  11. 2.3. weitere Klassifikationsmerkmale • Zeitpunkt der Zahlung Prepaid-Systeme Pay now–Systeme Postpaid-Systeme • Zahlungsgröße Makrozahlungen Kleinzahlungen Microzahlungen

  12. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  13. 3. Anforderungen an ein Zahlungssystem 3.1. Allgemeine Anforderungen 3.2. Spezielle Anforderungen 3.3. Sicherheitsanforderungen 3.4. Spannungsfeld der Anforderungen

  14. 3.1. Allgemeine Anforderungen Wirtschaftlichkeitsanforderungen: • Effizienz • geringe Kosten: Fixkosten und Transaktionskosten • Integrationsfähigkeit • Akzeptanz Funktionalitätsanforderungen: • Skalierbarkeit • Durchgängigkeit der IT-Mittel • Portabilität • leichte Bedienbarkeit • leichte Inbetriebnahme und Installierbarkeit • Transaktionalität

  15. 3.2. Spezielle Anforderungen zusätzlich noch: • Bidirektionalität • Mehrwährungsfähigkeit • Rücktauschbarkeit • Flexibilität • Konvertierbarkeit

  16. 3.3. Sicherheitsanforderungen Sicherheitsanforderungen: • Vertraulichkeit • Authentisierung • Autorisierung • Integrität • Verfügbarkeit • Zuverlässigkeit • Hardware zusätzlich noch: • Anonymität, Pseudonymität, Nichtortbarkeit • Unverkettbarkeit • Zurechenbarkeit • Nichtrückweisbarkeit/Verbindlichkeit

  17. Sicherheit leichte Bedienbarkeit Anonymität Zurechenbarkeit, Nichtrückweisbarkeit Akzeptanz: Kundenbasis Händlerbasis Schwierigkeiten bei der Implementierung von Zahlungssystemen 3.4. Spannungsfeld der Anforderungen

  18. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  19. Vertrauen der Kunden 4. Angriff und Betrug bei Zahlungssystemen • Externe und interne Angriffe • Passive und aktive Attacken auf die Nachrichtenübertragung • Direkter und indirekter Betrug • Schutz vor Kopieren und Mehrfachausgabe bei digitalen Geld

  20. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  21. 5.1.1. Secure Electronic Transaction (SET) • kontobasierte Zahlungssysteme • offener Standard für Kreditkartenzahlung entwickelt u.a. von VISA und MasterCard • Definition aller Nachrichten und Zertifikate • Festlegung aller kryptographischen Algorithmen Sicherheitsmaßnahmen: • symmetrische und asymmetrische Verschlüsselung • digitale Signaturen • Zertifikate • duale Signatur

  22. Acquirer Issuer 4. Autorisierungsanfrage 5. Autorisierungsantwort SET Zertifi- zierungs- stelle SET Pay- ment Gate- way 3. SET Autori-sierungs-anfrage 6. SET Autori-sierungsantwort 1. Zahlungsaufforderung Kunde Händler 2. SET Zahlungsanweisung 7. SET Kaufantwort, Warenauslieferung 5.1.2. Zahlungsablauf bei SET

  23. 12. Kontenausgleich Acquirer Issuer 9. Zahlungsanweisung 10. Zahlungsantwort SET Zertifi- zierungs- stelle SET Pay- ment Gate- way 8. SET Zahl-ungsanweis-ung 11. SET Zahl-ungsantwort Kunde Händler 5.1.2. Zahlungsablauf bei SET

  24. fehlende Akzeptanz von SET 5.1.3. Erfolg von SET Gründe: • zu umfassender Ansatz • fehlende Kunden- und Händlerbasis • enorm hohe Teilnahmehürden • juristische Schwierigkeiten • fehlende Zahlungsgarantie der Banken • fehlendes Engagement der Banken Folgen: • klassische Zahlungsarten Rechnung und Lastschrift weiter erfolgreich • fehlender Standard für Kreditkartenzahlung

  25. 5.2.1. Ecash-System von Digicash B.V. • bargeldähnliches Zahlungssystem • anonymes, bargeldähnliches Kleinzahlungssystem Sicherheitsmaßnahmen: • Datenbank zum Schutz vor Mehrfachausgabe • Blinding zur Gewährleistung von Anonymität Erforderlich: • Installation von Software • Konto bei einer Ecash-Bank oder Broker

  26. Bank/ Ecash Broker 3. Einlösen der Münzen 4. Bestätigung über eingelöste Münzen a. “blinde“ Münzen b. blind unter-schriebene Münzen 1. Zahlungsaufforderung Kunde Händler 2. Ecash Münzen 5. Warenauslieferung 5.2.2. Zahlungsablauf bei Ecash c. unterschriebene anonyme Münzen

  27. Digicash B.V. 1998 bankrott 5.2.3. Erfolg von Ecash Gründe: • Softwareinstallation beim Kunden erforderlich • fehlende Kunden- und Händlerbasis • Ansatz technisch, wirtschaftlich, juristisch, politisch, sozial und kulturell zu komplex • Beharren auf traditionelle Zahlungsmittel • fehlendes Engagement der Banken • ... Folgen: • keine weiteren Versuche mit digitalen Münzen

  28. 5.3.1. Geldkarte im Internet • bargeldähnliches Zahlungssystem • Smart Card-basiertes Kleinzahlungssystem • Geldkarte im Internet eine Initiative von Giesecke & Devrient Sicherheitsmaßnahmen: • Hardware • Secure Socket Layer (SSL) • Schattenkonten Erforderlich: • Geldkarte • Installation von Software • Kartenlesegerät

  29. Issuer Acquirer 6. Kontenausgleich 5. periodische Abrechnung 1. Zahlungsaufforderung Kunde Händler 2. Zahlungsanweisung 4. Warenauslieferung 5.3.2. Zahlungsablauf von Geldkarte 3. gesammelte Zahlungsanweisungen

  30. ausbleibender Erfolg 5.3.3. Erfolg von Geldkarte Gründe: • Anschaffung eines teuren Kartenlesegerätes • fehlende Kunden- und Händlerbasis • unzureichendes Marketing • ... Folgen: • weiterhin Anstrengungen, um die Geldkarte am Markt zu etablieren • aktuell: Geldkarte-Kampagne in München

  31. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen

  32. Trend zu Mikrozahlungssystemen Firstgate paysafecard 6.1. Aktuelle Trends 2. Generation von Zahlungssystemen • Kommerzialisierung im Internet • keine umfassenden Systeme • völlig neue Ansätze • keine Softwareinstallation beim Kunden notwendig • geringerer Sicherheitsaufwand wegen kleinerer Zahlungsgröße

  33. 6.2. Aktuelle Zahlungssysteme Firstgate Internet AG • Micropayment-System Click&Buy: Tarifieren und Abrechnen von Inhalten und Diensten im Internet Paysafecard.com GmbH • paysafecard: Zahlung mit Prepaid-Wertkarten Deutsche Telekom • T-Pay: Payment-Plattform mit vier Zahlungsvarianten

  34. 6.3. mobile Zahlungssysteme PayBox.net AG • mobiles Zahlungsverfahren PayBox • Zahlung über PayBox-Account mit Zahlungsbestätigung per Rückruf Ausblick: • Zahlungssysteme der 3. Generation? • weniger Sicherheitsbedenken • Erfolgsaussichten für M-Business

  35. Noch Fragen?

  36. Vielen Dank für die Aufmerksamkeit!

More Related