Hauptseminar Web Services Zahlungssysteme und Sicherheit Katy Kirsche Technische Universität München SS 2003 Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 Übersicht 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 1.1. Einkaufsvorgang im Internet 1.2. Akteure bei einem Zahlungsvorgang 1.3. Zahlungsszenario im Internet Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1.1. Einkaufsvorgang im Internet Händler Kunde 1.Angebot - Produkte - Zahlungsarten 3. Preisnennung - Preis/ Währung 5. Quittung 2. Bestellung - gewünschte Zahlungsart 4. Zahlung Zahlungsobjekt - Warenauslieferung Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1.2. Akteure bei einem Zahlungsvorgang • Kunde • Händler • Systemarchitekt • Systembetreiber • Banken/ Kreditkartenfirmen • dritte Parteien: Zertifizierungsstellen, Prüfungs- und Verbindungsstellen (Payment Gateway) Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1.3. Zahlungsszenario im Internet Digitaler Digitaler Schalter Schalter Issuer Clearing (Kundenbank) Acquirer (Händlerbank) Sicheres Bankennetzwerk Internet Payer Bezahlung (Kunde) Payee (Händler) Digitale Digitale Geldbörse Kasse Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 2. Typen von Zahlungssystemen 2.1. Kontobasierte Zahlungssysteme 2.2. Bargeldähnliche Zahlungssysteme 2.3. weitere Klassifikationsmerkmale Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 2.1. Kontobasierte Zahlungssysteme • Geld nur auf Konten 3. Clearing Issuer Acquirer 2. Authorisierung/ Einzug 4. Belastungsanzeige Kunde 1. Zahlung Hauptseminar Web Services – Zahlungssysteme und Sicherheit Händler 5.6.2003 2.2. Bargeldähnliche Zahlungssysteme • Geld als digitale Werteinheiten in Form von Dateien auf PC oder Smart Card 4. Clearing Issuer Acquirer 1. Abhebung Kunde 3. Gutschrift 2. Zahlung Hauptseminar Web Services – Zahlungssysteme und Sicherheit Händler 5.6.2003 2.3. weitere Klassifikationsmerkmale • Zeitpunkt der Zahlung Prepaid-Systeme Pay now–Systeme Postpaid-Systeme • Zahlungsgröße Makrozahlungen Kleinzahlungen Microzahlungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 3. Anforderungen an ein Zahlungssystem 3.1. Allgemeine Anforderungen 3.2. Spezielle Anforderungen 3.3. Sicherheitsanforderungen 3.4. Spannungsfeld der Anforderungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 3.1. Allgemeine Anforderungen Wirtschaftlichkeitsanforderungen: • Effizienz • geringe Kosten: Fixkosten und Transaktionskosten • Integrationsfähigkeit • Akzeptanz Funktionalitätsanforderungen: • Skalierbarkeit • Durchgängigkeit der IT-Mittel • Portabilität • leichte Bedienbarkeit • leichte Inbetriebnahme und Installierbarkeit • Transaktionalität Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 3.2. Spezielle Anforderungen zusätzlich noch: • • • • • Bidirektionalität Mehrwährungsfähigkeit Rücktauschbarkeit Flexibilität Konvertierbarkeit Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 3.3. Sicherheitsanforderungen Sicherheitsanforderungen: • Vertraulichkeit • Authentisierung • Autorisierung • Integrität • Verfügbarkeit • Zuverlässigkeit • Hardware zusätzlich noch: • Anonymität, Pseudonymität, Nichtortbarkeit • Unverkettbarkeit • Zurechenbarkeit • Nichtrückweisbarkeit/Verbindlichkeit Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 3.4. Spannungsfeld der Anforderungen Sicherheit leichte Bedienbarkeit Anonymität Zurechenbarkeit, Nichtrückweisbarkeit Akzeptanz: Kundenbasis Händlerbasis Schwierigkeiten bei der Implementierung von Zahlungssystemen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 4. Angriff und Betrug bei Zahlungssystemen • Externe und interne Angriffe • Passive und aktive Attacken auf die Nachrichtenübertragung • Direkter und indirekter Betrug • Schutz vor Kopieren und Mehrfachausgabe bei digitalen Geld Vertrauen der Kunden Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.1.1. Secure Electronic Transaction (SET) • kontobasierte Zahlungssysteme • offener Standard für Kreditkartenzahlung entwickelt u.a. von VISA und MasterCard • Definition aller Nachrichten und Zertifikate • Festlegung aller kryptographischen Algorithmen Sicherheitsmaßnahmen: • symmetrische und asymmetrische Verschlüsselung • digitale Signaturen • Zertifikate • duale Signatur Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.1.2. Zahlungsablauf bei SET Issuer 4. Autorisierungsanfrage Acquirer 5. Autorisierungsantwort SET Zertifizierungsstelle SET Payment Gateway 6. SET Autorisierungsantwort 3. SET Autorisierungsanfrage 1. Zahlungsaufforderung Kunde 2. SET Zahlungsanweisung 7. SET Kaufantwort, Warenauslieferung Hauptseminar Web Services – Zahlungssysteme und Sicherheit Händler 5.6.2003 5.1.2. Zahlungsablauf bei SET 12. Kontenausgleich Issuer 9. Zahlungsanweisung Acquirer 10. Zahlungsantwort SET Zertifizierungsstelle SET Payment Gateway 11. SET Zahlungsantwort Kunde Hauptseminar Web Services – Zahlungssysteme und Sicherheit 8. SET Zahlungsanweisung Händler 5.6.2003 5.1.3. Erfolg von SET fehlende Akzeptanz von SET Gründe: • zu umfassender Ansatz • fehlende Kunden- und Händlerbasis • enorm hohe Teilnahmehürden • juristische Schwierigkeiten • fehlende Zahlungsgarantie der Banken • fehlendes Engagement der Banken Folgen: • klassische Zahlungsarten Rechnung und Lastschrift weiter erfolgreich • fehlender Standard für Kreditkartenzahlung Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.2.1. Ecash-System von Digicash B.V. • bargeldähnliches Zahlungssystem • anonymes, bargeldähnliches Kleinzahlungssystem Sicherheitsmaßnahmen: • Datenbank zum Schutz vor Mehrfachausgabe • Blinding zur Gewährleistung von Anonymität Erforderlich: • Installation von Software • Konto bei einer Ecash-Bank oder Broker Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.2.2. Zahlungsablauf bei Ecash Bank/ Ecash Broker 3. Einlösen der Münzen a. “blinde“ Münzen b. blind unterschriebene Münzen 4. Bestätigung über eingelöste Münzen 1. Zahlungsaufforderung Kunde 2. Ecash Münzen 5. Warenauslieferung Händler c. unterschriebene anonyme Münzen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.2.3. Erfolg von Ecash Digicash B.V. 1998 bankrott Gründe: • Softwareinstallation beim Kunden erforderlich • fehlende Kunden- und Händlerbasis • Ansatz technisch, wirtschaftlich, juristisch, politisch, sozial und kulturell zu komplex • Beharren auf traditionelle Zahlungsmittel • fehlendes Engagement der Banken • ... Folgen: • keine weiteren Versuche mit digitalen Münzen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.3.1. Geldkarte im Internet • bargeldähnliches Zahlungssystem • Smart Card-basiertes Kleinzahlungssystem • Geldkarte im Internet eine Initiative von Giesecke & Devrient Sicherheitsmaßnahmen: • Hardware • Secure Socket Layer (SSL) • Schattenkonten Erforderlich: • Geldkarte • Installation von Software • Kartenlesegerät Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.3.2. Zahlungsablauf von Geldkarte Issuer 6. Kontenausgleich Acquirer 5. periodische Abrechnung 1. Zahlungsaufforderung Kunde 2. Zahlungsanweisung 4. Warenauslieferung Händler 3. gesammelte Zahlungsanweisungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 5.3.3. Erfolg von Geldkarte ausbleibender Erfolg Gründe: • Anschaffung eines teuren Kartenlesegerätes • fehlende Kunden- und Händlerbasis • unzureichendes Marketing • ... Folgen: • weiterhin Anstrengungen, um die Geldkarte am Markt zu etablieren • aktuell: Geldkarte-Kampagne in München Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 1. Einkaufs- und Zahlungsszenario im Internet 2. Typen von Zahlungssystemen 3. Anforderungen an ein Zahlungssystem 4. Angriff und Betrug bei Zahlungssystemen 5. Beispiele für Zahlungssysteme im Internet 6. aktuelle Entwicklungen Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 6.1. Aktuelle Trends 2. Generation von Zahlungssystemen • Kommerzialisierung im Internet Trend zu Mikrozahlungssystemen • keine umfassenden Systeme Firstgate • völlig neue Ansätze paysafecard • keine Softwareinstallation beim Kunden notwendig • geringerer Sicherheitsaufwand wegen kleinerer Zahlungsgröße Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 6.2. Aktuelle Zahlungssysteme Firstgate Internet AG • Micropayment-System Click&Buy: Tarifieren und Abrechnen von Inhalten und Diensten im Internet Paysafecard.com GmbH • paysafecard: Zahlung mit Prepaid-Wertkarten Deutsche Telekom • T-Pay: Payment-Plattform mit vier Zahlungsvarianten Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 6.3. mobile Zahlungssysteme PayBox.net AG • mobiles Zahlungsverfahren PayBox • Zahlung über PayBox-Account mit Zahlungsbestätigung per Rückruf Ausblick: • Zahlungssysteme der 3. Generation? • weniger Sicherheitsbedenken • Erfolgsaussichten für M-Business Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 Noch Fragen? Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003 Vielen Dank für die Aufmerksamkeit! Hauptseminar Web Services – Zahlungssysteme und Sicherheit 5.6.2003