Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Sichere Zahlungsverfahren für E-Government - Bundesamt für ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
E-<strong>Government</strong>-Handbuch<br />
5.4.2 Anforderungen an die technische Implementierung<br />
Bei der Ermittlung von Anforderungen an ein <strong>Zahlungsverfahren</strong> ist zwischen den<br />
Eigenschaften des <strong>Zahlungsverfahren</strong>s selbst und den Anforderungen an die technische<br />
Implementierung zu trennen. In den Abschnitten 5.1 bis 5.3 wurden ausschließlich<br />
die Eigenschaften der <strong>Zahlungsverfahren</strong> bewertet. Die meisten Verfahren<br />
lassen jedoch Freiheitsgrade bei der Integration zu, sodass sich einige Anforderungen,<br />
insbesondere in den Bereichen Sicherheit, Datenschutz und Zukunftsfähigkeit,<br />
nicht eindeutig bewerten lassen. Diese Anforderungen werden im<br />
Folgenden näher vorgestellt. Zudem werden Empfehlungen <strong>für</strong> die bestmögliche<br />
Erfüllung dieser Anforderungen bei der technischen Implementierung der <strong>Zahlungsverfahren</strong><br />
gegeben.<br />
Im Bereich der Sicherheit sind insbesondere die Schutzziele Vertraulichkeit, Integrität<br />
und Authentizität sowie Verfügbarkeit der Systeme von Bedeutung. Vertraulichkeit,<br />
Integrität und Authentizität sind dabei wie folgt definiert:<br />
• Vertraulichkeit bedeutet, dass Daten nicht durch Unbefugte eingesehen werden<br />
können.<br />
• Integrität der Daten bedeutet, dass diese bei der Übertragung unversehrt bleiben<br />
und nicht verändert werden bzw. dass eine Veränderung bemerkt werden<br />
kann.<br />
• Unter Authentizität versteht man, dass die Daten tatsächlich von dem vermeintlichen<br />
Kommunikationspartner stammen bzw. der Kommunikationspartner<br />
derjenige ist, der er vorgibt zu sein. 58<br />
Zur Erfüllung dieser Sicherheitsanforderungen kann die Kommunikation zwischen<br />
Rechnern im Internet durch kryptographische Verfahren abgesichert werden.<br />
Solche Verfahren nutzt z. B. „Secure Sockets Layer“ (SSL). Bei der Verwendung<br />
des SSL-Protokolls wird die Vertraulichkeit der Daten durch Verschlüsselung<br />
und die Integrität der Daten durch sog. „Message Authentication Codes“<br />
(MAC) 59 gewährleistet. Zudem werden bei SSL Server-Zertifikate eingesetzt, anhand<br />
derer die Authentizität des Servers überprüft werden kann.<br />
Eine solche Absicherung der Verbindung zwischen Kunde und Online-Shop sowie<br />
der Verbindung zwischen dem Online-Shop und weiteren beteiligten Systemen<br />
(ZVP, HKR/ZÜV) wird generell empfohlen, wenn sensible Daten über das<br />
Internet übertragen werden. 60 Der Grad der Authentizität der Daten ist zudem<br />
58 Zu „Sicherheitsanforderungen bei der elektronischen Kommunikation“ vgl. das Modul „Verschlüsselung<br />
und Signatur“ sowie das IT-Grundschutzhandbuch.<br />
59 Der „Message Authentication Code“ wird vom Sender aus der Nachricht und einem geheimen<br />
Schlüssel errechnet, der nur dem Sender und dem Empfänger der Nachricht bekannt ist.<br />
Der Empfänger erhält die Nachricht und den MAC und kann durch Neuberechnung des MAC<br />
überprüfen, ob die Nachricht verändert wurde.<br />
60 Vgl. dazu die Module „Leitfaden <strong>für</strong> die Einrichtung einer Internetvertriebsplattform<br />
(E-Shop)“, „<strong>Sichere</strong>r Internetauftritt im E-<strong>Government</strong>“ und „<strong>Sichere</strong> Client-Server-Architekturen<br />
<strong>für</strong> E-<strong>Government</strong>“.<br />
Schutzziele der<br />
Informationssicherheit<br />
Absicherung von<br />
Verbindungen<br />
Kriterien zur Bewertung von <strong>Zahlungsverfahren</strong> Seite 48