Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
E-<strong>Government</strong>-Handbuch<br />
dem Magnetstreifen ausgelesen, sind jedoch auch auf der Karte abgedruckt. Ähnlich<br />
wie beim electronic-cash-Verfahren muss <strong>für</strong> die Erlangung einer Zahlungsgarantie<br />
eine Verbindung zur Autorisierungsstelle der Kreditkartengesellschaft<br />
hergestellt und die Einhaltung des Verfügungsrahmens der Karte sowie das Vorliegen<br />
von Sperren überprüft werden.<br />
Mit der wachsenden Anzahl von Online-Transaktionen werden Kreditkarten zunehmend<br />
auch im Internet eingesetzt. Dies ist möglich, da zur Abwicklung einer<br />
Transaktion ein Kreditkartenterminal nicht zwingend erforderlich ist. Es reicht<br />
auch die Übermittlung der zur Transaktion erforderlichen Daten aus. Diese wurden<br />
jedoch häufig ungeschützt über Internet-Verbindungen übertragen. Dritte<br />
konnten somit diese Daten relativ leicht abfangen und die Kreditkartennummern,<br />
z. B. <strong>für</strong> betrügerischen Einkauf, missbrauchen 14 . Es wurden jedoch bereits verschiedene<br />
Versuche unternommen, die Sicherheit des Systems vor allem beim<br />
Einsatz im Internet zu steigern.<br />
Eine Lösung zur Absicherung der Datenübertragung über das Internet war der<br />
Einsatz von kryptographischen Techniken. Insbesondere „Secure Socket Layer“<br />
(SSL) findet mittlerweile starke Verbreitung. Dies löst zwar das Problem, dass<br />
Daten ungeschützt über das Internet übertragen werden, jedoch kann der Kunde<br />
noch nicht eindeutig als Kreditkarteninhaber authentifiziert werden. Dem sollte<br />
„Secure Electronic Transaction“ (SET) entgegentreten. Aufgrund zu hoher Komplexität<br />
und enormen Installations- und Betriebsaufwands fand das System jedoch<br />
keine nennenswerte Akzeptanz und wurde zum größten Teil wieder eingestellt.<br />
Als weiteres Sicherheitsmerkmal wurden so genannte Kartenprüfnummern (KPN)<br />
eingeführt – von Visa auch Card Verification Code (CVC) und Card Verification<br />
Code2 (CVC2), von MasterCard auch Card Verification Value (CVV) und Card<br />
Verification Value2 (CVV2) genannt. CVC2 und CVV2 sind <strong>für</strong> Bestellungen im<br />
Internet, per Telefon oder Postkarte gedacht und auf der Rückseite der Kreditkarte<br />
sichtbar aufgebracht. 15 Die Kartenprüfnummern <strong>für</strong> die Bezahlung vor Ort (CVC<br />
bzw. CVV) sind im Magnetstreifen hinterlegt. Anhand der Kartenprüfnummer<br />
lässt sich durch die Kartenherausgeber feststellen, ob die Karte tatsächlich existent<br />
ist oder ob die Kreditkartennummer beispielsweise von einem Computerprogramm<br />
zu Betrugszwecken errechnet wurde.<br />
Als weitere Initiative wird von den beiden weltweit größten Kreditkartengesellschaften<br />
– Visa und MasterCard – unter zwei unterschiedlichen Markennamen ein<br />
Verfahren eingeführt, das auf dem so genannten 3-D-Secure-Protokoll basiert.<br />
Diese werden in folgenden Varianten 16 angeboten:<br />
Die erste Variante beruht auf einer PIN-basierten Authentifizierung. Der Karteninhaber<br />
meldet sich dazu einmalig bei seiner kartenherausgebenden Bank <strong>für</strong> die-<br />
14 Aus missbräuchlichen Verfügungen im Internet, die allein auf Kenntnis der Kreditkartendaten<br />
beruhen, entsteht nach den geltenden Regelungen kein Haftungsrisiko <strong>für</strong> den Karteninhaber.<br />
15 CVC2 und CVV2 sind dazu weder Bestandteil der Informationen auf dem Magnetstreifen,<br />
noch wird sie auf dem Zahlungsbeleg abgedruckt.<br />
16 Derzeit wird Variante 2 nur von MasterCard angeboten (Stand: Mai 2005). Es ist jedoch zu<br />
erwarten, sobald Kreditkarten mit Chip eine stärkere Verbreitung finden, dass weitere Kreditkartenorganisationen<br />
diese Variante ebenfalls anbieten werden.<br />
Probleme beim<br />
Einsatz im<br />
Internet<br />
SSL und SET zur<br />
Lösung der<br />
Probleme<br />
Einführung von<br />
Kartenprüfnummern<br />
Verified by Visa<br />
und MasterCard<br />
SecureCode<br />
Variante 1<br />
<strong>Zahlungsverfahren</strong> <strong>für</strong> E-<strong>Government</strong> Seite 12