Hauptseminar Web Services Zahlungssysteme und Sicherheit

1
Hauptseminar Web ServicesZahlungssysteme und
Sicherheit

• Katy Kirsche
• Technische Universität München
• SS 2003

2
Übersicht

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

3
1. Einkaufs- und Zahlungsszenario im Internet

• 1.1. Einkaufsvorgang im Internet
• 1.2. Akteure bei einem Zahlungsvorgang
• 1.3. Zahlungsszenario im Internet

4
1.1. Einkaufsvorgang im Internet
5
1.2. Akteure bei einem Zahlungsvorgang

• Kunde
• Händler
• Systemarchitekt
• Systembetreiber
• Banken/ Kreditkartenfirmen
• dritte Parteien Zertifizierungsstellen,
  Prüfungs- und Verbindungsstellen (Payment
  Gateway)

6
1.3. Zahlungsszenario im Internet
7

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

8
2. Typen von Zahlungssystemen

• 2.1. Kontobasierte Zahlungssysteme
• 2.2. Bargeldähnliche Zahlungssysteme
• 2.3. weitere Klassifikationsmerkmale

9
2.1. Kontobasierte Zahlungssysteme

• Geld nur auf Konten

10
2.2. Bargeldähnliche Zahlungssysteme

• Geld als digitale Werteinheiten in Form von
  Dateien auf PC oder Smart Card

11
2.3. weitere Klassifikationsmerkmale

• Zeitpunkt der Zahlung
• Prepaid-Systeme
• Pay nowSysteme
• Postpaid-Systeme
• Zahlungsgröße
• Makrozahlungen
• Kleinzahlungen
• Microzahlungen
•  

12

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

13
3. Anforderungen an ein Zahlungssystem

• 3.1. Allgemeine Anforderungen
• 3.2. Spezielle Anforderungen
• 3.3. Sicherheitsanforderungen
• 3.4. Spannungsfeld der Anforderungen

14
3.1. Allgemeine Anforderungen

• Wirtschaftlichkeitsanforderungen
• Effizienz
• geringe Kosten Fixkosten und Transaktionskosten
• Integrationsfähigkeit
• Akzeptanz
•  
• Funktionalitätsanforderungen
• Skalierbarkeit
• Durchgängigkeit der IT-Mittel
• Portabilität
• leichte Bedienbarkeit
• leichte Inbetriebnahme und Installierbarkeit
• Transaktionalität

15
3.2. Spezielle Anforderungen

• zusätzlich noch
• Bidirektionalität
• Mehrwährungsfähigkeit
• Rücktauschbarkeit
• Flexibilität
• Konvertierbarkeit

16
3.3. Sicherheitsanforderungen

• Sicherheitsanforderungen
• Vertraulichkeit
• Authentisierung
• Autorisierung
• Integrität
• Verfügbarkeit
• Zuverlässigkeit
• Hardware
•  
• zusätzlich noch
• Anonymität, Pseudonymität, Nichtortbarkeit
• Unverkettbarkeit
• Zurechenbarkeit
• Nichtrückweisbarkeit/Verbindlichkeit
•  

17
3.4. Spannungsfeld der Anforderungen
18

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

19
4. Angriff und Betrug bei Zahlungssystemen

• Externe und interne Angriffe
• Passive und aktive Attacken auf die
  Nachrichtenübertragung
• Direkter und indirekter Betrug
• Schutz vor Kopieren und Mehrfachausgabe bei
  digitalen Geld

20

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

21
5.1.1. Secure Electronic Transaction (SET)

• kontobasierte Zahlungssysteme
• offener Standard für Kreditkartenzahlung
  entwickelt u.a. von VISA und MasterCard
• Definition aller Nachrichten und Zertifikate
• Festlegung aller kryptographischen Algorithmen
• Sicherheitsmaßnahmen
• symmetrische und asymmetrische Verschlüsselung
• digitale Signaturen
• Zertifikate
• duale Signatur

22
5.1.2. Zahlungsablauf bei SET
23
5.1.2. Zahlungsablauf bei SET
24
5.1.3. Erfolg von SET

• Gründe
• zu umfassender Ansatz
• fehlende Kunden- und Händlerbasis
• enorm hohe Teilnahmehürden
• juristische Schwierigkeiten
• fehlende Zahlungsgarantie der Banken
• fehlendes Engagement der Banken
• Folgen
• klassische Zahlungsarten Rechnung und Lastschrift
  weiter erfolgreich
• fehlender Standard für Kreditkartenzahlung

25
5.2.1. Ecash-System von Digicash B.V.

• bargeldähnliches Zahlungssystem
• anonymes, bargeldähnliches Kleinzahlungssystem
• Sicherheitsmaßnahmen
• Datenbank zum Schutz vor Mehrfachausgabe
• Blinding zur Gewährleistung von Anonymität
• Erforderlich
• Installation von Software
• Konto bei einer Ecash-Bank oder Broker

26
5.2.2. Zahlungsablauf bei Ecash
c. unterschriebene anonyme Münzen
27
5.2.3. Erfolg von Ecash

• Gründe
• Softwareinstallation beim Kunden erforderlich
• fehlende Kunden- und Händlerbasis
• Ansatz technisch, wirtschaftlich, juristisch,
  politisch, sozial und kulturell zu komplex
• Beharren auf traditionelle Zahlungsmittel
• fehlendes Engagement der Banken
• ...
• Folgen
• keine weiteren Versuche mit digitalen Münzen

28
5.3.1. Geldkarte im Internet

• bargeldähnliches Zahlungssystem
• Smart Card-basiertes Kleinzahlungssystem
• Geldkarte im Internet eine Initiative von
  Giesecke Devrient
• Sicherheitsmaßnahmen
• Hardware
• Secure Socket Layer (SSL)
• Schattenkonten
• Erforderlich
• Geldkarte
• Installation von Software
• Kartenlesegerät

29
5.3.2. Zahlungsablauf von Geldkarte
3. gesammelte Zahlungsanweisungen
30
5.3.3. Erfolg von Geldkarte

• Gründe
• Anschaffung eines teuren Kartenlesegerätes
• fehlende Kunden- und Händlerbasis
• unzureichendes Marketing
• ...
• Folgen
• weiterhin Anstrengungen, um die Geldkarte am
  Markt zu etablieren
• aktuell Geldkarte-Kampagne in München

31

• Einkaufs- und Zahlungsszenario im Internet
• 2. Typen von Zahlungssystemen
• 3. Anforderungen an ein Zahlungssystem
• 4. Angriff und Betrug bei Zahlungssystemen
• 5. Beispiele für Zahlungssysteme im Internet
• 6. aktuelle Entwicklungen

32
6.1. Aktuelle Trends
2. Generation von Zahlungssystemen

• Kommerzialisierung im Internet

• keine umfassenden Systeme

• völlig neue Ansätze

• keine Softwareinstallation beim Kunden notwendig

• geringerer Sicherheitsaufwand wegen kleinerer
  Zahlungsgröße

33
6.2. Aktuelle Zahlungssysteme

• Firstgate Internet AG
• Micropayment-System ClickBuy Tarifieren und
  Abrechnen von Inhalten und Diensten im Internet
• Paysafecard.com GmbH
• paysafecard Zahlung mit Prepaid-Wertkarten
• Deutsche Telekom
• T-Pay Payment-Plattform mit vier
  Zahlungsvarianten

34
6.3. mobile Zahlungssysteme

• PayBox.net AG
• mobiles Zahlungsverfahren PayBox
• Zahlung über PayBox-Account mit
  Zahlungsbestätigung per Rückruf
• Ausblick
• Zahlungssysteme der 3. Generation?
• weniger Sicherheitsbedenken
• Erfolgsaussichten für M-Business

35
Noch Fragen?
36
Vielen Dank für die Aufmerksamkeit!