Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ... Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
E-Government-Handbuch dem Magnetstreifen ausgelesen, sind jedoch auch auf der Karte abgedruckt. Ähnlich wie beim electronic-cash-Verfahren muss für die Erlangung einer Zahlungsgarantie eine Verbindung zur Autorisierungsstelle der Kreditkartengesellschaft hergestellt und die Einhaltung des Verfügungsrahmens der Karte sowie das Vorliegen von Sperren überprüft werden. Mit der wachsenden Anzahl von Online-Transaktionen werden Kreditkarten zunehmend auch im Internet eingesetzt. Dies ist möglich, da zur Abwicklung einer Transaktion ein Kreditkartenterminal nicht zwingend erforderlich ist. Es reicht auch die Übermittlung der zur Transaktion erforderlichen Daten aus. Diese wurden jedoch häufig ungeschützt über Internet-Verbindungen übertragen. Dritte konnten somit diese Daten relativ leicht abfangen und die Kreditkartennummern, z. B. für betrügerischen Einkauf, missbrauchen 14 . Es wurden jedoch bereits verschiedene Versuche unternommen, die Sicherheit des Systems vor allem beim Einsatz im Internet zu steigern. Eine Lösung zur Absicherung der Datenübertragung über das Internet war der Einsatz von kryptographischen Techniken. Insbesondere „Secure Socket Layer“ (SSL) findet mittlerweile starke Verbreitung. Dies löst zwar das Problem, dass Daten ungeschützt über das Internet übertragen werden, jedoch kann der Kunde noch nicht eindeutig als Kreditkarteninhaber authentifiziert werden. Dem sollte „Secure Electronic Transaction“ (SET) entgegentreten. Aufgrund zu hoher Komplexität und enormen Installations- und Betriebsaufwands fand das System jedoch keine nennenswerte Akzeptanz und wurde zum größten Teil wieder eingestellt. Als weiteres Sicherheitsmerkmal wurden so genannte Kartenprüfnummern (KPN) eingeführt – von Visa auch Card Verification Code (CVC) und Card Verification Code2 (CVC2), von MasterCard auch Card Verification Value (CVV) und Card Verification Value2 (CVV2) genannt. CVC2 und CVV2 sind für Bestellungen im Internet, per Telefon oder Postkarte gedacht und auf der Rückseite der Kreditkarte sichtbar aufgebracht. 15 Die Kartenprüfnummern für die Bezahlung vor Ort (CVC bzw. CVV) sind im Magnetstreifen hinterlegt. Anhand der Kartenprüfnummer lässt sich durch die Kartenherausgeber feststellen, ob die Karte tatsächlich existent ist oder ob die Kreditkartennummer beispielsweise von einem Computerprogramm zu Betrugszwecken errechnet wurde. Als weitere Initiative wird von den beiden weltweit größten Kreditkartengesellschaften – Visa und MasterCard – unter zwei unterschiedlichen Markennamen ein Verfahren eingeführt, das auf dem so genannten 3-D-Secure-Protokoll basiert. Diese werden in folgenden Varianten 16 angeboten: Die erste Variante beruht auf einer PIN-basierten Authentifizierung. Der Karteninhaber meldet sich dazu einmalig bei seiner kartenherausgebenden Bank für die- 14 Aus missbräuchlichen Verfügungen im Internet, die allein auf Kenntnis der Kreditkartendaten beruhen, entsteht nach den geltenden Regelungen kein Haftungsrisiko für den Karteninhaber. 15 CVC2 und CVV2 sind dazu weder Bestandteil der Informationen auf dem Magnetstreifen, noch wird sie auf dem Zahlungsbeleg abgedruckt. 16 Derzeit wird Variante 2 nur von MasterCard angeboten (Stand: Mai 2005). Es ist jedoch zu erwarten, sobald Kreditkarten mit Chip eine stärkere Verbreitung finden, dass weitere Kreditkartenorganisationen diese Variante ebenfalls anbieten werden. Probleme beim Einsatz im Internet SSL und SET zur Lösung der Probleme Einführung von Kartenprüfnummern Verified by Visa und MasterCard SecureCode Variante 1 Zahlungsverfahren für E-Government Seite 12
E-Government-Handbuch se Verfahrensvariante an. Anschließend erhält der Karteninhaber eine PIN zugeteilt, die er für Transaktionen über Internet einsetzen kann. Sofern ein Internet- Händler diese Variante unterstützt, muss der Kunde beim Bezahlvorgang (in einem Browser-Fenster) seine PIN angeben, welche online verifiziert wird. Im positiven Fall ist der Bezahlvorgang abgeschlossen und die Zahlung garantiert. Die zweite Variante beruht auf einer Kreditkarte mit Chip (und zugehöriger PIN) und einem EMV 17 -fähigen Kartenleser. Der Käufer wird im Rahmen des Zahlungsvorgangs aufgefordert, seine EMV-Chipkarte in den Kartenleser einzuführen. Anschließend wird eine im Browser-Fenster angezeigte Zahl und der Betrag über die Tastatur des Lesegeräts eingegeben. Nach Eingabe der kartenindividuellen PIN wird im Display des Kartenlesers ein vom Kartenchip erzeugter Code angezeigt, den man in ein Browser-Feld übertragen und abschicken muss. Auch in diesem Falle ist die Zahlung garantiert. 2.2.3 Wertkarten-basierte Verfahren Wertkarten-basierte Verfahren unterscheiden sich von elektronischen Geldbörsen dadurch, dass dieselbe Karte nicht wieder aufgeladen werden kann. Bei den Werteinheiten handelt es sich nicht um E-Geld. Zudem ist das Guthaben nicht notwendigerweise auf einem Chip gespeichert. Für den Erwerb der Wertkarte ist grundsätzlich jedes andere Zahlungsverfahren einsetzbar, häufig genutzte Verfahren sind z. B. Barzahlung oder Lastschrift. Beim Bezahlen muss der Kunde z. B. einen auf der Wertkarte aufgedruckten Code und ein zusätzliches Kennwort im Browser eingeben. Anschließend wird das Guthaben von Hintergrundsystemen geprüft und bei ausreichender Deckung um den Kaufpreis reduziert. Das System eignet sich sowohl für einen Einsatz am POS als auch für einen Einsatz im Internet. Es bietet darüber hinaus die Möglichkeit einer vollständig anonymen Zahlung. Bekannte Beispiele für Wertkarten-basierte Verfahren sind die paysafecard und T-Pay MicroMoney. paysafecard bietet beispielsweise für Jugendliche die
- Seite 1 und 2: Sichere Zahlungsverfahren für E-Go
- Seite 3 und 4: E-Government-Handbuch Inhaltsverzei
- Seite 5 und 6: E-Government-Handbuch 6.1.7 Wertkar
- Seite 7 und 8: E-Government-Handbuch Abbildungsver
- Seite 9 und 10: E-Government-Handbuch Tabellenverze
- Seite 11 und 12: E-Government-Handbuch IBAN Internat
- Seite 13 und 14: E-Government-Handbuch 0 Management
- Seite 15 und 16: E-Government-Handbuch 1 Einführung
- Seite 17 und 18: E-Government-Handbuch 2 Zahlungsver
- Seite 19 und 20: E-Government-Handbuch 2.1 Originär
- Seite 21 und 22: E-Government-Handbuch In Österreic
- Seite 23: E-Government-Handbuch bezahlten Lei
- Seite 27 und 28: E-Government-Handbuch fahren, sind
- Seite 29 und 30: E-Government-Handbuch tionspartei d
- Seite 31 und 32: E-Government-Handbuch 3 Szenarien v
- Seite 33 und 34: E-Government-Handbuch 3.1.2 Häufig
- Seite 35 und 36: E-Government-Handbuch vereinfacht,
- Seite 37 und 38: E-Government-Handbuch des komplett
- Seite 39 und 40: E-Government-Handbuch und der Ausdr
- Seite 41 und 42: E-Government-Handbuch weiteren Date
- Seite 43 und 44: E-Government-Handbuch Beispielszena
- Seite 45 und 46: E-Government-Handbuch 4.1 Online-Sh
- Seite 47 und 48: E-Government-Handbuch mit Einzugser
- Seite 49 und 50: E-Government-Handbuch 5 Kriterien z
- Seite 51 und 52: E-Government-Handbuch Nutzung auch
- Seite 53 und 54: E-Government-Handbuch stehen, ohne
- Seite 55 und 56: E-Government-Handbuch sagio 53 bei
- Seite 57 und 58: E-Government-Handbuch liche Eigensc
- Seite 59 und 60: E-Government-Handbuch Behörde abh
- Seite 61 und 62: E-Government-Handbuch vom Authentif
- Seite 63 und 64: E-Government-Handbuch 6 Beschreibun
- Seite 65 und 66: E-Government-Handbuch Kunde � Ini
- Seite 67 und 68: E-Government-Handbuch Zahlungsverfa
- Seite 69 und 70: E-Government-Handbuch Zahlungsverfa
- Seite 71 und 72: E-Government-Handbuch 6.1.5 Kreditk
- Seite 73 und 74: E-Government-Handbuch tiert und das
E-<strong>Government</strong>-Handbuch<br />
se Verfahrensvariante an. Anschließend erhält der Karteninhaber eine PIN zugeteilt,<br />
die er <strong>für</strong> Transaktionen über Internet einsetzen kann. Sofern ein Internet-<br />
Händler diese Variante unterstützt, muss der Kunde beim Bezahlvorgang (in einem<br />
Browser-Fenster) seine PIN angeben, welche online verifiziert wird. Im positiven<br />
Fall ist der Bezahlvorgang abgeschlossen und die Zahlung garantiert.<br />
Die zweite Variante beruht auf einer Kreditkarte mit Chip (und zugehöriger PIN)<br />
und einem EMV 17 -fähigen Kartenleser. Der Käufer wird im Rahmen des Zahlungsvorgangs<br />
aufgefordert, seine EMV-Chipkarte in den Kartenleser einzuführen.<br />
Anschließend wird eine im Browser-Fenster angezeigte Zahl und der Betrag<br />
über die Tastatur des Lesegeräts eingegeben. Nach Eingabe der kartenindividuellen<br />
PIN wird im Display des Kartenlesers ein vom Kartenchip erzeugter Code angezeigt,<br />
den man in ein Browser-Feld übertragen und abschicken muss. Auch in<br />
diesem Falle ist die Zahlung garantiert.<br />
2.2.3 Wertkarten-basierte Verfahren<br />
Wertkarten-basierte Verfahren unterscheiden sich von elektronischen Geldbörsen<br />
dadurch, dass dieselbe Karte nicht wieder aufgeladen werden kann. Bei den Werteinheiten<br />
handelt es sich nicht um E-Geld. Zudem ist das Guthaben nicht notwendigerweise<br />
auf einem Chip gespeichert. Für den Erwerb der Wertkarte ist grundsätzlich<br />
jedes andere <strong>Zahlungsverfahren</strong> einsetzbar, häufig genutzte Verfahren<br />
sind z. B. Barzahlung oder Lastschrift. Beim Bezahlen muss der Kunde z. B. einen<br />
auf der Wertkarte aufgedruckten Code und ein zusätzliches Kennwort im<br />
Browser eingeben. Anschließend wird das Guthaben von Hintergrundsystemen<br />
geprüft und bei ausreichender Deckung um den Kaufpreis reduziert. Das System<br />
eignet sich sowohl <strong>für</strong> einen Einsatz am POS als auch <strong>für</strong> einen Einsatz im Internet.<br />
Es bietet darüber hinaus die Möglichkeit einer vollständig anonymen Zahlung.<br />
Bekannte Beispiele <strong>für</strong> Wertkarten-basierte Verfahren sind die paysafecard und<br />
T-Pay MicroMoney. paysafecard bietet beispielsweise <strong>für</strong> Jugendliche die