Mobile Payment Security

Größe: px
Ab Seite anzeigen:

Download "Mobile Payment Security"

Transkript

1 Opinion Paper Mobile Payment Security Wie sicher ist das Bezahlen mit Mobiltelefon? 2012 / 11 We make ICT strategies work

2 Inhaltsverzeichnis 1 Executive Summary Mobile Payment Security Einführung Bezahlen mit Mobiltelefon NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem Mobile Payment Anwendungen Authentifizierungsmethoden Bezahlungs- und Sicherheitsoptionen Mobile Payment Bezahlungsoptionen Low Value und High Value Transaktionen Offline PIN Transaktionen Online PIN Transaktionen Mobile Payment Sicherheitsoptionen Online-Autorisierung No-PIN Transaktionenzähler Offline Transaktionenzähler Angreifer, Schwachstellen und Bedrohungspotential Der Kreditkartenschwarzmarkt Malware-Angriffe Man-in-the-Middle Angriffe Abhör-Angriffe Ergänzende Sicherheitsmassnahmen Technische Sicherheitsmassnahmen Zertifizierung und Härtung der Mobiltelefone Authentifizierungsmethoden Deaktivierung der NFC-Funktionalität Funktionale Sicherheitsmassnahmen Anpassung des Contactless Card Limits Two Tap Verfahren Anwendungs-Aktivierung Schlussfolgerungen Lektüreempfehlungen Abbildungsverzeichnis Der Autor Das Unternehmen Opinion Paper 2 Detecon (Schweiz) AG

3 1 Executive Summary Voraussichtlich ab 2013 soll das sogenannte Mobile Payment, die Bezahlungsfunktion mit Mobiltelefon, in der Schweiz als neue Technologie seitens der grossen Kreditkartenherausgeber angeboten werden, nachdem bereits in den Jahren zuvor kontaktlose Kreditkarten eingeführt worden sind. Erste Pilotprojekte der lokalen Kreditkartenanbieter mit den Telekommunikations-Unternehmen wurden bereits erfolgreich abgeschlossen. Ebenso besitzen immer mehr Mobiltelefone eine Schnittstelle für Nahfunktechnologie (Near Field Communication, NFC) und moderne Zahlungsterminals sind vielfach mit Funktechnologie ausgestattet. Es scheint, als stehe das mobile Bezahlen in der Schweiz nun kurz vor dem Durchbruch. Zu den zahlreichen Vorteilen von Mobile Payment gehören die Durchführung von Transaktionen innerhalb von Sekundenbruchteilen, die einfache Bedienung durch kontaktloses Platzieren des Mobiltelefons am Terminal und das Bezahlen von Kleinbeträgen ohne PIN-Eingabe oder Unterschrift. Jedoch weisen verschiedene Seiten auch auf sicherheitsrelevante Schwachstellen der Nahfunktechnik hin. Es wird bemängelt, dass sich durch verschiedene Angriffsarten theoretisch Speicherkarteninhalte vom Mobiltelefon stehlen oder Malware aufs Mobiltelefon bringen lässt. Bestimmte Malware, wie der auf Mobiltelefone zugeschnittene ZeuS-in-the-Mobile (ZitMo) Trojaner, können eingehende Daten abfangen und ebenfalls Transaktions- und Autorisierungsdaten an den Angreifer weiterleiten. Ebenso besteht ohne entsprechende Sicherheitsvorkehrungen das Risiko, dass übertragene Kreditkarten-Daten mit einfachen Applikationen abgehört und für weitere Transaktionen missbraucht werden können. Wie die Untersuchung aufzeigt, bietet die für Mobile Payment erforderliche zusätzliche Schnittstelle bei korrekter Umsetzung im Zusammenspiel mit den Bezahlungs- und Sicherheitsoptionen einen guten Schutz gegen verschiedene Angriffsvektoren wie Malware, Man-in-the-Middle (MitM) sowie Abhör-Angriffe. Die Analyse potentieller Schwachstellen und die praktische Umsetzbarkeit von Angriffen zeigen auf, dass das Sicherheitsrisiko durch Malware Angriffe auf Mobiltelefone im Allgemeinen zunimmt. Dieses Risiko ist jedoch kalkulierbar und sehr gering, sofern die Mobile Payment Anwendung korrekt umgesetzt, grundlegende Sicherheitseinstellungen bestehen und vom Benutzer nicht umgangen werden. Daneben besteht ein geringes Risiko durch Abhör-Angriffe, insbesondere durch sogenannte Replay-Angriffe, bei denen der Angreifer versucht, Kreditkarten-Daten abzufangen und wiederzuverwenden. Für den Angreifer ist es jedoch sehr schwierig, die übertragenen Daten zur Wiederholung einer bestimmten Transaktion zu nutzen, da die Transaktion unter anderem durch einmalige Kryptogramme geschützt wird. Als unwahrscheinlich sind MitM-Angriffe einzustufen, bei denen sich der Angreifer zwischen zwei Kommunikationsteilnehmer stellt und so die zwischen beiden Parteien ausgetauschten Transaktionsdaten abfängt. Diese Angriffe scheitern daran, dass sie sehr schwierig durchzuführen sind und die Interaktion des Angreifers durch die legitimen Benutzer leicht entdeckt werden kann. Die vorliegende Untersuchung ergibt, dass die Bezahlung mit Mobiltelefonen grundsätzlich als sicher einzustufen ist. Dies hängt einerseits damit zusammen, dass die Kreditkartenindustrie hohe Sicherheitsanforderungen stellt. 1 Andererseits werden seitens der 1 Dazu gehören: Payment Card Industry Data Security Standard (PCI DSS), Payment Application Data Security Standard (PA-DSS), Payment Card Industry PIN Transaction Security (PCI PTS). Opinion Paper 3 Detecon (Schweiz) AG

4 Kreditkartenorganisationen wie MasterCard und Visa umfangreiche Sicherheitsanforderungen gestellt. Von den Kreditkarten herausgebenden Banken werden zudem verschiedene Sicherheitsmechanismen zur Reduktion des finanziellen Risikos sowie Methoden im Bereich des Betrugsmanagements eingesetzt, um die Erfolgsquote von Angriffen so gering wie möglich zu halten. Viele der von Sicherheitsexperten als theoretisch möglich eingestuften Angriffe konnten bis heute unter realen Bedingungen nicht durchgeführt werden. Die Ursache wird im grossen finanziellen, organisatorischen und zeitlichen Aufwand zur Durchführung vermutet. Bei einer nüchternen Betrachtung der potentiellen Schwachstellen sowie der technischen Umsetzbarkeit von Angriffen stellt sich heraus, dass andere Angriffsmethoden erfolgsversprechender sind. Ein Grossteil der Angreifer automatisiert und rationalisiert ihre Methoden auf sogenannte High-Volume/Low-Risk Angriffe gegen schwächere Ziele. Sie zielen auf die schwächsten Glieder der Sicherheitskette ab und umfassen Phishing-Angriffe sowie Angriffe auf Point of Sale (POS) Systeme und Datenbanken mit Kreditkarten- Informationen. Neben der Einhaltung der verbindlichen Standards der Payment Card Industry (PCI) und den technischen Standard-Sicherheitsmassnahmen, wie sichere Verschlüsselung der Transaktionsdaten und Authentifizierung nach aktuellstem Standard, bieten die bestehenden Bezahlungsoptionen des Mobile Payments einen guten Schutz vor Missbrauch: Karteninhaber-Prüfung durch PIN bei High Value Transaktionen ab 40 SFr. No-PIN Transaktionenzähler, der die Anzahl der Transaktionen, die ohne PIN-Eingabe durchgeführt werden können, einschränkt. Offline Transaktionenzähler, der in regelmässigen Abständen eine Online-Verbindung zum Kreditkartenherausgeber herstellt, um die Authentizität des Besitzers sicherzustellen und das Betrugsrisiko zu minimieren. Zusätzliche Sicherheitsoptionen, welche von den Kreditkartenherausgebern umgesetzt werden könnten, bergen das Risiko einer verringerten Kundenakzeptanz bei der Einführung des Mobile Payments: Reduktion des Transaktionsbetrags, bei dem keine PIN-Eingabe notwendig ist. Dadurch wird das maximale finanzielle Risiko zwar weiter reduziert, jedoch wird der Kunde gezwungen, auch bei Kleinbeträgen bis 40 SFr. seine PIN einzugeben. Durch ein zweistufiges Two Tap Verfahren (Initialisierung und Transaktion) wird die Sicherheit nochmals erhöht. Dies geht jedoch auf Kosten der Kundenakzeptanz, da der Transaktionsprozess komplizierter wird als mit klassischer Kreditkarte üblich. Die Option der Anwendungs-Aktivierung erlaubt dem Benutzer, die Mobile Payment Anwendung nur dann zu aktivieren, wenn sie für eine Zahlung benötigt wird, und die übrige Zeit auszuschalten. Da eine wiederholte Aktivierung und Deaktivierung jedoch das Bezahlen von kleinen Geldbeträgen umständlich macht, birgt diese Option ebenfalls einen negativen Einfluss auf die Kundenakzeptanz. Trotz aller bestehenden Sicherheitsmassnahmen ist das Risiko eines erfolgreichen Angriffs grundsätzlich immer vorhanden. Die Untersuchung zeigt das Spannungsverhältnis zwischen höchstmöglicher Sicherheit und maximaler Kundenakzeptanz im Bereich mobiler Bezahlungsmethoden auf. Die Einfachheit und Geschwindigkeit ist sowohl für Händler als auch Kunden ein zentraler Aspekt des mobilen Bezahlens. Opinion Paper 4 Detecon (Schweiz) AG

5 2 Mobile Payment Security Einführung Mit der stetig steigenden Popularität des bargeldlosen Bezahlens und der Einführung der Nahfunktechnik im Kreditkartenbereich wächst einerseits das Interesse an einer Vereinfachung und Verkürzung des Zahlungsvorgangs, während andererseits immer wieder Stimmen laut werden, die vor möglichen Sicherheitsrisiken warnen. In den Medien werden potentielle Sicherheitslücken von kontaktlosen Kreditkarten sowie von Mobiltelefonen mit Nahfunktechnik rege diskutiert. Insbesondere werden die scheinbar unzureichenden Sicherheitsmechanismen mobiler Bezahlungsmethoden thematisiert: Sicherheitsexperten warnen davor, dass Kreditkartentransaktionen ohne direkten Zugriff mitverfolgt werden können, sogar dann, wenn das Smartphone in der Tasche des Opfers bleibt. Damit liessen sich Kreditkarten nachbilden und ohne Wissen des Opfers missbrauchen. Daneben wird von Sicherheitsexperten bemängelt, dass eine Authentifizierung des Karteninhabers am mit Nahfunktechnik ausgerüsteten Kartenleser bei geringen Beträgen nicht stattfindet. Dadurch liessen sich Transaktionen aufzeichnen und zu einem späteren Zeitpunkt über sogenannte Replay-Angriffe wiederholt ausführen. An verschiedenen Sicherheitskonferenzen haben Experten auf Verkaufsportalen, sogenannten App Stores, frei zugängliche Applikationen vorgestellt, die es ermöglichen, Kreditkarten-Daten auszulesen und die für eine Kreditkartentransaktion notwendigen Informationen zu speichern. In zahlreichen Ländern wurden bereits Pilotprojekte zum kontaktlosen Bezahlen mit Mobiltelefonen gestartet und einige Lösungen sind schon im Einsatz. In der Schweiz soll ab 2013 das kontaktlose Bezahlen mit Mobiltelefon als neue Technologie eingeführt werden. Schweizer Anbieter testen bereits kontaktlose Zahlungssysteme über mit NFC-Chip ausgestattete Smartphones. Obwohl heute nur wenige Modelle über diese Funktion verfügen, kündigen alle grossen Mobiltelefon-Hersteller, mit Ausnahme von Apple, NFCfähige Geräte an. Zudem haben die meisten Hersteller von Zahlungs-Terminals NFC-fähige Geräte in ihr Sortiment aufgenommen. Es ist zu vermuten, dass die Händler 2013 allmählich auf NFC-Terminals umstellen werden. Studien sagen voraus, dass bis 2016 weltweit 85 Prozent aller Zahlungs-Terminals NFC-Transaktionen zulassen werden. 2 Bis heute wurde die Mehrheit der potentiellen Angriffsszenarien nur unter Laborbedingungen durchgeführt. Die Sicherheitsaspekte werden von den Medien und den Verbrauchern thematisiert, obwohl bis heute noch keine Angriffe unter realen Bedingungen erfolgreich durchgeführt worden sind. Dies könnte sich jedoch mit dem flächendeckenden Einsatz der neuen Bezahlungstechnologie in den nächsten Jahren ändern. Hintergrund der Annahme steigender Angriffe ist, dass es zu einer zunehmenden Professionalisierung der Betrüger und Cyber-Kriminellen im Bereich des Kreditkartengeschäfts gekommen ist. Es ist eine Verschiebung der Angriffe auf die schwächsten Glieder in der Kette der Sicherheitsmechanismen zu beobachten. Die Frage ist, ob Mobile Payment auch dazu gehört. 2 ABI Research Report NFC MOBILE PAYMENTS (2011). Opinion Paper 5 Detecon (Schweiz) AG

6 3 Bezahlen mit Mobiltelefon Mobile Payment wird als Zahlung definiert, die mit einem Mobiltelefon oder einem anderen mobilen Gerät durchgeführt wird. Analog zu kontaktlosen Kreditkarten können auch NFCfähige Mobiltelefone Zahlungsverkehrsanwendungen unterstützen und sind kompatibel mit den bereits installierten Kontaktlos-Terminals. NFC-Geräte (kontaktlose Kreditkarte sowie NFC-fähige Mobiltelefone) sind geeignet für Umgebungen, in denen Schnelligkeit und Bequemlichkeit wichtig sind, wie beispielsweise an Tankstellen, Schnellimbiss-Restaurants oder Verkaufsautomaten. Zurzeit sind in der Schweiz ungefähr NFC-fähige Terminals in Betrieb. Während das Mobiltelefon die Rolle der kontaktlosen Kreditkarte übernimmt, ist zusätzlich eine Aufzeichnung aller Transaktionen jederzeit auf dem Mobiltelefon verfügbar. Für Zahlungsverkehrsanwendungen gelten allerdings strenge Sicherheitsanforderungen, die unter anderem ein zugelassenes Sicherheitselement, ein sogenanntes Secure Element, im Gerät erfordern. 3 In der Schweiz sind heute ungefähr 40 Prozent aller Transaktionen bargeldlos. Im Vergleich zu den skandinavischen Ländern hat die Schweiz einen relativ hohen Bargeld-Anteil. In vielen asiatischen Ländern wird Mobile Payment schon seit längerem eingesetzt. In Japan waren 2004 bereits über eine Million NFC-fähige Mobiltelefone im Umlauf. In Europa konnte sich das NFC-Mobiltelefon bis vor kurzem nicht durchsetzen. Experten sagen voraus, dass in der Schweiz die Reduktion des Bargeld-Anteils ein wichtiger Treiber für die Einführung mobiler Zahlungsanwendungen ist. In Anbetracht der hohen Mobiltelefon-Nutzungsdichte kann dieses Gerät als das geeignetste Instrument für bargeldloses Bezahlen betrachtet werden NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem NFC 5 ist eine kontaktlose Technologie zum Austausch von Nachrichten über kurze Distanzen und basiert auf den Standards im Bereich von RFID (Radio Frequency Identification) und Chipkarten. Es handelt sich hier um eine Nahfunktechnik, die aus der Kombination von kontaktloser Identifikation nach der Norm ISO/IEC und drahtloser Verbindungstechnik besteht. Durch die Nutzung der Kontaktlostechnologie mit der Frequenz MHz wird erreicht, dass NFC-fähige Endgeräte bis auf wenige Zentimeter Abstand aneinander gehalten werden müssen, um eine Datenverbindung aufzubauen und sich automatisch zu identifizieren. 3 Da in einem NFC-Bezahlungssystem verschiedene sicherheitskritische Daten verwendet und Transaktionen durchgeführt werden, müssen diese gegen unberechtigte Zugriffe und Manipulation geschützt werden. Als Secure Element können die SIM Karte, externe Micro-Speicherkarten oder direkt in das Mobiltelefon eingebaute Smartcard-Chips dienen. 4 ETH Zürich (2010): 6. 5 Near Field Communication (NFC) ist ein internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten über kurze Strecken von bis zu 4 cm. Bisher kommt diese Technologie vor allem in Lösungen für bargeldlose Zahlungen kleiner Beträge zum Einsatz. Opinion Paper 6 Detecon (Schweiz) AG

7 Grundsätzlich ist der Zahlungsablauf für kontaktbehaftete und kontaktlose Kreditkarten sowie NFC-fähigen Mobiltelefone identisch. Der Ablauf der Zahlung funktioniert wie folgt: Händler 1 2 Autorisierung Prozessor / Vertragsbank 3 Terminal Master File 4 Autorisierung Kreditkartenherausgeber Terminal 5 Clearing Clearing Abbildung 1: Schematische Darstellung einer Kreditkartentransaktion 1. Ein (NFC-)Terminal liest die Daten der Kreditkarten auf dem Mobiltelefon aus und sendet diese Daten zur Autorisierung. 2. Das Autorisierungs-System überträgt den Autorisierungs-Antrag zur Vertragsbank. 3. Wenn nicht in der Autorisierungs-Meldung enthalten, ergänzt die Vertragsbank in der Terminal-Master-Datei, ob das Terminal NFC-fähig ist. 4. Die Vertragsbank kodiert die entsprechende Autorisierungsnachricht unter der Verwendung von Informationen aus den Terminal-Systemen und der Terminal-Master- Datei. 5. Die Transaktion wird dann an den Kartenherausgeber über das Autorisierungs- Netzwerk übertragen. Im Falle einer Mobile Payment Transaktion legt der Kunde an der Kasse sein Mobiltelefon mit integriertem NFC-Chip vor, das an ein kontaktloses Zahlungs-Terminal gehalten wird. Das Terminal liest die Daten des Mobiltelefons, prüft die Kreditkarteninformationen und überträgt diese im Falle einer Online-Transaktion zur Durchführung der Zahlung an das Hintergrundsystem des Kreditkartenherausgebers. Wird die Online-Transaktion durch das POS System nicht unterstützt, kann die Zahlung ohne sofortige Online-Prüfung als sogenannte Offline-Transaktion durchgeführt werden. Die verschiedenen Rollen in einem Mobile Payment System werden von unterschiedlichen Akteuren gespielt, darunter Banken, Betreiber und Dienstleister. Damit ein Mobile Payment Oekosystem funktionieren kann, müssen diese Akteure zusammenarbeiten. Die nachfolgende Abbildung zeigt die Beziehung zwischen Mobile Payment Anwendungen und dem typischen Oekosystem, das die Zahlungen unterstützt. Opinion Paper 7 Detecon (Schweiz) AG

8 Mobile Payment Trusted Secure Manager Secure Element Provided Trusted Service Manager Mobile Payment Herausgeber Secure Element Provider Kunde User Interface Mobiles Netzwerk Baseband Processor UI Applications Over the Air Interface Secure Element PPSE Mobile Payment Anwendung Contactless Front End (CLF) NFC Controller Antenne NFC Terminal Abbildung 2: Mobile Payment Oekosystem In den letzten Jahren wurden von der Privatwirtschaft verschiedene Versuche unternommen, Mobile Payment einzuführen, mit welchem insbesondere Kleinbeträge (bis 40 SFr.) bezahlt und somit das Kleingeld ersetzt werden soll. Die Philosophie dieser Bezahlsysteme beruht auf Einfachheit, es wird deshalb bei geringen Beträgen auf eine PIN-Eingabe verzichtet. Wenn die Kreditkarte im Mobiltelefon integriert ist, können die Bezahlungen am Display des Mobiltelefons geprüft werden. Bezahlt werden können Beträge von wenigen Franken, wie dies bei Automaten der Fall ist, jedoch auch Transaktionen über 40 SFr. sind möglich. 3.2 Mobile Payment Anwendungen Für die Ausgestaltung von Mobile Payment Anwendungen haben sich verschiedene Modelle entwickelt. Aufgrund der Vielfalt können im Rahmen dieses Opinion Papers nicht alle Mobile Payment Verfahren vorgestellt werden. Es wird daher ausschliesslich die sogenannte Mobile at the Point of Sale (M-POS) Methode besprochen, die dem Kunden ermöglicht, mit einem Mobiltelefon an einem Zahlungs-Terminal zu bezahlen. 6 6 Andere Mobile Payment Verfahren umfassen: Mobile as the Point of Sale (hauptsächlich vom Händler eingesetzt); Closed Loop Mobile Payment (Händlerspezifisches Modell); Direct Carrier Billing (Kauf von Klingeltönen, Logos, Spielen, Park-Tickets, etc. und die Verrechnung der Gebühren über die Telefonrechnung) und Mobile Payment Platform. Opinion Paper 8 Detecon (Schweiz) AG

9 In einem NFC-fähigen Mobiltelefon mit Mobile Payment Anwendung können mehrere Kreditkarten gespeichert und verwaltet werden. Der Kunde kann seine bevorzugte Kreditkarte auswählen, damit diese bei allen Transaktionen zuerst vorgeschlagen wird. Der Benutzer hat auch die Möglichkeit, eine andere Kreditkarte, die in seinem Mobiltelefon gespeichert ist, für die Bezahlung auszuwählen. 1 mywallett 2 BANK 1 BANK 2 BANK 3 3 Kreditkarte zur Zahlung auswählen Bank 1 / Wallet Bank 1 / Wallet BANK xxxx xxxx 8013 BANK xxxx xxxx 8013 Mit dieser Kreditkarte zahlen 3 BANK xxxx xxxx 8013 BANK xxxx xxxx 8013 Zahlung beendet Multiple Mobile Payment Applikationen (unterschiedliche Kreditkartenherausgeber) Auswahl der Kreditkarte von der Mobile Payment Applikation Kunde hält Mobiltelefon an das Terminal Transaktion abgeschlossen Abbildung 3: Beispiele von Mobile Payment Anwendungen Um eine Transaktion durchzuführen, müssen Kunden in der Lage sein, mit dem Händlersystem zu kommunizieren. Eine Art von Mobile Payment Lösungen sind sogenannte Mobile Wallets. Eine elektronische Geldbörse ist ein verschlüsseltes Speichermedium, das Kreditkarten-Daten enthält, die genutzt werden können, um elektronische Transaktionen ohne erneute Eingabe der gespeicherten Daten zum Zeitpunkt der Transaktion durchzuführen. Ende Mai 2011 hat Google mit Google Wallet eine neue Bezahlungsdienstleistung eingeführt, die es ermöglicht, ein Android Mobiltelefon mit NFC-Schnittstelle für Zahlungen an allen kontaktlosen Terminals einzusetzen. Bei den in Mobiltelefonen eingebauten NFC-Chips kann die Funktion durch jede beliebige Software auf dem Mobiltelefon verwendet und angesteuert werden. Opinion Paper 9 Detecon (Schweiz) AG

10 1 2 3 Abbildung 4: Mobile Payment Zahlung am NFC-Terminal In der einfachsten Betriebsart erfolgt die Zahlung durch das Platzieren des Mobiltelefons auf dem Zahlungs-Terminal und wird als Tap and Go -Verfahren bezeichnet. Dabei wird das NFC-Mobiltelefon in die Reichweite des Lesers geführt und das Terminal kann die für die Zahlung notwendigen Transaktionsdaten lesen und an das Händlersystem übergeben. Nach Abschluss der Zahlung ertönt ein akustisches Signal, das den Benutzer über die abgeschlossene Transaktion informiert. Die Kontaktlosschnittstelle verfügt für Zahlungsanwendungen gemäss Hersteller Spezifikation aus Sicherheitsgründen über eine maximale Reichweite von 4 cm. 3.3 Authentifizierungsmethoden Authentifizierung beschreibt die Überprüfung der Authentizität eines Subjekts anhand von bestimmten Eigenschaften, über die eine eindeutige Identifizierung möglich ist. Dabei muss zwischen der Karteninhaber- (mit Unterschrift oder PIN), Zahlungs-Terminal- sowie Kreditkarten-Authentifizierung unterschieden werden. Während für den Kunden keine Möglichkeit besteht, die Echtheit eines Terminals zu überprüfen, nutzen Chipkarten im Gegensatz zu Magnetstreifen-Karten aktive kryptographische Methoden, um die Karte über ein Challenge-Response-Protokoll zu authentifizieren. Mit der laufenden Entwicklung der Chipkarten-Technologie haben sich die Authentifizierungsmethoden ständig verbessert, beginnend mit der Static Data Authentication (SDA), der Dynamic Data Authentication (DDA) und der Combined Data Authentication (CDA). Dabei sind die Authentifizierungsmethoden für kontaktbehaftete und kontaktlose Chipkarten identisch. Während einer Transaktion wird das Terminal versuchen, die jeweils stärkste Authentifizierungsmethode anzuwenden, beginnend mit CDA als höchste Präferenz, dann DDA, und schliesslich SDA. Opinion Paper 10 Detecon (Schweiz) AG

11 Static Data Authentication (SDA): Mit dieser Technologie wird eine statische digitale Signatur von spezifischen Karten-Daten einer Kreditkarte zugeordnet. Während einer Transaktion wird die Signatur in einem Zahlungs-Terminal überprüft, um die Kreditkarten- Daten zu authentifizieren. Obwohl ein Chip verwendet wird und die Daten länger sind als der Card Validation Code (CVC) des Magnetstreifens, sind die Daten nach wie vor statisch. STATISCH Empfängt und überprüft statische Signatur Abbildung 5: Static Data Authentication (SDA) Dynamic Data Authentication (DDA): Diese Technologie bietet Sicherheit bei Offline- Transaktionen durch die Verwendung eines aktiven Offline Challenge-Response-Protokolls (d.h. der Chip erzeugt ein neues Kryptogramm für jede Transaktion). Während einer Transaktion fordert das Zahlungs-Terminal, dass das Mobiltelefon ein Kryptogramm auf Basis eines nach dem Zufallsprinzip generierten und an das Mobiltelefon gesendeten Datenelements erstellt. Im Gegensatz zu passiven SDA nutzen die DDA Chips aktiv das zufällige Datenelement zusammen mit dynamischen Kreditkarten-Daten und einem kryptographischen Schlüssel im sicheren Karten-Speicherbereich, um eine dynamische digitale Signatur zu erstellen, die zum Terminal zwecks Validierung gesendet wird. DYNAMISCH Empfängt und überprüft dynamische digitale Signatur Terminal sendet Challenge an Mobiltelefon Mobiltelefon generiert und sendet Kryptogramm an Terminal Abbildung 6: Dynamic Data Authentication (DDA) Opinion Paper 11 Detecon (Schweiz) AG

12 Combined Data Authentication (CDA): CDA stellt eine Verbesserung zur DDA Technologie dar, die im Wesentlichen den Zeitpunkt ändert, zu welchem der Chip das Kryptogramm erzeugt. Genauer gesagt, berechnet der Chip das Kryptogramm vor der DDA- Authentifizierung und schreibt dieses zusammen mit dem Nachweis, dass die PIN bestätigt wurde, und weiteren Transaktionsdaten in die digitale Signatur, die vom Terminal überprüft werden kann. Diese Änderung verhindert beispielsweise MitM-Angriffe. CDA stellt ferner eine vollständige Transaktions-Integritäts-Lösung zur Verfügung, indem eine digitale Signatur auf der abgeschlossenen Transaktion generiert wird, die durch das Endgerät verifiziert werden kann. Derzeit bestehen keine bekannten Angriffsmethoden auf CDA Chipkarten. DYNAMISCH Empfängt und überprüft dynamische digitale Signatur und generiert ein Kryptogramm Terminal sendet Challenge an Mobiltelefon Abbildung 7: Combined Data Authentication (CDA) Opinion Paper 12 Detecon (Schweiz) AG

13 4 Bezahlungs- und Sicherheitsoptionen Der folgende Überblick über die unterschiedlichen Mobile Payment Bezahlungs- sowie Sicherheitsoptionen zeigt auf, dass die bei Kontaktlos-Kreditkarten bestehenden sowie für Mobile Payment sich in Planung befindenden Bezahlungs- sowie Sicherheitsoptionen einen guten Schutz gegen potentielle Angriffe bieten. 4.1 Mobile Payment Bezahlungsoptionen Die Kreditkartenorganisationen bieten den Kreditkartenherausgebern verschiedene Möglichkeiten, mobile Zahlungsanwendungen zu konfigurieren. Nachfolgend werden die wichtigsten Optionen vorgestellt, die teilweise bereits eingesetzt werden sowie grundsätzlich konfigurierbar sind Low Value und High Value Transaktionen Mobile Payment Transaktionen können in zwei Kategorien unterteilt werden: Low Value Transaktionen, die keine Inhaber-Prüfung benötigen, und High Value Transaktionen, bei denen eine Inhaber-Prüfung notwendig ist. Der Schwellwert zwischen den beiden Transaktionsarten wird als Contactless Card Limit bezeichnet. Eine Low Value Transaktion wird vom Kunden nach dem Tap and Go - Verfahren durchgeführt. High Value Transaktionen unterscheiden sich wie folgt: Offline PIN, bei der das Secure Element im Innern des Mobiltelefons die PIN überprüft, bevor eine Transaktion durchgeführt wird. Online PIN, bei der das Zahlungs-Terminal die PIN des Inhabers erfasst und sicher an den Kartenherausgeber zur Validierung im Rahmen einer Online-Transaktion überträgt. Grundsätzlich unterstützen Mobile Payment Anwendungen High Value Transaktionen, selbst wenn eine Offline PIN verwendet wird. Dabei wird dem Benutzer ermöglicht, über die PIN-Eingabe auf dem Mobiltelefon eine Karteninhaber-Prüfung durchzuführen. Dies kann zum Zeitpunkt der Transaktion geschehen oder, wenn der Benutzer die PIN bereits vor der Transaktion eingibt, z.b. beim Warten in einer Schlange. Low Value Transaktion Tap and Go (unter 40 SFr.) Pre-Signing Offline PIN High Value Transaktion Two Tap Online PIN Abbildung 8: Beispiele von Mobile Payment Bezahlungsoptionen Opinion Paper 13 Detecon (Schweiz) AG

14 4.1.2 Offline PIN Transaktionen Eine Offline PIN High Value Transaktion funktioniert nach einem der folgenden beiden Abläufen, die als Pre-Signing und Two Tap bezeichnet werden. Optional kann die Mobile Payment Anwendung für Online- und Offline-Transaktionen so konfiguriert werden, dass der Benutzer seine PIN eingibt oder eine spezielle Bezahl -Taste vor dem Halten an den Leser oder Terminal betätigt. In diesem Fall funktioniert der Transaktionsfluss analog zum nachfolgend beschriebenen Pre-Signing und Two Tap Verfahren. Pre-Signing: Das Pre-Signing Verfahren beinhaltet, dass der Benutzer seine PIN eingibt, typischerweise während er in der Warteschlange wartet, bevor er das Mobiltelefon an das Terminal oder Leser zum Zahlen hält Kunde gibt PIN ein Kunde hält Mobiltelefon an das Terminal Transaktion abgeschlossen Abbildung 9: Pre-Signing Two Tap: Das Two Tap Verfahren sieht vor, dass der Benutzer sein Mobiltelefon an das Terminal oder Lesegerät hält, um die Transaktion zu initialisieren. Danach bewegt er das Mobiltelefon weg, gibt die PIN ein und hält wieder das Mobiltelefon ans Terminal, um die Zahlung abzuschliessen Kunde hält Mobiltelefon an das Terminal Terminal informiert Kunde Kunde gibt PIN ein Kunde hält Mobiltelefon an das Terminal Beep! Transaktionsdaten werden vom Mobiltelefon übertragen Transaktion abgeschlossen Abbildung 10: Two Tap Opinion Paper 14 Detecon (Schweiz) AG

15 4.1.3 Online PIN Transaktionen Für Online PIN Transaktionen hält der Benutzer sein Mobiltelefon an das Terminal und gibt seine PIN in das Terminal ein. Dies funktioniert nur in Märkten, in denen Online PIN für kontaktlose Transaktionen vom Zahlungs-Terminal, dem Zahlungs-Netzwerk und dem System des Kreditkartenherausgebers, des sogenannten Issuers, unterstützt wird Beep! Transaktionsdaten werden vom Mobiltelefon übertragen Kunde gibt PIN ein Terminal verarbeitet Transaktion online Abbildung 11: Online PIN Transaktion 4.2 Mobile Payment Sicherheitsoptionen Zum Schutz vor Missbrauch von Mobile Payment Anwendungen stehen unter anderem die in diesem Kapitel beschriebenen Optionen zur Reduktion des finanziellen Schadens bei Verlust oder Diebstahl des Mobiltelefons zur Verfügung. Nachfolgend werden die wichtigsten Optionen der Mobile Payment Lösungen vorgestellt Online-Autorisierung Mobile Payment Anwendungen können so konfiguriert werden, dass eine Online- Autorisierung für alle Transaktionen notwendig ist und diese abgelehnt wird, wenn keine Online-Autorisierung möglich ist. Eine Kreditkartentransaktion wird als Online-Zahlung bezeichnet, wenn der Karteninhaber die PIN am Zahlungs-Terminal über ein PIN- Eingabegerät eingibt und jede Zahlung direkt an das Hintergrundsystem gesendet wird. Durch die PIN-Eingabe wird die Transaktion durch das Kreditkarten-Netzwerk der entsprechenden Kreditkartenorganisation geroutet und kann somit sofort auf ihre Korrektheit geprüft werden. Für Transaktionen mit einem NFC-fähigen Mobiltelefon hält der Benutzer das Mobiltelefon zum Terminal und gibt seine PIN in das Terminal ein. Bei den Mobile Payment Anwendungen wird eine Online-Autorisierung mit PIN-Eingabe bei Beträgen unter 40 SFr. in regelmässigen Abständen (nach 10 Offline Transaktionen unter 40 SFr.) notwendig. Bei Beträgen über 40 SFr. ist immer eine Online-Autorisierung zwingend. Opinion Paper 15 Detecon (Schweiz) AG

16 4.2.2 No-PIN Transaktionenzähler Mobile Payment Anwendungen enthalten ein Set bestimmter Zähler, die den Benutzer in regelmässigen Abständen zwingen, seine PIN einzugeben. Der sogenannte No-PIN Transaktionenzähler ist eine lokale PIN-Prüfung in der Zahlungsanwendung. Da Mobile Payment Anwendungen so konfiguriert sind, dass sie keine PIN unterhalb des Card Contactless Limits benötigen, könnte ein Angreifer ohne Kenntnis der PIN ein verlorenes oder gestohlenes Mobiltelefon nutzen, bis der Verlust/Diebstahl gemeldet wird oder das Mobiltelefon eine Online-Autorisierung durchführt. Der No-PIN Zähler reduziert die Anzahl der Transaktionen, die ohne Kenntnis der PIN durchgeführt werden können. Daher wird der No-PIN Zähler auch als Lost and Stolen Zähler bezeichnet No-PIN Limite Transaktion OK Transaktion OK Transaktion überschreitet No-Pin Limit PIN überprüft & No-PIN Zähler zurückgesetzt No-PIN Limite SFr SFr SFr Mobile Payment Zähler Mobile Payment Zähler Mobile Payment Zähler SFr Mobile Payment Zähler Abbildung 12: No-PIN Transaktionenzähler Der No-PIN Transaktionenzähler wird jedes Mal, wenn eine Transaktion (offline und online) durchgeführt wird, hochgezählt, bis der Benutzer die PIN wieder eingibt. Der No-PIN Zähler kann so konfiguriert werden, dass der Benutzer eine PIN nach einer bestimmten Anzahl von Transaktionen eingeben muss, bevor eine weitere Transaktion durchgeführt werden kann. Wenn die No-PIN-Transaktions-Limite überschritten wurde, wird der Karteninhaber aufgefordert, seine PIN einzugeben, bevor die nächste Transaktion durchgeführt werden kann Offline Transaktionenzähler Diese Sicherheitsoption verwendet einen Zähler innerhalb der Zahlungsanwendung, um den Betrag und die Anzahl der durchgeführten Transaktionen zu verfolgen. Der Zähler wird während der Transaktionsverarbeitung überprüft, um festzustellen, ob eine Transaktion offline durch die Mobile Payment Anwendung genehmigt werden kann oder ob sie für die Zulassung durch den Kreditkartenherausgeber eine Online-Verbindung aufbauen muss. Der typische Prozess des Offline Transaktionenzählers ist unten dargestellt: Opinion Paper 16 Detecon (Schweiz) AG

17 Der Karteninhaber kann Offline Transaktionen durchführen, bis der Offline Zähler ein bestimmtes Limit erreicht. An diesem Punkt wird der Karteninhaber gezwungen, eine Zahlung mit PIN-Eingabe durchzuführen. Diese Transaktion wird online durchgeführt. Der Kartenherausgeber autorisiert die Transaktion und kann über ein bestimmtes Skript den Offline Transaktionenzähler zurücksetzen Zähler Reset Skript Server des Kreditkartenherausgebers Offline Offline Online Transaktion & Pin Online Transaktion zwingend Online Transaktion optional SFr SFr SFr SFr Zähler Zähler Zähler Mobile Payment Zähler Abbildung 13: Offline Transaktionenzähler Opinion Paper 17 Detecon (Schweiz) AG

18 5 Angreifer, Schwachstellen und Bedrohungspotential Während Abhör-Angriffe bei kontaktbehafteten Kreditkarten, besonders in Form von Skimming, seit einigen Jahren von Angreifern durchgeführt werden, sind im Bereich der kontaktlosen Kreditkarten, abgesehen von Angriffen unter Laborbedingungen, keine erfolgreichen Angriffe unter realen Bedingungen bekannt geworden. Bei einem grossflächigen Einsatz von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen sowie der kriminellen Energie der Angreifer ist in Zukunft vermehrt mit Angriffen zu rechnen. Um das Bedrohungspotential für den Leser fassbar zu machen, wird nun in diesem Kapitel eine Schwachstellen- und Bedrohungsanalyse durchgeführt, um zu untersuchen, wie gross die Schwachstellen sind und wie schwierig die Umsetzbarkeit der Angriffe ist. Dabei werden die Sicherheitsaspekte von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen mit Fokus auf die allgemeinen Sicherheitsmechanismen zum Schutz der Transaktionen betrachtet: Verschlüsselung aller Transaktionskanäle gemäss EMV Standard 7 Verwendung der Chip-Authentifizierungsmethoden SDA, DDA oder CDA Mobile Payment Bezahlungs- und Sicherheitsoptionen Die Bedrohung wird qualitativ beurteilt, wobei die Ausprägung auf Basis folgender Bewertungstabelle quantifiziert wird: Kriterium Schwachstelle Umsetzbarkeit Bewertung der Bedrohung Ausprägung 1: sehr klein 2: klein 3: mittel 4: gross 1: sehr aufwändig, kaum umsetzbar 2: umsetzbar, relativ aufwändig 3: relativ einfach umsetzbar, geringer Aufwand 1-3: erfolgreicher Angriff unwahrscheinlich 4-6: erfolgreicher Angriff wenig wahrscheinlich 7-8: erfolgreicher Angriff wahrscheinlich 9-12: erfolgreicher Angriff sehr wahrscheinlich Die beschriebenen Angriffsvektoren verstehen sich nicht als abschliessende Aufzählung; es werden jeweils relevante Beispiele aus jeder Angriffskategorie beschrieben. 5.1 Der Kreditkartenschwarzmarkt Obwohl keine genauen Daten zum weltweiten Ausmass des Kreditkartenbetrugs vorliegen, kann angenommen werden, dass sich der Kreditkartenschwarzmarkt trotz der weltweiten Wirtschaftskrise seit 2008 noch weiter ausgedehnt hat. Die Betrüger und Cyber-Kriminellen sind in Bezug auf strategische und operative Sicht, Logistik und Bereitstellung hochgradig organisiert. Es handelt sich hierbei um regelrechte Unternehmungen, die international aus- 7 Die Abkürzung EMV bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet sind, und für die zugehörigen Chipkartengeräte (POS Terminals und Geldautomaten). Die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International (heute MasterCard Europe), MasterCard und Visa. Opinion Paper 18 Detecon (Schweiz) AG

19 gerichtet sind und Vertretungen in verschiedenen Ländern unterhalten. Diese Organisationen haben eine streng hierarchische Struktur, wobei jede Aktion von Experten durchgeführt wird. Erst dieser hohe Organisationsgrad macht die heutigen Angriffsarten möglich. Sobald Cyber-Kriminelle Besitz von Kreditkarten-Daten erlangen, verwenden sie diese entweder direkt selbst oder verkaufen sie an Interessenten weiter. Ein grosser Teil der so gestohlenen Kreditkarten-Daten wird über den Schwarzmarkt an die Endnutzer" verkauft. Der Grund für dieses Phänomen ist, dass es häufig weniger riskant ist, mit Kreditkarten- Daten zu handeln als diese zur Durchführung von unberechtigten Transaktionen zu missbrauchen. Zudem finden der Datendiebstahl und der Einsatz der Kreditkarte in unterschiedlichen Ländern statt. Je mehr Intermediäre sich in der Betrugskette befinden, desto schwieriger ist es, die Kriminellen aufzuspüren. Darüber hinaus können die Untergrundorganisationen neben dem Verkauf von Kreditkarten-Daten auch andere Dienstleistungen anbieten. Nachfolgend wird ein kurzer Überblick über typische Angebote auf dem Kreditkartenschwarzmarkt gegeben: Produkte und Dienstleistungen Kreditkartendetails (pro Kreditkarte) Physische Kreditkarte Kreditkarten-Kloner Gefälschte ATM Geldautomaten Zugriffsdaten für Bankkonten (mit garantiertem Guthaben) Bank Transfer und Einlösen von Checks Webshops und Zahlungs-Plattformen Design und Veröffentlichung von gefälschten Webshops Kauf und Weiterleitung von Produkten ab 2 SFr. bis 90 SFr. Preise ab 190 SFr. + Kosten für die Kartendetails ab 200 SFr. bis SFr. bis SFr. ab 80 SFr. bis 700 SFr. ab 10% bis 40% des Gesamtbetrags Ab 80 SFr. bis SFr. mit garantiertem Guthaben abhängig vom Projekt ab 30 SFr. bis 300 SFr. (abhängig vom Projekt) Die Trustwave Global Security Reports aus den Jahren 2009 bis 2012 machen deutlich, dass in den vergangenen Jahren der Grossteil der Angriffe auf schützenswerte Unternehmensdaten im Bereich des Kreditkartengeschäfts aufgetreten ist. 8 Nachfolgende Abbildung verdeutlicht, dass die gezielte Ausrichtung der Angriffe auf Kreditkarten-Daten und der daraus mögliche Kreditkartenbetrug ein etabliertes Geschäftsmodell ist und dass diese Daten einfach durch bestehende Netzwerke des Schwarzmarkts verkauft werden können. Jedes Unternehmen kann Ziel von Angriffen durch Cyber-Kriminelle werden, am anfälligsten sind jedoch Unternehmen, die zur Durchführung des Geschäfts Kundendaten verarbeiten und Unternehmen, die häufig von Verbrauchern frequentiert werden, wie beispielsweise Restaurants, Einzelhandelsgeschäfte oder Hotels. Markennamen und Handelsketten tragen ein erhöhtes Risiko. 8 Trustwave Global Security Reports ( ). Opinion Paper 19 Detecon (Schweiz) AG

20 Kundendaten Authentifizierungsdaten 2% 2% Handelsgeheimnisse 3% Sensitive Unternehmensdaten 8% Datenart Kreditkarten- Daten 85% Abbildung 14: Prozentuale Darstellung von gestohlenen Daten (2010) In den vergangenen Jahren hat sich der Trend Richtung Diebstahl von Kreditkarten-Daten verstärkt. Rund 85 Prozent der Angriffe betreffen den Diebstahl von Kreditkarten-Daten. Cyber-Kriminelle halten weiterhin ihre Bemühungen in diesem Bereich aufgrund der grossen Anzahl verfügbarer Ziele aufrecht. Ein Grossteil der Angriffe im Bereich von Kreditkarten- Daten betrifft die Lebensmittel- und Getränkeindustrie, den Handel und das Gastgewerbe. Obwohl diese Branchen für Angreifer üblicherweise eine geringere Ausbeute als grosse Banken oder zahlungsverarbeitende Drittunternehmen bieten, sind sie infolge bekannter Sicherheitslücken und niedriger Sicherheitsstandards beliebte Ziele. Daher konzentrieren sich Gruppen aus dem Bereich der organisierten Kriminalität auf diese Branchen. 5.2 Malware-Angriffe Als Schadprogramm oder Malware werden Computerprogramme bezeichnet, die entwickelt werden, um vom Benutzer unerwünschte oder schädliche Funktionen auszuführen. Malware wird als Sammelbegriff verwendet, um die grosse Bandbreite an feindseliger, intrusiver oder unerwünschter Software oder Programmen zu beschreiben. Zu den wichtigsten Arten gehören Computerviren, Würmer, Trojanische Pferde oder Spionageprogramme. Die Schadfunktionen sind gewöhnlich getarnt oder die Software läuft unbemerkt im Hintergrund. Schadfunktionen beinhalten zum Beispiel die Manipulation, das Löschen oder Entwenden von Dateien oder die technische Kompromittierung der Sicherheitssoftware (z.b. Firewalls oder Antivirenprogramme). Im Kreditkartenumfeld werden Schadprogramme gezielt entwickelt, um Kreditkarten-Daten zu entwenden. Ein speziell auf Mobiltelefone zugeschnittener Trojaner ist der sogenannte ZeuS-in-the-Mobile (ZitMo) Trojaner. Unbemerkt für den Benutzer fängt das Schadprogramm eingehende Daten ab und leitet diese an den Angreifer weiter. ZitMo ist eine Variante des erstmals 2007 erschienenen ZeuS Trojaners und kann von einem mit diesem infizierten Computer auf das Mobiltelefon übertragen werden, zum Beispiel während der Adressbuch-Synchronisation. ZitMo entfaltet eine ähnliche Wirkung wie die ursprüngliche ZeuS Malware: Vom Opfer eingegebene Daten, beispielsweise Benutzername, Kennwort oder Transaktionsdaten werden mit einem Key Logger aufgezeichnet und unbemerkt an den Opinion Paper 20 Detecon (Schweiz) AG

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

RISIKEN BEIM ONLINE- UND MOBILE-BANKING

RISIKEN BEIM ONLINE- UND MOBILE-BANKING RISIKEN BEIM ONLINE- UND MOBILE-BANKING ONLINE-ZAHLUNGEN SIND SEHR BELIEBT, ABER NICHT SICHER 98% der Befragten nutzen regelmäßig Online-Banking und -Shopping oder elektronische Zahlungssysteme der Benutzer

Mehr

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform?

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Technische Hintergründe, Einsatzmöglichkeiten im E-Business und zu beachtende Sicherheitsaspekte M.Eng Sebastian

Mehr

ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING

ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING ONLINE-ZAHLUNGEN SIND SEHR BELIEBT, ABER NICHT SICHER der Befragten nutzen regelmäßig Online-Banking und -Shopping oder 98 % elektronische Zahlungssysteme

Mehr

Mobile Payment: Der nächste Schritt des sicheren Bezahlens

Mobile Payment: Der nächste Schritt des sicheren Bezahlens Mobile Payment: Der nächste Schritt des sicheren Bezahlens Mitgliederversammlung 2014 des VDE-Bezirksverein Nordbayern e.v. 11. März 2014 G&D wächst durch kontinuierliche Innovation Server Software und

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

NEWSLETTER 05/2014 07. Oktober 2014

NEWSLETTER 05/2014 07. Oktober 2014 NEWSLETTER 05/2014 07. Oktober 2014 Bargeldlose Bezahlung von Parkgebühren bei Parkingsystemen mit Schranken in der Schweiz Standortbestimmung und Ausblick, Arbeitsgruppe Zahlungsverkehr ParkingSwiss September

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Kontaktlos bezahlen mit Visa

Kontaktlos bezahlen mit Visa Visa. Und das Leben läuft leichter Kurzanleitung für Beschäftigte im Handel Kontaktlos bezahlen mit Visa Was bedeutet kontaktloses Bezahlen? Immer mehr Kunden können heute schon kontaktlos bezahlen! Statt

Mehr

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich?

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich? Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich? Michael Roland 23. Oktober 2013 IIR Payment Forum Cashless Wien This work is part of the project High Speed RFID within the EU program Regionale

Mehr

FAQs zum neuen Quick mit Kontaktlos-Funktion

FAQs zum neuen Quick mit Kontaktlos-Funktion Was ist kontaktlos? Kontaktlos basiert auf den Standards RFID (Radio Frequency Identication) und NFC (Near Field Communication) und ist die Möglichkeit, mit entsprechend ausgestatteten Bezahlkarten an

Mehr

Sicherheit beim Online-Banking. Neuester Stand.

Sicherheit beim Online-Banking. Neuester Stand. Sicherheit Online-Banking Sicherheit beim Online-Banking. Neuester Stand. Gut geschützt. Unsere hohen Sicherheitsstandards bei der Übermittlung von Daten sorgen dafür, dass Ihre Aufträge bestmöglich vor

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

Agenda. Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon

Agenda. Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon 1 Agenda Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon 2 Mobile Payment Definition (I) Eine Klassifizierung für Mobile Payment und Mobile Wallets Meistens geht es um den Bereich der stationären

Mehr

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking RedTeam Pentesting GmbH 23. November 2009 ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen

Mehr

Near Field Communication Security

Near Field Communication Security Near Field Communication Security Michael Roland 28. Mai 2014 Mobile Marketing Innovation Day Wien This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit

Mehr

Anleitung zur Nutzung der Signaturkarte im InternetBanking und InternetBrokerage

Anleitung zur Nutzung der Signaturkarte im InternetBanking und InternetBrokerage Anleitung zur Nutzung der Signaturkarte im InternetBanking und InternetBrokerage Die Entwicklungen im Online-Banking gehen rasant voran. Ab sofort ist der Einsatz der neuen Generation von VR-BankCards

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Endgeräteunabhängige Schlüsselmedien

Endgeräteunabhängige Schlüsselmedien Endgeräteunabhängige Schlüsselmedien Seminarvortrag Caroline Schüller 864128 19-01-2015 Inhalt Motivation Grundlagen Schlüsselmedien Evaluation der Schlüsselmedien Fazit 2 Motivation CIRRUS 3 Grundlagen

Mehr

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion.

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion. CardMobile [... ein Produkt der Raiffeisen Bank International AG (RBI)] Informationen siehe: www.r-card-service.at www.r-card-service.at/cardmobile Kontakt / Rückfragen: Raiffeisen Bank International AG

Mehr

Die elektronische Signatur. Anleitung

Die elektronische Signatur. Anleitung Die elektronische Signatur Anleitung Online-Banking mit der VR-BankCard FinTS Wie Sie die elektronische Signaturkarte im Online- Banking verwenden, lesen Sie ausführlich in diesem Dokument. Inhalt 1. Zum

Mehr

I t n t erna i ti l ona Z er h a l hlungsverk h ehr Handeln ohne Grenzen Johannes F. Sutter Sutter 2008

I t n t erna i ti l ona Z er h a l hlungsverk h ehr Handeln ohne Grenzen Johannes F. Sutter Sutter 2008 Internationaler ti Zahlungsverkehr h Handeln ohne Grenzen Johannes F. Sutter 2008 SIX Card Solutions Ihr Profi für die technische Abwicklung des bargeldlosen Zahlungsverkehrs & bedeutendster Plattformanbieter

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

CoP in sechs Schritten kaufen

CoP in sechs Schritten kaufen CoP Dokumentation CoP in sechs Schritten kaufen Inhalt Allgemeines 1 Schritt 1 Produkt auswählen 2 Schritt 2 Eingabe der persönlichen Daten 3 Schritt 3 Bestelldaten ergänzen 4 Schritt 4 Daten überprüfen

Mehr

Die Bankomatkarte goes mobile. Herzlich Willkommen! Montag, 22. Juni 2015

Die Bankomatkarte goes mobile. Herzlich Willkommen! Montag, 22. Juni 2015 Die omatkarte goes mobile Herzlich Willkommen! Montag, 22. Juni 2015 1 Payment Services Austria Ihre Gesprächspartner: Dr. Rainer Schamberger CEO Payment Services Austria Thomas Chuda Product Manager Payment

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

OAuth Ein offener Standard für die sichere Autentifizierung in APIs

OAuth Ein offener Standard für die sichere Autentifizierung in APIs OAuth Ein offener Standard für die sichere Autentifizierung in APIs Max Horváth, Andre Zayarni, Bastian Hofmann 1 Vorstellung der Speaker 2 Was ist OAuth?? 3 Was ist OAuth? OAuth ermöglicht dem Endnutzer

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Begriffs-Dschungel Kartenwelt. Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein

Begriffs-Dschungel Kartenwelt. Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein Begriffs-Dschungel Kartenwelt Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein Inhalt Die Abrantix AG In Kürze Knowhow Referenzen Begriffe Card-Schemes EMV PCI Ep2 IFSF Weitere Begriffe (Fraud,

Mehr

epayment App (iphone)

epayment App (iphone) epayment App (iphone) Benutzerhandbuch ConCardis epayment App (iphone) Version 1.0 ConCardis PayEngine www.payengine.de 1 EINLEITUNG 3 2 ZUGANGSDATEN 4 3 TRANSAKTIONEN DURCHFÜHREN 5 3.1 ZAHLUNG ÜBER EINE

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Eva Mader. mader@iq-mobile.at +43 664 2453365 neongoldig. www.iq-mobile.at

Eva Mader. mader@iq-mobile.at +43 664 2453365 neongoldig. www.iq-mobile.at 1 Eva Mader mader@iq-mobile.at +43 664 2453365 neongoldig Director Sales & Creative Technologist IQ mobile. 5 Jahre Erfahrung im Marketing (Telco, Finanz). 3 Jahre Erfahrung in einer Werbeagentur. Expertin

Mehr

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Zidu Wang, Christopher Wolf und Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität

Mehr

Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen

Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen 0 Bargeldlose Bezahlmethoden Motivation Verfügbare Methoden Akzeptanz 11 Motivation Reduzierter Aufwand

Mehr

Mobile Payment mittels NFC

Mobile Payment mittels NFC Mobile Payment mittels NFC Gerald Madlmayr Research Center 30. Mai 2007 1 Near Field Communication in Forschungstätigkeit seit Juni 2005 Bisher 1,2 Mio. EUR an F&E Mitteln akquiriert Österreichweit 1.

Mehr

ECR Austria Arbeitsgruppe NFC Near Field Communication. Dr. Nikolaus Hartig ECR Austria Manager

ECR Austria Arbeitsgruppe NFC Near Field Communication. Dr. Nikolaus Hartig ECR Austria Manager ECR Austria Arbeitsgruppe NFC Near Field Communication Dr. Nikolaus Hartig ECR Austria Manager Near Field Communication N-Mark-Logo als Kennzeichnung NFC zertifizierter Geräte Near Field Communication

Mehr

Einsatz mobiler Endgeräte

Einsatz mobiler Endgeräte Einsatz mobiler Endgeräte Sicherheitsarchitektur bei Lecos GmbH Alle Rechte bei Lecos GmbH Einsatz mobiler Endgeräte, Roy Barthel, 23.03.2012 Scope Angriffe auf das mobile Endgerät Positionssensoren (Kompass,

Mehr

White paper. LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC

White paper. LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC White paper LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC Die Karte in der Karte Die LEGIC Card-in-Card Lösungen für Smart Cards oder NFC Mobiltelefone ermöglichen die Zusammenführung

Mehr

Sophos Mobile Control Benutzerhandbuch für Android

Sophos Mobile Control Benutzerhandbuch für Android Sophos Mobile Control Benutzerhandbuch für Android Produktversion: 2 Stand: Dezember 2011 Inhalt 1 Über Sophos Mobile Control... 3 2 Einrichten von Sophos Mobile Control auf einem Android-Mobiltelefon...

Mehr

Anleitung mcashier. Zahlungen akzeptieren. Zahlungen stornieren

Anleitung mcashier. Zahlungen akzeptieren. Zahlungen stornieren Anleitung mcashier Zahlungen akzeptieren 1. Tippen Sie in der App den Kaufbetrag ein. Falls gewünscht, erfassen Sie unterhalb des Betrags einen Kaufhinweis (z.b. Produktname). Der Kaufhinweis wird auf

Mehr

Informationen über EMV

Informationen über EMV Informationen über EMV EMV 96 und EMV 2000 Ausgabe 1.4 Datum 29. März 2004 Status freigegeben Die nachfolgenden Informationen beruhen auf dem aktuellen Wissensstand und sind ohne Gewähr. Änderungen und

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Erfolgsfaktor Payment

Erfolgsfaktor Payment Zahlen bitte einfach, schnell und sicher! Erfolgsfaktor Payment SIX Card Solutions Deutschland GmbH Johannes F. Sutter 2011 www.saferpay.com Erfolgsfaktor Zahlungsmittel 1. Mehr Zahlungsmittel mehr Umsatz!

Mehr

PostFinance iapp Initiative PostFinance Mobile. innovativ

PostFinance iapp Initiative PostFinance Mobile. innovativ Initiative PostFinance Mobile innovativ Einstieg in die mobile Welt Reload Server: 2002 2008 Funktionalität Aufladen von Handys am Postomat und per SMS Abfrage der letzten Buchungen und des Saldos Beispiel

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

So schnell kann s gehen: kontaktloses Zahlen mit Aduno.

So schnell kann s gehen: kontaktloses Zahlen mit Aduno. So schnell kann s gehen: kontaktloses Zahlen mit Aduno. Einfach, sicher, schnell. Auch für Kleinbeträge. Aduno bietet für jedes Bedürfnis die passende kontaktlose Lösung: Die Terminals der Verdi-Familie

Mehr

Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger

Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger SIX Card Solutions Deutschland GmbH Christoph Bellinghausen 2011 Agenda Zahlen bitte - einfach, schnell und sicher!

Mehr

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Thema DATENSCHUTZ HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand F 18 Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Die 7 Säulen des ULD Prüfung Beratung Schulung inkl.

Mehr

NFC City Berlin bringt das innovativste Zahlungsmittel unserer Zeit in die Hauptstadt. NFC City Berlin ist eine gemeinsame Initiative von:

NFC City Berlin bringt das innovativste Zahlungsmittel unserer Zeit in die Hauptstadt. NFC City Berlin ist eine gemeinsame Initiative von: Das Contactless Indicator Markenzeichen, bestehend aus vier größer werdenden Bögen, befindet sich im Eigentum von EMVCo LLC und wird mit deren Genehmigung benutzt. NFC City Berlin bringt das innovativste

Mehr

Online-Banking Sicherheits- und Einstiegshinweise

Online-Banking Sicherheits- und Einstiegshinweise Stand: 21.08.2014 Online-Banking Sicherheits- und Einstiegshinweise Ansprechpartner: Matthias Schulze 03991 / 178147 Mario Köhler 03991 / 178240 Hans-Jürgen Otto 03991 / 178231 Ersteinstieg über das Internet-Banking

Mehr

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH Sichere Kommunikation Angriffe auf Smartphones & Laptops Volker Schnapp Fink Secure Communication GmbH Agenda Entwicklungen in der Kommunikation Trends Gefahren und Angriffe Gegenmaßnahmen Internetuser

Mehr

www.eset.de Bewährt. Sicher.

www.eset.de Bewährt. Sicher. www.eset.de Bewährt. Sicher. Starke Authentifizierung zum Schutz Ihrer Netzwerkzugänge und -daten ESET Secure Authentication bietet eine starke zusätzliche Authentifizierungsmöglichkeit für Remotezugriffe

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Mobile Data Monitor Erfassung, Überwachung und Analyse von übertragenen Datenmengen

Mobile Data Monitor Erfassung, Überwachung und Analyse von übertragenen Datenmengen Mobile Data Monitor Erfassung, Überwachung und Analyse von übertragenen Datenmengen Installations- und Benutzeranleitung Semesterarbeit von: Andreas Wüst Stefan Graf Juli 2005 Mobile Data Monitor Seite

Mehr

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch 26. November 2012 Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch Big-Data-Analyse erkennt Angriffe verursacht durch mehr als 30 Millionen Schadprogramme

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

NFC - mehr als nur mobile Payment

NFC - mehr als nur mobile Payment NFC - mehr als nur mobile Payment Andreas Martin Präsident der MMA Austria Head of Business Development Hutchison 3G Austria Mobile Marketing Association 1 Agenda Kurze Vorstellung der Mobile Marketing

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Technische und kryptographische Aspekte

Technische und kryptographische Aspekte Kontaktlose Karten im egovernmentumfeld Technische und kryptographische Aspekte 2. Wildauer Symposium RFID und Medien TFH Wildau, 6. Oktober 2009 Dr. Kim Nguyen Bundesdruckerei, Marketing Product Definition

Mehr

IT-Arbeitskreis der Uni Hildesheim. Mobil bezahlen oder doch lieber Bargeld? Susanne Klusmann 26. Mai 2016

IT-Arbeitskreis der Uni Hildesheim. Mobil bezahlen oder doch lieber Bargeld? Susanne Klusmann 26. Mai 2016 Mobil bezahlen oder doch lieber Bargeld? Susanne Klusmann 26. Mai 2016 Es kommt nicht allein darauf an, wie Sie bezahlen möchten. Das von Ihnen gewünschte Bezahlverfahren muss vom Händler angeboten / akzeptiert

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Safe & Quick Mobile Payment. SQ ist eine Authentifizierungs- und Bezahltechnologie für das mobile, bargeld- und kontaktlose Bezahlen per Smartphone

Safe & Quick Mobile Payment. SQ ist eine Authentifizierungs- und Bezahltechnologie für das mobile, bargeld- und kontaktlose Bezahlen per Smartphone Safe & Quick Mobile Payment SQ ist eine Authentifizierungs- und Bezahltechnologie für das mobile, bargeld- und kontaktlose Bezahlen per Smartphone DIE ZIELGRUPPEN SQ spricht jeden an ZAHLUNGSDIENSTLEISTER,

Mehr

Bezahlen mit dem Handy

Bezahlen mit dem Handy 5. September 2016 Bezahlen mit dem Handy Vielleicht haben Sie es auch bereits mitbekommen, in den Medien war in den letzten Monaten immer häufger vom "Bezahlen mit dem Smartphone die Rede". Es gibt verschiedene

Mehr

Online Messe Kartensicherheit

Online Messe Kartensicherheit Online Messe Kartensicherheit Angelika und Kirsten Knoop-Kohlmeyer Sparkasse Celle Was ist Ihnen wichtig? Präventionsmaßnahmen zur Vermeidung von Betrug Die SparkassenCard: Das Girokonto in der Hosentasche

Mehr

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET Sicher Online einkaufen Shopping per Mausklick Einkaufen im Internet wird zunehmend beliebter. Ob Kleidung, Schuhe, Elektrogeräte, Möbel, Reisen oder gar Lebensmittel.

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Die SparkassenCard mit girogo

Die SparkassenCard mit girogo Finanzgruppe Deutscher Sparkassen- und Giroverband Die SparkassenCard mit girogo FAQ Karteninhaber Version April 2012 Seite 1 von 6 11.04.2012 Inhaltsverzeichnis 1 FAQs für den Karteninhaber...3 1.1.1

Mehr

meco Gesellschaft f. Computer Vertrieb, Entwicklung, Beratung mbh meco payment Anforderungen

meco Gesellschaft f. Computer Vertrieb, Entwicklung, Beratung mbh meco payment Anforderungen meco Gesellschaft f. Computer Vertrieb, Entwicklung, Beratung mbh meco payment Anforderungen Thomas Schroeder meco GmbH 18.05.2011 1. Kurzübersicht Ziel des Projektes ist es, ein nicht ZKA pflichtiges,

Mehr

Online-Banking mit der HBCI-Chipkarte. HBCI - Der Standard. Kreissparkasse Tübingen Seite 1 von 5

Online-Banking mit der HBCI-Chipkarte. HBCI - Der Standard. Kreissparkasse Tübingen Seite 1 von 5 Kreissparkasse Tübingen Seite 1 von 5 Online-Banking mit der HBCI-Chipkarte Die Abwicklung von Bankgeschäften per PC über unser Internet-Banking oder über eine Finanzsoftware, wie z.b. StarMoney, nimmt

Mehr

Sophos Mobile Control Benutzerhandbuch für Apple ios

Sophos Mobile Control Benutzerhandbuch für Apple ios Sophos Mobile Control Benutzerhandbuch für Apple ios Produktversion: 2 Stand: Dezember 2011 Inhalt 1 Über Sophos Mobile Control... 3 2 Einrichten von Sophos Mobile Control auf einem Apple iphone... 4 3

Mehr

AirKey. Das Handy ist der Schlüssel

AirKey. Das Handy ist der Schlüssel AirKey Das Handy ist der Schlüssel AirKey Das Schließsystem für den flexiblen Einsatz AirKey So dynamisch, wie die Bedürfnisse der Kunden AirKey ist die Innovation aus dem Hause EVVA. Entwickelt und hergestellt

Mehr

Wir schaffen Lösungen, mit deren Hilfe unsere Kunden mit den techno logischen Entwicklungen Schritt halten können.

Wir schaffen Lösungen, mit deren Hilfe unsere Kunden mit den techno logischen Entwicklungen Schritt halten können. ALLES AUS EINER HAND. Wir schaffen Lösungen, mit deren Hilfe unsere Kunden mit den techno logischen Entwicklungen Schritt halten können. Dr. Markus Braun, CEO, Wirecard AG OB ZAHLUNGSLÖSUNGEN, BANKING

Mehr

File Sharing zwischen Mac OS X und Windows XP Clients

File Sharing zwischen Mac OS X und Windows XP Clients apple 1 Einführung File Sharing zwischen Mac OS X und Windows XP Clients Möchten Sie Dateien zwischen einem Macintosh Computer und Windows Clients austauschen? Dank der integralen Unterstützung für das

Mehr

Die Hifidelio App Beschreibung

Die Hifidelio App Beschreibung Die Hifidelio App Beschreibung Copyright Hermstedt 2010 Version 1.0 Seite 1 Inhalt 1. Zusammenfassung 2. Die Umgebung für die Benutzung 3. Der erste Start 4. Die Ansicht Remote Control RC 5. Die Ansicht

Mehr

FAQ zum Thema Sm@rt-TANplus

FAQ zum Thema Sm@rt-TANplus FAQ zum Thema Sm@rt-TANplus 1.Voraussetzungen: Welche Voraussetzungen gibt es für die Nutzung? Der Kunde muss einen gültigen VR-NetKey, im gleichen Personenstamm eine gültige VR- BankCard und einen TAN-Generator

Mehr

Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers. Wien, 26.2.2015

Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers. Wien, 26.2.2015 Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers Wien, 26.2.2015 Smartphones. Ihr Smartphone ist ein vollwertiger Computer. Ihr Smartphone enthält interessante Daten Ihren Wohnort (z.b. in der

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr.

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Mobile Payment Vom Wirrwarr zur stabilen Realität Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Gerald Madlmayr 1 Mobile Payment RTR 2015 Technische Universität Wien

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP

HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP In diesem Dokument wurde aus Gründen der besseren Lesbarkeit auf geschlechtsneutrale Formulierungen verzichtet A-Trust GmbH 2015 2 Handbuch Handy-Signatur

Mehr

Security Issues in Mobile NFC Devices

Security Issues in Mobile NFC Devices Dissertation Doktoratsstudium der Techn. Wissenschaften Angefertigt am Institut für Computational Perception Beurteilung: Dr. Josef Scharinger Dr. René Mayrhofer Security Issues in Mobile NFC Devices Michael

Mehr

NFC Near Field Communication Drei mögliche Anwendungsgebiete. Jonas Böttcher, Kolja Dreyer, Christian Dost

NFC Near Field Communication Drei mögliche Anwendungsgebiete. Jonas Böttcher, Kolja Dreyer, Christian Dost NFC Near Field Communication Drei mögliche Anwendungsgebiete Jonas Böttcher, Kolja Dreyer, Christian Dost 1 Agenda Zielsetzung Was ist NFC? Definition Technik Funktionsweise Übertragungsarten Abgrenzung

Mehr

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication Christian Birchler, cnlab security AG Esther Hänggi, cnlab security AG 13. November 2014, Zurich Agenda - Kurzvorstellung cnlab

Mehr

Mobile Payment Neue Dynamik im Markt. Robert Beer, Bereichsleiter Product Management & Marketing, 19. Juli 2012

Mobile Payment Neue Dynamik im Markt. Robert Beer, Bereichsleiter Product Management & Marketing, 19. Juli 2012 Mobile Payment Neue Dynamik im Markt Robert Beer, Bereichsleiter Product Management & Marketing, 19. Juli 2012 Agenda Entwicklungen: Was tut sich im Markt? Lösungen der B+S Ausblick 2 Entwicklungen: Was

Mehr

Kartengestützter Zahlungsverkehr und Online-Banking

Kartengestützter Zahlungsverkehr und Online-Banking Übersicht: Kartengestützter Zahlungsverkehr und Online-Banking 2.3.5 Kartengestützter Zahlungsverkehr Seit einigen Jahren werden verstärkt kartengestützte Zahlungssysteme verwendet. Es sind unter anderen

Mehr

Dokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015

Dokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 CITRIX DESKTOP CITRIX REMOTE ACCESS Dokumentenkontrolle Autor Matthias Wohlgemuth Telefon 043 259 42 33 E-Mail Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 Status Draft Klassifizierung vertraulich

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

Kundeninformation zu Sichere E-Mail

Kundeninformation zu Sichere E-Mail Kundeninformation zu Sichere E-Mail Einleitung Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologien bieten

Mehr

Avira Antivirus Pro + PRIVATE WiFi Encrypted VPN

Avira Antivirus Pro + PRIVATE WiFi Encrypted VPN Avira Antivirus Pro + PRIVATE WiFi Encrypted VPN Verschlüsselt Surfen in öffentlichen WLAN-Netzwerken 89FCE10358FYJ7A9AM964XW39Z4HH31JL7RY938AB2B4490 10QQD2B449IL18PK435NNQ59G72RC0358FYJ7A9A64XW39Z4 E10364XW39Z4HH31JL7RY938AB2B4196D87JRW61Z9VV335GLQ

Mehr

Near Field Communication (NFC) Eine neue Technologie in der Markteinführung. Impulsreferat von Bernhard Kobel an der Stämpfli Konferenz 2009

Near Field Communication (NFC) Eine neue Technologie in der Markteinführung. Impulsreferat von Bernhard Kobel an der Stämpfli Konferenz 2009 Near Field Communication (NFC) Eine neue Technologie in der Markteinführung Impulsreferat von Bernhard Kobel an der Stämpfli Konferenz 2009 Agenda Was ist NFC (Near Field Communication)? NFC im Vergleich

Mehr

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11 Inhaltsverzeichnis Mobile Device Management 11 Vorwort und Einleitung 11 1 Mobile Device Management Eine Übersicht 13 1.1 Mobile Endgeräte 13 1.2 Smartphones, Pads und Tablet-Computer 14 1.3 Betriebssysteme

Mehr

Sichere Web-Authentifizierung. Schnelle Integration Stationär und mobil Kostenlose Software

Sichere Web-Authentifizierung. Schnelle Integration Stationär und mobil Kostenlose Software Sichere Web-Authentifizierung Schnelle Integration Stationär und mobil Kostenlose Software Was ist OWOK? Mit OWOK steht eine einfach zu bedienende Authentifizierungslösung zur Verfügung, welche mit geringem

Mehr