Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
E-<strong>Government</strong>-Handbuch<br />
liche Eigenschaften (bei biometrischen Authentifizierungsmechanismen). Aufgrund<br />
der bisher geringen Verbreitung biometrischer Authentifizierungsmechanismen<br />
werden im Folgenden nur die Ausprägungen „Besitz“ und „Wissen“ betrachtet.<br />
Bei keiner der beiden grundsätzlichen Authentifizierungsmöglichkeiten „Besitz“<br />
oder „Wissen“ ist es vollkommen ausgeschlossen, dass ein Dritter unberechtigt<br />
Zahlungen zu Lasten des Kunden initiieren kann. So kann ein Besitzmerkmal wie<br />
eine Karte oder ein Mobiltelefon durch Verlust oder Diebstahl in die Gewalt eines<br />
Dritten übergehen. Ein Wissensmerkmal könnte bei unzureichenden (technischen<br />
oder organisatorischen) Sicherheitsmaßnahmen z. B. mittels Trojanischer Pferde 54<br />
ausgespäht werden. Zudem besteht die Problematik, dass von den Kunden entweder<br />
leicht zu ermittelnde Passwörter verwendet oder sichere Passwörter notiert<br />
und <strong>für</strong> andere Personen zugänglich aufbewahrt werden. Durch die Kombination<br />
von Authentifizierungsmechanismen („Zwei-Faktor-Authentifizierung“) lässt sich<br />
die Stärke der Authentifizierung steigern. 55<br />
Kriterium: Stärke des Authentifizierungsmechanismus<br />
Zwei-Faktor-Authentifizierung: Der Authentifizierungsmechanismus beruht<br />
Hoch<br />
sowohl auf Besitz als auch auf Wissen.<br />
Ein-Faktor-Authentifizierung: Der Authentifizierungsmechanismus beruht ent-<br />
Mittel<br />
weder auf Besitz oder auf Wissen.<br />
Der Authentifizierungsmechanismus beruht auf einem Wissensmerkmal, das<br />
Gering<br />
nicht ausreichend geheim ist (z. B. Kontonummer und BLZ bei Lastschrift,<br />
Kreditkartennummer).<br />
Tabelle 10: Ausprägungen des Kriteriums „Stärke des Authentifizierungsmechanismus“<br />
5.3.3 Sperrmöglichkeit<br />
Eine Möglichkeit zum Schutz vor einer missbräuchlichen Nutzung eines <strong>Zahlungsverfahren</strong>s<br />
ist die Sperre gegen zukünftige Verfügungen zu Lasten des Kunden.<br />
Selbst wenn ein Dritter also über die erforderlichen Besitz- bzw. Wissensmerkmale<br />
verfügt, sind Schäden <strong>für</strong> den Kunden in diesem Fall ausgeschlossen.<br />
Voraussetzung ist jedoch, dass der Kunde davon erfährt, dass ein Dritter möglicherweise<br />
zur Nutzung des <strong>Zahlungsverfahren</strong>s in der Lage ist, z. B. wenn der<br />
Kunde den Verlust der Karte bemerkt oder er bei der Transaktionskontrolle unberechtigte<br />
Transaktionen feststellt.<br />
54 „Trojanische Pferde sind Programme, die neben scheinbar nützlichen auch nicht dokumentierte,<br />
schädliche Funktionen enthalten und diese unabhängig vom Computer-Anwender und<br />
ohne dessen Wissen ausführen. Im Gegensatz zu Computer-Viren können sich Trojanische<br />
Pferde jedoch nicht selbständig verbreiten.“ [BSI 2003, S. 1]<br />
55 Weitere Informationen zu Authentisierung und Authentifizierung finden sich im Modul „Authentisierung<br />
im E-<strong>Government</strong>“.<br />
Qualitätsstufen<br />
der<br />
Authentifizierung<br />
Sperrmöglichkeit<br />
Kriterien zur Bewertung von <strong>Zahlungsverfahren</strong> Seite 45