Mobile Payment Security

Größe: px
Ab Seite anzeigen:

Download "Mobile Payment Security"

Transkript

1 Opinion Paper Mobile Payment Security Wie sicher ist das Bezahlen mit Mobiltelefon? 2012 / 11 We make ICT strategies work

2 Inhaltsverzeichnis 1 Executive Summary Mobile Payment Security Einführung Bezahlen mit Mobiltelefon NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem Mobile Payment Anwendungen Authentifizierungsmethoden Bezahlungs- und Sicherheitsoptionen Mobile Payment Bezahlungsoptionen Low Value und High Value Transaktionen Offline PIN Transaktionen Online PIN Transaktionen Mobile Payment Sicherheitsoptionen Online-Autorisierung No-PIN Transaktionenzähler Offline Transaktionenzähler Angreifer, Schwachstellen und Bedrohungspotential Der Kreditkartenschwarzmarkt Malware-Angriffe Man-in-the-Middle Angriffe Abhör-Angriffe Ergänzende Sicherheitsmassnahmen Technische Sicherheitsmassnahmen Zertifizierung und Härtung der Mobiltelefone Authentifizierungsmethoden Deaktivierung der NFC-Funktionalität Funktionale Sicherheitsmassnahmen Anpassung des Contactless Card Limits Two Tap Verfahren Anwendungs-Aktivierung Schlussfolgerungen Lektüreempfehlungen Abbildungsverzeichnis Der Autor Das Unternehmen Opinion Paper 2 Detecon (Schweiz) AG

3 1 Executive Summary Voraussichtlich ab 2013 soll das sogenannte Mobile Payment, die Bezahlungsfunktion mit Mobiltelefon, in der Schweiz als neue Technologie seitens der grossen Kreditkartenherausgeber angeboten werden, nachdem bereits in den Jahren zuvor kontaktlose Kreditkarten eingeführt worden sind. Erste Pilotprojekte der lokalen Kreditkartenanbieter mit den Telekommunikations-Unternehmen wurden bereits erfolgreich abgeschlossen. Ebenso besitzen immer mehr Mobiltelefone eine Schnittstelle für Nahfunktechnologie (Near Field Communication, NFC) und moderne Zahlungsterminals sind vielfach mit Funktechnologie ausgestattet. Es scheint, als stehe das mobile Bezahlen in der Schweiz nun kurz vor dem Durchbruch. Zu den zahlreichen Vorteilen von Mobile Payment gehören die Durchführung von Transaktionen innerhalb von Sekundenbruchteilen, die einfache Bedienung durch kontaktloses Platzieren des Mobiltelefons am Terminal und das Bezahlen von Kleinbeträgen ohne PIN-Eingabe oder Unterschrift. Jedoch weisen verschiedene Seiten auch auf sicherheitsrelevante Schwachstellen der Nahfunktechnik hin. Es wird bemängelt, dass sich durch verschiedene Angriffsarten theoretisch Speicherkarteninhalte vom Mobiltelefon stehlen oder Malware aufs Mobiltelefon bringen lässt. Bestimmte Malware, wie der auf Mobiltelefone zugeschnittene ZeuS-in-the-Mobile (ZitMo) Trojaner, können eingehende Daten abfangen und ebenfalls Transaktions- und Autorisierungsdaten an den Angreifer weiterleiten. Ebenso besteht ohne entsprechende Sicherheitsvorkehrungen das Risiko, dass übertragene Kreditkarten-Daten mit einfachen Applikationen abgehört und für weitere Transaktionen missbraucht werden können. Wie die Untersuchung aufzeigt, bietet die für Mobile Payment erforderliche zusätzliche Schnittstelle bei korrekter Umsetzung im Zusammenspiel mit den Bezahlungs- und Sicherheitsoptionen einen guten Schutz gegen verschiedene Angriffsvektoren wie Malware, Man-in-the-Middle (MitM) sowie Abhör-Angriffe. Die Analyse potentieller Schwachstellen und die praktische Umsetzbarkeit von Angriffen zeigen auf, dass das Sicherheitsrisiko durch Malware Angriffe auf Mobiltelefone im Allgemeinen zunimmt. Dieses Risiko ist jedoch kalkulierbar und sehr gering, sofern die Mobile Payment Anwendung korrekt umgesetzt, grundlegende Sicherheitseinstellungen bestehen und vom Benutzer nicht umgangen werden. Daneben besteht ein geringes Risiko durch Abhör-Angriffe, insbesondere durch sogenannte Replay-Angriffe, bei denen der Angreifer versucht, Kreditkarten-Daten abzufangen und wiederzuverwenden. Für den Angreifer ist es jedoch sehr schwierig, die übertragenen Daten zur Wiederholung einer bestimmten Transaktion zu nutzen, da die Transaktion unter anderem durch einmalige Kryptogramme geschützt wird. Als unwahrscheinlich sind MitM-Angriffe einzustufen, bei denen sich der Angreifer zwischen zwei Kommunikationsteilnehmer stellt und so die zwischen beiden Parteien ausgetauschten Transaktionsdaten abfängt. Diese Angriffe scheitern daran, dass sie sehr schwierig durchzuführen sind und die Interaktion des Angreifers durch die legitimen Benutzer leicht entdeckt werden kann. Die vorliegende Untersuchung ergibt, dass die Bezahlung mit Mobiltelefonen grundsätzlich als sicher einzustufen ist. Dies hängt einerseits damit zusammen, dass die Kreditkartenindustrie hohe Sicherheitsanforderungen stellt. 1 Andererseits werden seitens der 1 Dazu gehören: Payment Card Industry Data Security Standard (PCI DSS), Payment Application Data Security Standard (PA-DSS), Payment Card Industry PIN Transaction Security (PCI PTS). Opinion Paper 3 Detecon (Schweiz) AG

4 Kreditkartenorganisationen wie MasterCard und Visa umfangreiche Sicherheitsanforderungen gestellt. Von den Kreditkarten herausgebenden Banken werden zudem verschiedene Sicherheitsmechanismen zur Reduktion des finanziellen Risikos sowie Methoden im Bereich des Betrugsmanagements eingesetzt, um die Erfolgsquote von Angriffen so gering wie möglich zu halten. Viele der von Sicherheitsexperten als theoretisch möglich eingestuften Angriffe konnten bis heute unter realen Bedingungen nicht durchgeführt werden. Die Ursache wird im grossen finanziellen, organisatorischen und zeitlichen Aufwand zur Durchführung vermutet. Bei einer nüchternen Betrachtung der potentiellen Schwachstellen sowie der technischen Umsetzbarkeit von Angriffen stellt sich heraus, dass andere Angriffsmethoden erfolgsversprechender sind. Ein Grossteil der Angreifer automatisiert und rationalisiert ihre Methoden auf sogenannte High-Volume/Low-Risk Angriffe gegen schwächere Ziele. Sie zielen auf die schwächsten Glieder der Sicherheitskette ab und umfassen Phishing-Angriffe sowie Angriffe auf Point of Sale (POS) Systeme und Datenbanken mit Kreditkarten- Informationen. Neben der Einhaltung der verbindlichen Standards der Payment Card Industry (PCI) und den technischen Standard-Sicherheitsmassnahmen, wie sichere Verschlüsselung der Transaktionsdaten und Authentifizierung nach aktuellstem Standard, bieten die bestehenden Bezahlungsoptionen des Mobile Payments einen guten Schutz vor Missbrauch: Karteninhaber-Prüfung durch PIN bei High Value Transaktionen ab 40 SFr. No-PIN Transaktionenzähler, der die Anzahl der Transaktionen, die ohne PIN-Eingabe durchgeführt werden können, einschränkt. Offline Transaktionenzähler, der in regelmässigen Abständen eine Online-Verbindung zum Kreditkartenherausgeber herstellt, um die Authentizität des Besitzers sicherzustellen und das Betrugsrisiko zu minimieren. Zusätzliche Sicherheitsoptionen, welche von den Kreditkartenherausgebern umgesetzt werden könnten, bergen das Risiko einer verringerten Kundenakzeptanz bei der Einführung des Mobile Payments: Reduktion des Transaktionsbetrags, bei dem keine PIN-Eingabe notwendig ist. Dadurch wird das maximale finanzielle Risiko zwar weiter reduziert, jedoch wird der Kunde gezwungen, auch bei Kleinbeträgen bis 40 SFr. seine PIN einzugeben. Durch ein zweistufiges Two Tap Verfahren (Initialisierung und Transaktion) wird die Sicherheit nochmals erhöht. Dies geht jedoch auf Kosten der Kundenakzeptanz, da der Transaktionsprozess komplizierter wird als mit klassischer Kreditkarte üblich. Die Option der Anwendungs-Aktivierung erlaubt dem Benutzer, die Mobile Payment Anwendung nur dann zu aktivieren, wenn sie für eine Zahlung benötigt wird, und die übrige Zeit auszuschalten. Da eine wiederholte Aktivierung und Deaktivierung jedoch das Bezahlen von kleinen Geldbeträgen umständlich macht, birgt diese Option ebenfalls einen negativen Einfluss auf die Kundenakzeptanz. Trotz aller bestehenden Sicherheitsmassnahmen ist das Risiko eines erfolgreichen Angriffs grundsätzlich immer vorhanden. Die Untersuchung zeigt das Spannungsverhältnis zwischen höchstmöglicher Sicherheit und maximaler Kundenakzeptanz im Bereich mobiler Bezahlungsmethoden auf. Die Einfachheit und Geschwindigkeit ist sowohl für Händler als auch Kunden ein zentraler Aspekt des mobilen Bezahlens. Opinion Paper 4 Detecon (Schweiz) AG

5 2 Mobile Payment Security Einführung Mit der stetig steigenden Popularität des bargeldlosen Bezahlens und der Einführung der Nahfunktechnik im Kreditkartenbereich wächst einerseits das Interesse an einer Vereinfachung und Verkürzung des Zahlungsvorgangs, während andererseits immer wieder Stimmen laut werden, die vor möglichen Sicherheitsrisiken warnen. In den Medien werden potentielle Sicherheitslücken von kontaktlosen Kreditkarten sowie von Mobiltelefonen mit Nahfunktechnik rege diskutiert. Insbesondere werden die scheinbar unzureichenden Sicherheitsmechanismen mobiler Bezahlungsmethoden thematisiert: Sicherheitsexperten warnen davor, dass Kreditkartentransaktionen ohne direkten Zugriff mitverfolgt werden können, sogar dann, wenn das Smartphone in der Tasche des Opfers bleibt. Damit liessen sich Kreditkarten nachbilden und ohne Wissen des Opfers missbrauchen. Daneben wird von Sicherheitsexperten bemängelt, dass eine Authentifizierung des Karteninhabers am mit Nahfunktechnik ausgerüsteten Kartenleser bei geringen Beträgen nicht stattfindet. Dadurch liessen sich Transaktionen aufzeichnen und zu einem späteren Zeitpunkt über sogenannte Replay-Angriffe wiederholt ausführen. An verschiedenen Sicherheitskonferenzen haben Experten auf Verkaufsportalen, sogenannten App Stores, frei zugängliche Applikationen vorgestellt, die es ermöglichen, Kreditkarten-Daten auszulesen und die für eine Kreditkartentransaktion notwendigen Informationen zu speichern. In zahlreichen Ländern wurden bereits Pilotprojekte zum kontaktlosen Bezahlen mit Mobiltelefonen gestartet und einige Lösungen sind schon im Einsatz. In der Schweiz soll ab 2013 das kontaktlose Bezahlen mit Mobiltelefon als neue Technologie eingeführt werden. Schweizer Anbieter testen bereits kontaktlose Zahlungssysteme über mit NFC-Chip ausgestattete Smartphones. Obwohl heute nur wenige Modelle über diese Funktion verfügen, kündigen alle grossen Mobiltelefon-Hersteller, mit Ausnahme von Apple, NFCfähige Geräte an. Zudem haben die meisten Hersteller von Zahlungs-Terminals NFC-fähige Geräte in ihr Sortiment aufgenommen. Es ist zu vermuten, dass die Händler 2013 allmählich auf NFC-Terminals umstellen werden. Studien sagen voraus, dass bis 2016 weltweit 85 Prozent aller Zahlungs-Terminals NFC-Transaktionen zulassen werden. 2 Bis heute wurde die Mehrheit der potentiellen Angriffsszenarien nur unter Laborbedingungen durchgeführt. Die Sicherheitsaspekte werden von den Medien und den Verbrauchern thematisiert, obwohl bis heute noch keine Angriffe unter realen Bedingungen erfolgreich durchgeführt worden sind. Dies könnte sich jedoch mit dem flächendeckenden Einsatz der neuen Bezahlungstechnologie in den nächsten Jahren ändern. Hintergrund der Annahme steigender Angriffe ist, dass es zu einer zunehmenden Professionalisierung der Betrüger und Cyber-Kriminellen im Bereich des Kreditkartengeschäfts gekommen ist. Es ist eine Verschiebung der Angriffe auf die schwächsten Glieder in der Kette der Sicherheitsmechanismen zu beobachten. Die Frage ist, ob Mobile Payment auch dazu gehört. 2 ABI Research Report NFC MOBILE PAYMENTS (2011). Opinion Paper 5 Detecon (Schweiz) AG

6 3 Bezahlen mit Mobiltelefon Mobile Payment wird als Zahlung definiert, die mit einem Mobiltelefon oder einem anderen mobilen Gerät durchgeführt wird. Analog zu kontaktlosen Kreditkarten können auch NFCfähige Mobiltelefone Zahlungsverkehrsanwendungen unterstützen und sind kompatibel mit den bereits installierten Kontaktlos-Terminals. NFC-Geräte (kontaktlose Kreditkarte sowie NFC-fähige Mobiltelefone) sind geeignet für Umgebungen, in denen Schnelligkeit und Bequemlichkeit wichtig sind, wie beispielsweise an Tankstellen, Schnellimbiss-Restaurants oder Verkaufsautomaten. Zurzeit sind in der Schweiz ungefähr NFC-fähige Terminals in Betrieb. Während das Mobiltelefon die Rolle der kontaktlosen Kreditkarte übernimmt, ist zusätzlich eine Aufzeichnung aller Transaktionen jederzeit auf dem Mobiltelefon verfügbar. Für Zahlungsverkehrsanwendungen gelten allerdings strenge Sicherheitsanforderungen, die unter anderem ein zugelassenes Sicherheitselement, ein sogenanntes Secure Element, im Gerät erfordern. 3 In der Schweiz sind heute ungefähr 40 Prozent aller Transaktionen bargeldlos. Im Vergleich zu den skandinavischen Ländern hat die Schweiz einen relativ hohen Bargeld-Anteil. In vielen asiatischen Ländern wird Mobile Payment schon seit längerem eingesetzt. In Japan waren 2004 bereits über eine Million NFC-fähige Mobiltelefone im Umlauf. In Europa konnte sich das NFC-Mobiltelefon bis vor kurzem nicht durchsetzen. Experten sagen voraus, dass in der Schweiz die Reduktion des Bargeld-Anteils ein wichtiger Treiber für die Einführung mobiler Zahlungsanwendungen ist. In Anbetracht der hohen Mobiltelefon-Nutzungsdichte kann dieses Gerät als das geeignetste Instrument für bargeldloses Bezahlen betrachtet werden NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem NFC 5 ist eine kontaktlose Technologie zum Austausch von Nachrichten über kurze Distanzen und basiert auf den Standards im Bereich von RFID (Radio Frequency Identification) und Chipkarten. Es handelt sich hier um eine Nahfunktechnik, die aus der Kombination von kontaktloser Identifikation nach der Norm ISO/IEC und drahtloser Verbindungstechnik besteht. Durch die Nutzung der Kontaktlostechnologie mit der Frequenz MHz wird erreicht, dass NFC-fähige Endgeräte bis auf wenige Zentimeter Abstand aneinander gehalten werden müssen, um eine Datenverbindung aufzubauen und sich automatisch zu identifizieren. 3 Da in einem NFC-Bezahlungssystem verschiedene sicherheitskritische Daten verwendet und Transaktionen durchgeführt werden, müssen diese gegen unberechtigte Zugriffe und Manipulation geschützt werden. Als Secure Element können die SIM Karte, externe Micro-Speicherkarten oder direkt in das Mobiltelefon eingebaute Smartcard-Chips dienen. 4 ETH Zürich (2010): 6. 5 Near Field Communication (NFC) ist ein internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten über kurze Strecken von bis zu 4 cm. Bisher kommt diese Technologie vor allem in Lösungen für bargeldlose Zahlungen kleiner Beträge zum Einsatz. Opinion Paper 6 Detecon (Schweiz) AG

7 Grundsätzlich ist der Zahlungsablauf für kontaktbehaftete und kontaktlose Kreditkarten sowie NFC-fähigen Mobiltelefone identisch. Der Ablauf der Zahlung funktioniert wie folgt: Händler 1 2 Autorisierung Prozessor / Vertragsbank 3 Terminal Master File 4 Autorisierung Kreditkartenherausgeber Terminal 5 Clearing Clearing Abbildung 1: Schematische Darstellung einer Kreditkartentransaktion 1. Ein (NFC-)Terminal liest die Daten der Kreditkarten auf dem Mobiltelefon aus und sendet diese Daten zur Autorisierung. 2. Das Autorisierungs-System überträgt den Autorisierungs-Antrag zur Vertragsbank. 3. Wenn nicht in der Autorisierungs-Meldung enthalten, ergänzt die Vertragsbank in der Terminal-Master-Datei, ob das Terminal NFC-fähig ist. 4. Die Vertragsbank kodiert die entsprechende Autorisierungsnachricht unter der Verwendung von Informationen aus den Terminal-Systemen und der Terminal-Master- Datei. 5. Die Transaktion wird dann an den Kartenherausgeber über das Autorisierungs- Netzwerk übertragen. Im Falle einer Mobile Payment Transaktion legt der Kunde an der Kasse sein Mobiltelefon mit integriertem NFC-Chip vor, das an ein kontaktloses Zahlungs-Terminal gehalten wird. Das Terminal liest die Daten des Mobiltelefons, prüft die Kreditkarteninformationen und überträgt diese im Falle einer Online-Transaktion zur Durchführung der Zahlung an das Hintergrundsystem des Kreditkartenherausgebers. Wird die Online-Transaktion durch das POS System nicht unterstützt, kann die Zahlung ohne sofortige Online-Prüfung als sogenannte Offline-Transaktion durchgeführt werden. Die verschiedenen Rollen in einem Mobile Payment System werden von unterschiedlichen Akteuren gespielt, darunter Banken, Betreiber und Dienstleister. Damit ein Mobile Payment Oekosystem funktionieren kann, müssen diese Akteure zusammenarbeiten. Die nachfolgende Abbildung zeigt die Beziehung zwischen Mobile Payment Anwendungen und dem typischen Oekosystem, das die Zahlungen unterstützt. Opinion Paper 7 Detecon (Schweiz) AG

8 Mobile Payment Trusted Secure Manager Secure Element Provided Trusted Service Manager Mobile Payment Herausgeber Secure Element Provider Kunde User Interface Mobiles Netzwerk Baseband Processor UI Applications Over the Air Interface Secure Element PPSE Mobile Payment Anwendung Contactless Front End (CLF) NFC Controller Antenne NFC Terminal Abbildung 2: Mobile Payment Oekosystem In den letzten Jahren wurden von der Privatwirtschaft verschiedene Versuche unternommen, Mobile Payment einzuführen, mit welchem insbesondere Kleinbeträge (bis 40 SFr.) bezahlt und somit das Kleingeld ersetzt werden soll. Die Philosophie dieser Bezahlsysteme beruht auf Einfachheit, es wird deshalb bei geringen Beträgen auf eine PIN-Eingabe verzichtet. Wenn die Kreditkarte im Mobiltelefon integriert ist, können die Bezahlungen am Display des Mobiltelefons geprüft werden. Bezahlt werden können Beträge von wenigen Franken, wie dies bei Automaten der Fall ist, jedoch auch Transaktionen über 40 SFr. sind möglich. 3.2 Mobile Payment Anwendungen Für die Ausgestaltung von Mobile Payment Anwendungen haben sich verschiedene Modelle entwickelt. Aufgrund der Vielfalt können im Rahmen dieses Opinion Papers nicht alle Mobile Payment Verfahren vorgestellt werden. Es wird daher ausschliesslich die sogenannte Mobile at the Point of Sale (M-POS) Methode besprochen, die dem Kunden ermöglicht, mit einem Mobiltelefon an einem Zahlungs-Terminal zu bezahlen. 6 6 Andere Mobile Payment Verfahren umfassen: Mobile as the Point of Sale (hauptsächlich vom Händler eingesetzt); Closed Loop Mobile Payment (Händlerspezifisches Modell); Direct Carrier Billing (Kauf von Klingeltönen, Logos, Spielen, Park-Tickets, etc. und die Verrechnung der Gebühren über die Telefonrechnung) und Mobile Payment Platform. Opinion Paper 8 Detecon (Schweiz) AG

9 In einem NFC-fähigen Mobiltelefon mit Mobile Payment Anwendung können mehrere Kreditkarten gespeichert und verwaltet werden. Der Kunde kann seine bevorzugte Kreditkarte auswählen, damit diese bei allen Transaktionen zuerst vorgeschlagen wird. Der Benutzer hat auch die Möglichkeit, eine andere Kreditkarte, die in seinem Mobiltelefon gespeichert ist, für die Bezahlung auszuwählen. 1 mywallett 2 BANK 1 BANK 2 BANK 3 3 Kreditkarte zur Zahlung auswählen Bank 1 / Wallet Bank 1 / Wallet BANK xxxx xxxx 8013 BANK xxxx xxxx 8013 Mit dieser Kreditkarte zahlen 3 BANK xxxx xxxx 8013 BANK xxxx xxxx 8013 Zahlung beendet Multiple Mobile Payment Applikationen (unterschiedliche Kreditkartenherausgeber) Auswahl der Kreditkarte von der Mobile Payment Applikation Kunde hält Mobiltelefon an das Terminal Transaktion abgeschlossen Abbildung 3: Beispiele von Mobile Payment Anwendungen Um eine Transaktion durchzuführen, müssen Kunden in der Lage sein, mit dem Händlersystem zu kommunizieren. Eine Art von Mobile Payment Lösungen sind sogenannte Mobile Wallets. Eine elektronische Geldbörse ist ein verschlüsseltes Speichermedium, das Kreditkarten-Daten enthält, die genutzt werden können, um elektronische Transaktionen ohne erneute Eingabe der gespeicherten Daten zum Zeitpunkt der Transaktion durchzuführen. Ende Mai 2011 hat Google mit Google Wallet eine neue Bezahlungsdienstleistung eingeführt, die es ermöglicht, ein Android Mobiltelefon mit NFC-Schnittstelle für Zahlungen an allen kontaktlosen Terminals einzusetzen. Bei den in Mobiltelefonen eingebauten NFC-Chips kann die Funktion durch jede beliebige Software auf dem Mobiltelefon verwendet und angesteuert werden. Opinion Paper 9 Detecon (Schweiz) AG

10 1 2 3 Abbildung 4: Mobile Payment Zahlung am NFC-Terminal In der einfachsten Betriebsart erfolgt die Zahlung durch das Platzieren des Mobiltelefons auf dem Zahlungs-Terminal und wird als Tap and Go -Verfahren bezeichnet. Dabei wird das NFC-Mobiltelefon in die Reichweite des Lesers geführt und das Terminal kann die für die Zahlung notwendigen Transaktionsdaten lesen und an das Händlersystem übergeben. Nach Abschluss der Zahlung ertönt ein akustisches Signal, das den Benutzer über die abgeschlossene Transaktion informiert. Die Kontaktlosschnittstelle verfügt für Zahlungsanwendungen gemäss Hersteller Spezifikation aus Sicherheitsgründen über eine maximale Reichweite von 4 cm. 3.3 Authentifizierungsmethoden Authentifizierung beschreibt die Überprüfung der Authentizität eines Subjekts anhand von bestimmten Eigenschaften, über die eine eindeutige Identifizierung möglich ist. Dabei muss zwischen der Karteninhaber- (mit Unterschrift oder PIN), Zahlungs-Terminal- sowie Kreditkarten-Authentifizierung unterschieden werden. Während für den Kunden keine Möglichkeit besteht, die Echtheit eines Terminals zu überprüfen, nutzen Chipkarten im Gegensatz zu Magnetstreifen-Karten aktive kryptographische Methoden, um die Karte über ein Challenge-Response-Protokoll zu authentifizieren. Mit der laufenden Entwicklung der Chipkarten-Technologie haben sich die Authentifizierungsmethoden ständig verbessert, beginnend mit der Static Data Authentication (SDA), der Dynamic Data Authentication (DDA) und der Combined Data Authentication (CDA). Dabei sind die Authentifizierungsmethoden für kontaktbehaftete und kontaktlose Chipkarten identisch. Während einer Transaktion wird das Terminal versuchen, die jeweils stärkste Authentifizierungsmethode anzuwenden, beginnend mit CDA als höchste Präferenz, dann DDA, und schliesslich SDA. Opinion Paper 10 Detecon (Schweiz) AG

11 Static Data Authentication (SDA): Mit dieser Technologie wird eine statische digitale Signatur von spezifischen Karten-Daten einer Kreditkarte zugeordnet. Während einer Transaktion wird die Signatur in einem Zahlungs-Terminal überprüft, um die Kreditkarten- Daten zu authentifizieren. Obwohl ein Chip verwendet wird und die Daten länger sind als der Card Validation Code (CVC) des Magnetstreifens, sind die Daten nach wie vor statisch. STATISCH Empfängt und überprüft statische Signatur Abbildung 5: Static Data Authentication (SDA) Dynamic Data Authentication (DDA): Diese Technologie bietet Sicherheit bei Offline- Transaktionen durch die Verwendung eines aktiven Offline Challenge-Response-Protokolls (d.h. der Chip erzeugt ein neues Kryptogramm für jede Transaktion). Während einer Transaktion fordert das Zahlungs-Terminal, dass das Mobiltelefon ein Kryptogramm auf Basis eines nach dem Zufallsprinzip generierten und an das Mobiltelefon gesendeten Datenelements erstellt. Im Gegensatz zu passiven SDA nutzen die DDA Chips aktiv das zufällige Datenelement zusammen mit dynamischen Kreditkarten-Daten und einem kryptographischen Schlüssel im sicheren Karten-Speicherbereich, um eine dynamische digitale Signatur zu erstellen, die zum Terminal zwecks Validierung gesendet wird. DYNAMISCH Empfängt und überprüft dynamische digitale Signatur Terminal sendet Challenge an Mobiltelefon Mobiltelefon generiert und sendet Kryptogramm an Terminal Abbildung 6: Dynamic Data Authentication (DDA) Opinion Paper 11 Detecon (Schweiz) AG

12 Combined Data Authentication (CDA): CDA stellt eine Verbesserung zur DDA Technologie dar, die im Wesentlichen den Zeitpunkt ändert, zu welchem der Chip das Kryptogramm erzeugt. Genauer gesagt, berechnet der Chip das Kryptogramm vor der DDA- Authentifizierung und schreibt dieses zusammen mit dem Nachweis, dass die PIN bestätigt wurde, und weiteren Transaktionsdaten in die digitale Signatur, die vom Terminal überprüft werden kann. Diese Änderung verhindert beispielsweise MitM-Angriffe. CDA stellt ferner eine vollständige Transaktions-Integritäts-Lösung zur Verfügung, indem eine digitale Signatur auf der abgeschlossenen Transaktion generiert wird, die durch das Endgerät verifiziert werden kann. Derzeit bestehen keine bekannten Angriffsmethoden auf CDA Chipkarten. DYNAMISCH Empfängt und überprüft dynamische digitale Signatur und generiert ein Kryptogramm Terminal sendet Challenge an Mobiltelefon Abbildung 7: Combined Data Authentication (CDA) Opinion Paper 12 Detecon (Schweiz) AG

13 4 Bezahlungs- und Sicherheitsoptionen Der folgende Überblick über die unterschiedlichen Mobile Payment Bezahlungs- sowie Sicherheitsoptionen zeigt auf, dass die bei Kontaktlos-Kreditkarten bestehenden sowie für Mobile Payment sich in Planung befindenden Bezahlungs- sowie Sicherheitsoptionen einen guten Schutz gegen potentielle Angriffe bieten. 4.1 Mobile Payment Bezahlungsoptionen Die Kreditkartenorganisationen bieten den Kreditkartenherausgebern verschiedene Möglichkeiten, mobile Zahlungsanwendungen zu konfigurieren. Nachfolgend werden die wichtigsten Optionen vorgestellt, die teilweise bereits eingesetzt werden sowie grundsätzlich konfigurierbar sind Low Value und High Value Transaktionen Mobile Payment Transaktionen können in zwei Kategorien unterteilt werden: Low Value Transaktionen, die keine Inhaber-Prüfung benötigen, und High Value Transaktionen, bei denen eine Inhaber-Prüfung notwendig ist. Der Schwellwert zwischen den beiden Transaktionsarten wird als Contactless Card Limit bezeichnet. Eine Low Value Transaktion wird vom Kunden nach dem Tap and Go - Verfahren durchgeführt. High Value Transaktionen unterscheiden sich wie folgt: Offline PIN, bei der das Secure Element im Innern des Mobiltelefons die PIN überprüft, bevor eine Transaktion durchgeführt wird. Online PIN, bei der das Zahlungs-Terminal die PIN des Inhabers erfasst und sicher an den Kartenherausgeber zur Validierung im Rahmen einer Online-Transaktion überträgt. Grundsätzlich unterstützen Mobile Payment Anwendungen High Value Transaktionen, selbst wenn eine Offline PIN verwendet wird. Dabei wird dem Benutzer ermöglicht, über die PIN-Eingabe auf dem Mobiltelefon eine Karteninhaber-Prüfung durchzuführen. Dies kann zum Zeitpunkt der Transaktion geschehen oder, wenn der Benutzer die PIN bereits vor der Transaktion eingibt, z.b. beim Warten in einer Schlange. Low Value Transaktion Tap and Go (unter 40 SFr.) Pre-Signing Offline PIN High Value Transaktion Two Tap Online PIN Abbildung 8: Beispiele von Mobile Payment Bezahlungsoptionen Opinion Paper 13 Detecon (Schweiz) AG

14 4.1.2 Offline PIN Transaktionen Eine Offline PIN High Value Transaktion funktioniert nach einem der folgenden beiden Abläufen, die als Pre-Signing und Two Tap bezeichnet werden. Optional kann die Mobile Payment Anwendung für Online- und Offline-Transaktionen so konfiguriert werden, dass der Benutzer seine PIN eingibt oder eine spezielle Bezahl -Taste vor dem Halten an den Leser oder Terminal betätigt. In diesem Fall funktioniert der Transaktionsfluss analog zum nachfolgend beschriebenen Pre-Signing und Two Tap Verfahren. Pre-Signing: Das Pre-Signing Verfahren beinhaltet, dass der Benutzer seine PIN eingibt, typischerweise während er in der Warteschlange wartet, bevor er das Mobiltelefon an das Terminal oder Leser zum Zahlen hält Kunde gibt PIN ein Kunde hält Mobiltelefon an das Terminal Transaktion abgeschlossen Abbildung 9: Pre-Signing Two Tap: Das Two Tap Verfahren sieht vor, dass der Benutzer sein Mobiltelefon an das Terminal oder Lesegerät hält, um die Transaktion zu initialisieren. Danach bewegt er das Mobiltelefon weg, gibt die PIN ein und hält wieder das Mobiltelefon ans Terminal, um die Zahlung abzuschliessen Kunde hält Mobiltelefon an das Terminal Terminal informiert Kunde Kunde gibt PIN ein Kunde hält Mobiltelefon an das Terminal Beep! Transaktionsdaten werden vom Mobiltelefon übertragen Transaktion abgeschlossen Abbildung 10: Two Tap Opinion Paper 14 Detecon (Schweiz) AG

15 4.1.3 Online PIN Transaktionen Für Online PIN Transaktionen hält der Benutzer sein Mobiltelefon an das Terminal und gibt seine PIN in das Terminal ein. Dies funktioniert nur in Märkten, in denen Online PIN für kontaktlose Transaktionen vom Zahlungs-Terminal, dem Zahlungs-Netzwerk und dem System des Kreditkartenherausgebers, des sogenannten Issuers, unterstützt wird Beep! Transaktionsdaten werden vom Mobiltelefon übertragen Kunde gibt PIN ein Terminal verarbeitet Transaktion online Abbildung 11: Online PIN Transaktion 4.2 Mobile Payment Sicherheitsoptionen Zum Schutz vor Missbrauch von Mobile Payment Anwendungen stehen unter anderem die in diesem Kapitel beschriebenen Optionen zur Reduktion des finanziellen Schadens bei Verlust oder Diebstahl des Mobiltelefons zur Verfügung. Nachfolgend werden die wichtigsten Optionen der Mobile Payment Lösungen vorgestellt Online-Autorisierung Mobile Payment Anwendungen können so konfiguriert werden, dass eine Online- Autorisierung für alle Transaktionen notwendig ist und diese abgelehnt wird, wenn keine Online-Autorisierung möglich ist. Eine Kreditkartentransaktion wird als Online-Zahlung bezeichnet, wenn der Karteninhaber die PIN am Zahlungs-Terminal über ein PIN- Eingabegerät eingibt und jede Zahlung direkt an das Hintergrundsystem gesendet wird. Durch die PIN-Eingabe wird die Transaktion durch das Kreditkarten-Netzwerk der entsprechenden Kreditkartenorganisation geroutet und kann somit sofort auf ihre Korrektheit geprüft werden. Für Transaktionen mit einem NFC-fähigen Mobiltelefon hält der Benutzer das Mobiltelefon zum Terminal und gibt seine PIN in das Terminal ein. Bei den Mobile Payment Anwendungen wird eine Online-Autorisierung mit PIN-Eingabe bei Beträgen unter 40 SFr. in regelmässigen Abständen (nach 10 Offline Transaktionen unter 40 SFr.) notwendig. Bei Beträgen über 40 SFr. ist immer eine Online-Autorisierung zwingend. Opinion Paper 15 Detecon (Schweiz) AG

16 4.2.2 No-PIN Transaktionenzähler Mobile Payment Anwendungen enthalten ein Set bestimmter Zähler, die den Benutzer in regelmässigen Abständen zwingen, seine PIN einzugeben. Der sogenannte No-PIN Transaktionenzähler ist eine lokale PIN-Prüfung in der Zahlungsanwendung. Da Mobile Payment Anwendungen so konfiguriert sind, dass sie keine PIN unterhalb des Card Contactless Limits benötigen, könnte ein Angreifer ohne Kenntnis der PIN ein verlorenes oder gestohlenes Mobiltelefon nutzen, bis der Verlust/Diebstahl gemeldet wird oder das Mobiltelefon eine Online-Autorisierung durchführt. Der No-PIN Zähler reduziert die Anzahl der Transaktionen, die ohne Kenntnis der PIN durchgeführt werden können. Daher wird der No-PIN Zähler auch als Lost and Stolen Zähler bezeichnet No-PIN Limite Transaktion OK Transaktion OK Transaktion überschreitet No-Pin Limit PIN überprüft & No-PIN Zähler zurückgesetzt No-PIN Limite SFr SFr SFr Mobile Payment Zähler Mobile Payment Zähler Mobile Payment Zähler SFr Mobile Payment Zähler Abbildung 12: No-PIN Transaktionenzähler Der No-PIN Transaktionenzähler wird jedes Mal, wenn eine Transaktion (offline und online) durchgeführt wird, hochgezählt, bis der Benutzer die PIN wieder eingibt. Der No-PIN Zähler kann so konfiguriert werden, dass der Benutzer eine PIN nach einer bestimmten Anzahl von Transaktionen eingeben muss, bevor eine weitere Transaktion durchgeführt werden kann. Wenn die No-PIN-Transaktions-Limite überschritten wurde, wird der Karteninhaber aufgefordert, seine PIN einzugeben, bevor die nächste Transaktion durchgeführt werden kann Offline Transaktionenzähler Diese Sicherheitsoption verwendet einen Zähler innerhalb der Zahlungsanwendung, um den Betrag und die Anzahl der durchgeführten Transaktionen zu verfolgen. Der Zähler wird während der Transaktionsverarbeitung überprüft, um festzustellen, ob eine Transaktion offline durch die Mobile Payment Anwendung genehmigt werden kann oder ob sie für die Zulassung durch den Kreditkartenherausgeber eine Online-Verbindung aufbauen muss. Der typische Prozess des Offline Transaktionenzählers ist unten dargestellt: Opinion Paper 16 Detecon (Schweiz) AG

17 Der Karteninhaber kann Offline Transaktionen durchführen, bis der Offline Zähler ein bestimmtes Limit erreicht. An diesem Punkt wird der Karteninhaber gezwungen, eine Zahlung mit PIN-Eingabe durchzuführen. Diese Transaktion wird online durchgeführt. Der Kartenherausgeber autorisiert die Transaktion und kann über ein bestimmtes Skript den Offline Transaktionenzähler zurücksetzen Zähler Reset Skript Server des Kreditkartenherausgebers Offline Offline Online Transaktion & Pin Online Transaktion zwingend Online Transaktion optional SFr SFr SFr SFr Zähler Zähler Zähler Mobile Payment Zähler Abbildung 13: Offline Transaktionenzähler Opinion Paper 17 Detecon (Schweiz) AG

18 5 Angreifer, Schwachstellen und Bedrohungspotential Während Abhör-Angriffe bei kontaktbehafteten Kreditkarten, besonders in Form von Skimming, seit einigen Jahren von Angreifern durchgeführt werden, sind im Bereich der kontaktlosen Kreditkarten, abgesehen von Angriffen unter Laborbedingungen, keine erfolgreichen Angriffe unter realen Bedingungen bekannt geworden. Bei einem grossflächigen Einsatz von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen sowie der kriminellen Energie der Angreifer ist in Zukunft vermehrt mit Angriffen zu rechnen. Um das Bedrohungspotential für den Leser fassbar zu machen, wird nun in diesem Kapitel eine Schwachstellen- und Bedrohungsanalyse durchgeführt, um zu untersuchen, wie gross die Schwachstellen sind und wie schwierig die Umsetzbarkeit der Angriffe ist. Dabei werden die Sicherheitsaspekte von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen mit Fokus auf die allgemeinen Sicherheitsmechanismen zum Schutz der Transaktionen betrachtet: Verschlüsselung aller Transaktionskanäle gemäss EMV Standard 7 Verwendung der Chip-Authentifizierungsmethoden SDA, DDA oder CDA Mobile Payment Bezahlungs- und Sicherheitsoptionen Die Bedrohung wird qualitativ beurteilt, wobei die Ausprägung auf Basis folgender Bewertungstabelle quantifiziert wird: Kriterium Schwachstelle Umsetzbarkeit Bewertung der Bedrohung Ausprägung 1: sehr klein 2: klein 3: mittel 4: gross 1: sehr aufwändig, kaum umsetzbar 2: umsetzbar, relativ aufwändig 3: relativ einfach umsetzbar, geringer Aufwand 1-3: erfolgreicher Angriff unwahrscheinlich 4-6: erfolgreicher Angriff wenig wahrscheinlich 7-8: erfolgreicher Angriff wahrscheinlich 9-12: erfolgreicher Angriff sehr wahrscheinlich Die beschriebenen Angriffsvektoren verstehen sich nicht als abschliessende Aufzählung; es werden jeweils relevante Beispiele aus jeder Angriffskategorie beschrieben. 5.1 Der Kreditkartenschwarzmarkt Obwohl keine genauen Daten zum weltweiten Ausmass des Kreditkartenbetrugs vorliegen, kann angenommen werden, dass sich der Kreditkartenschwarzmarkt trotz der weltweiten Wirtschaftskrise seit 2008 noch weiter ausgedehnt hat. Die Betrüger und Cyber-Kriminellen sind in Bezug auf strategische und operative Sicht, Logistik und Bereitstellung hochgradig organisiert. Es handelt sich hierbei um regelrechte Unternehmungen, die international aus- 7 Die Abkürzung EMV bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet sind, und für die zugehörigen Chipkartengeräte (POS Terminals und Geldautomaten). Die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International (heute MasterCard Europe), MasterCard und Visa. Opinion Paper 18 Detecon (Schweiz) AG

19 gerichtet sind und Vertretungen in verschiedenen Ländern unterhalten. Diese Organisationen haben eine streng hierarchische Struktur, wobei jede Aktion von Experten durchgeführt wird. Erst dieser hohe Organisationsgrad macht die heutigen Angriffsarten möglich. Sobald Cyber-Kriminelle Besitz von Kreditkarten-Daten erlangen, verwenden sie diese entweder direkt selbst oder verkaufen sie an Interessenten weiter. Ein grosser Teil der so gestohlenen Kreditkarten-Daten wird über den Schwarzmarkt an die Endnutzer" verkauft. Der Grund für dieses Phänomen ist, dass es häufig weniger riskant ist, mit Kreditkarten- Daten zu handeln als diese zur Durchführung von unberechtigten Transaktionen zu missbrauchen. Zudem finden der Datendiebstahl und der Einsatz der Kreditkarte in unterschiedlichen Ländern statt. Je mehr Intermediäre sich in der Betrugskette befinden, desto schwieriger ist es, die Kriminellen aufzuspüren. Darüber hinaus können die Untergrundorganisationen neben dem Verkauf von Kreditkarten-Daten auch andere Dienstleistungen anbieten. Nachfolgend wird ein kurzer Überblick über typische Angebote auf dem Kreditkartenschwarzmarkt gegeben: Produkte und Dienstleistungen Kreditkartendetails (pro Kreditkarte) Physische Kreditkarte Kreditkarten-Kloner Gefälschte ATM Geldautomaten Zugriffsdaten für Bankkonten (mit garantiertem Guthaben) Bank Transfer und Einlösen von Checks Webshops und Zahlungs-Plattformen Design und Veröffentlichung von gefälschten Webshops Kauf und Weiterleitung von Produkten ab 2 SFr. bis 90 SFr. Preise ab 190 SFr. + Kosten für die Kartendetails ab 200 SFr. bis SFr. bis SFr. ab 80 SFr. bis 700 SFr. ab 10% bis 40% des Gesamtbetrags Ab 80 SFr. bis SFr. mit garantiertem Guthaben abhängig vom Projekt ab 30 SFr. bis 300 SFr. (abhängig vom Projekt) Die Trustwave Global Security Reports aus den Jahren 2009 bis 2012 machen deutlich, dass in den vergangenen Jahren der Grossteil der Angriffe auf schützenswerte Unternehmensdaten im Bereich des Kreditkartengeschäfts aufgetreten ist. 8 Nachfolgende Abbildung verdeutlicht, dass die gezielte Ausrichtung der Angriffe auf Kreditkarten-Daten und der daraus mögliche Kreditkartenbetrug ein etabliertes Geschäftsmodell ist und dass diese Daten einfach durch bestehende Netzwerke des Schwarzmarkts verkauft werden können. Jedes Unternehmen kann Ziel von Angriffen durch Cyber-Kriminelle werden, am anfälligsten sind jedoch Unternehmen, die zur Durchführung des Geschäfts Kundendaten verarbeiten und Unternehmen, die häufig von Verbrauchern frequentiert werden, wie beispielsweise Restaurants, Einzelhandelsgeschäfte oder Hotels. Markennamen und Handelsketten tragen ein erhöhtes Risiko. 8 Trustwave Global Security Reports ( ). Opinion Paper 19 Detecon (Schweiz) AG

20 Kundendaten Authentifizierungsdaten 2% 2% Handelsgeheimnisse 3% Sensitive Unternehmensdaten 8% Datenart Kreditkarten- Daten 85% Abbildung 14: Prozentuale Darstellung von gestohlenen Daten (2010) In den vergangenen Jahren hat sich der Trend Richtung Diebstahl von Kreditkarten-Daten verstärkt. Rund 85 Prozent der Angriffe betreffen den Diebstahl von Kreditkarten-Daten. Cyber-Kriminelle halten weiterhin ihre Bemühungen in diesem Bereich aufgrund der grossen Anzahl verfügbarer Ziele aufrecht. Ein Grossteil der Angriffe im Bereich von Kreditkarten- Daten betrifft die Lebensmittel- und Getränkeindustrie, den Handel und das Gastgewerbe. Obwohl diese Branchen für Angreifer üblicherweise eine geringere Ausbeute als grosse Banken oder zahlungsverarbeitende Drittunternehmen bieten, sind sie infolge bekannter Sicherheitslücken und niedriger Sicherheitsstandards beliebte Ziele. Daher konzentrieren sich Gruppen aus dem Bereich der organisierten Kriminalität auf diese Branchen. 5.2 Malware-Angriffe Als Schadprogramm oder Malware werden Computerprogramme bezeichnet, die entwickelt werden, um vom Benutzer unerwünschte oder schädliche Funktionen auszuführen. Malware wird als Sammelbegriff verwendet, um die grosse Bandbreite an feindseliger, intrusiver oder unerwünschter Software oder Programmen zu beschreiben. Zu den wichtigsten Arten gehören Computerviren, Würmer, Trojanische Pferde oder Spionageprogramme. Die Schadfunktionen sind gewöhnlich getarnt oder die Software läuft unbemerkt im Hintergrund. Schadfunktionen beinhalten zum Beispiel die Manipulation, das Löschen oder Entwenden von Dateien oder die technische Kompromittierung der Sicherheitssoftware (z.b. Firewalls oder Antivirenprogramme). Im Kreditkartenumfeld werden Schadprogramme gezielt entwickelt, um Kreditkarten-Daten zu entwenden. Ein speziell auf Mobiltelefone zugeschnittener Trojaner ist der sogenannte ZeuS-in-the-Mobile (ZitMo) Trojaner. Unbemerkt für den Benutzer fängt das Schadprogramm eingehende Daten ab und leitet diese an den Angreifer weiter. ZitMo ist eine Variante des erstmals 2007 erschienenen ZeuS Trojaners und kann von einem mit diesem infizierten Computer auf das Mobiltelefon übertragen werden, zum Beispiel während der Adressbuch-Synchronisation. ZitMo entfaltet eine ähnliche Wirkung wie die ursprüngliche ZeuS Malware: Vom Opfer eingegebene Daten, beispielsweise Benutzername, Kennwort oder Transaktionsdaten werden mit einem Key Logger aufgezeichnet und unbemerkt an den Opinion Paper 20 Detecon (Schweiz) AG

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform?

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Technische Hintergründe, Einsatzmöglichkeiten im E-Business und zu beachtende Sicherheitsaspekte M.Eng Sebastian

Mehr

FAQs zum neuen Quick mit Kontaktlos-Funktion

FAQs zum neuen Quick mit Kontaktlos-Funktion Was ist kontaktlos? Kontaktlos basiert auf den Standards RFID (Radio Frequency Identication) und NFC (Near Field Communication) und ist die Möglichkeit, mit entsprechend ausgestatteten Bezahlkarten an

Mehr

RISIKEN BEIM ONLINE- UND MOBILE-BANKING

RISIKEN BEIM ONLINE- UND MOBILE-BANKING RISIKEN BEIM ONLINE- UND MOBILE-BANKING ONLINE-ZAHLUNGEN SIND SEHR BELIEBT, ABER NICHT SICHER 98% der Befragten nutzen regelmäßig Online-Banking und -Shopping oder elektronische Zahlungssysteme der Benutzer

Mehr

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion.

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion. CardMobile [... ein Produkt der Raiffeisen Bank International AG (RBI)] Informationen siehe: www.r-card-service.at www.r-card-service.at/cardmobile Kontakt / Rückfragen: Raiffeisen Bank International AG

Mehr

ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING

ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING ONLINE- UND MOBILE BEDROHUNGEN BEIM ONLINE-BANKING ONLINE-ZAHLUNGEN SIND SEHR BELIEBT, ABER NICHT SICHER der Befragten nutzen regelmäßig Online-Banking und -Shopping oder 98 % elektronische Zahlungssysteme

Mehr

Near Field Communication Security

Near Field Communication Security Near Field Communication Security Michael Roland 28. Mai 2014 Mobile Marketing Innovation Day Wien This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Zidu Wang, Christopher Wolf und Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

NFC - mehr als nur mobile Payment

NFC - mehr als nur mobile Payment NFC - mehr als nur mobile Payment Andreas Martin Präsident der MMA Austria Head of Business Development Hutchison 3G Austria Mobile Marketing Association 1 Agenda Kurze Vorstellung der Mobile Marketing

Mehr

Security Issues in Mobile NFC Devices

Security Issues in Mobile NFC Devices Dissertation Doktoratsstudium der Techn. Wissenschaften Angefertigt am Institut für Computational Perception Beurteilung: Dr. Josef Scharinger Dr. René Mayrhofer Security Issues in Mobile NFC Devices Michael

Mehr

So schnell kann s gehen: kontaktloses Zahlen mit Aduno.

So schnell kann s gehen: kontaktloses Zahlen mit Aduno. So schnell kann s gehen: kontaktloses Zahlen mit Aduno. Einfach, sicher, schnell. Auch für Kleinbeträge. Aduno bietet für jedes Bedürfnis die passende kontaktlose Lösung: Die Terminals der Verdi-Familie

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

I t n t erna i ti l ona Z er h a l hlungsverk h ehr Handeln ohne Grenzen Johannes F. Sutter Sutter 2008

I t n t erna i ti l ona Z er h a l hlungsverk h ehr Handeln ohne Grenzen Johannes F. Sutter Sutter 2008 Internationaler ti Zahlungsverkehr h Handeln ohne Grenzen Johannes F. Sutter 2008 SIX Card Solutions Ihr Profi für die technische Abwicklung des bargeldlosen Zahlungsverkehrs & bedeutendster Plattformanbieter

Mehr

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch 26. November 2012 Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch Big-Data-Analyse erkennt Angriffe verursacht durch mehr als 30 Millionen Schadprogramme

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Online Messe Kartensicherheit

Online Messe Kartensicherheit Online Messe Kartensicherheit Angelika und Kirsten Knoop-Kohlmeyer Sparkasse Celle Was ist Ihnen wichtig? Präventionsmaßnahmen zur Vermeidung von Betrug Die SparkassenCard: Das Girokonto in der Hosentasche

Mehr

Anleitung mcashier. Zahlungen akzeptieren. Zahlungen stornieren

Anleitung mcashier. Zahlungen akzeptieren. Zahlungen stornieren Anleitung mcashier Zahlungen akzeptieren 1. Tippen Sie in der App den Kaufbetrag ein. Falls gewünscht, erfassen Sie unterhalb des Betrags einen Kaufhinweis (z.b. Produktname). Der Kaufhinweis wird auf

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Vor-Ort-Beurteilungen - Händler Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr.

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Mobile Payment Vom Wirrwarr zur stabilen Realität Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Gerald Madlmayr 1 Mobile Payment RTR 2015 Technische Universität Wien

Mehr

Begriffs-Dschungel Kartenwelt. Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein

Begriffs-Dschungel Kartenwelt. Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein Begriffs-Dschungel Kartenwelt Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein Inhalt Die Abrantix AG In Kürze Knowhow Referenzen Begriffe Card-Schemes EMV PCI Ep2 IFSF Weitere Begriffe (Fraud,

Mehr

Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München

Sicherheit im Mobile Computing Praxisforum Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen 4.12.2014, IHK Akademie München Dr. Martin Werner Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München Dr. Martin Werner Überblick Sicherheit

Mehr

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android Brainloop Secure Dataroom Version 8.30 QR Code Scanner-Apps für ios Version 1.1 und für Android Schnellstartanleitung Brainloop Secure Dataroom Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte

Mehr

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Thema DATENSCHUTZ HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand F 18 Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Die 7 Säulen des ULD Prüfung Beratung Schulung inkl.

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Agenda. Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon

Agenda. Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon 1 Agenda Trend OKTOBER 2014 - Mobile Payment: Bezahlen per Mobiltelefon 2 Mobile Payment Definition (I) Eine Klassifizierung für Mobile Payment und Mobile Wallets Meistens geht es um den Bereich der stationären

Mehr

epayment App (iphone)

epayment App (iphone) epayment App (iphone) Benutzerhandbuch ConCardis epayment App (iphone) Version 1.0 ConCardis PayEngine www.payengine.de 1 EINLEITUNG 3 2 ZUGANGSDATEN 4 3 TRANSAKTIONEN DURCHFÜHREN 5 3.1 ZAHLUNG ÜBER EINE

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 INHALTE Auf einen Blick 03-03 Prognosen und Trends 03-03 Aktuelle Lage: Täglich 4.900 neue Android-Schaddateien 04-04 Die Hälfte der Android-Malware

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH Sichere Kommunikation Angriffe auf Smartphones & Laptops Volker Schnapp Fink Secure Communication GmbH Agenda Entwicklungen in der Kommunikation Trends Gefahren und Angriffe Gegenmaßnahmen Internetuser

Mehr

Sicherheit im Fokus. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit.

Sicherheit im Fokus. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Beim Thema Kartenzahlung wird viel über Sicherheit und Missbrauch gesprochen. Es stehen heute gute Lösungen und Möglichkeiten zur Verfügung, um die

Mehr

Mobile Payment mittels NFC

Mobile Payment mittels NFC Mobile Payment mittels NFC Gerald Madlmayr Research Center 30. Mai 2007 1 Near Field Communication in Forschungstätigkeit seit Juni 2005 Bisher 1,2 Mio. EUR an F&E Mitteln akquiriert Österreichweit 1.

Mehr

CoP in sechs Schritten kaufen

CoP in sechs Schritten kaufen CoP Dokumentation CoP in sechs Schritten kaufen Inhalt Allgemeines 1 Schritt 1 Produkt auswählen 2 Schritt 2 Eingabe der persönlichen Daten 3 Schritt 3 Bestelldaten ergänzen 4 Schritt 4 Daten überprüfen

Mehr

NFC City Berlin bringt das innovativste Zahlungsmittel unserer Zeit in die Hauptstadt. NFC City Berlin ist eine gemeinsame Initiative von:

NFC City Berlin bringt das innovativste Zahlungsmittel unserer Zeit in die Hauptstadt. NFC City Berlin ist eine gemeinsame Initiative von: Das Contactless Indicator Markenzeichen, bestehend aus vier größer werdenden Bögen, befindet sich im Eigentum von EMVCo LLC und wird mit deren Genehmigung benutzt. NFC City Berlin bringt das innovativste

Mehr

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET Sicher Online einkaufen Shopping per Mausklick Einkaufen im Internet wird zunehmend beliebter. Ob Kleidung, Schuhe, Elektrogeräte, Möbel, Reisen oder gar Lebensmittel.

Mehr

Die elektronische Signatur. Anleitung

Die elektronische Signatur. Anleitung Die elektronische Signatur Anleitung Online-Banking mit der VR-BankCard FinTS Wie Sie die elektronische Signaturkarte im Online- Banking verwenden, lesen Sie ausführlich in diesem Dokument. Inhalt 1. Zum

Mehr

Cloning Credit Cards. Michael Roland. 17. Dezember 2013 Hacking Night Hagenberg

Cloning Credit Cards. Michael Roland. 17. Dezember 2013 Hacking Night Hagenberg Cloning Credit Cards Michael Roland 17. Dezember 2013 Hacking Night Hagenberg This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit OÖ 2007 2013 (Regio 13)

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

NFC Near Field Communication Drei mögliche Anwendungsgebiete. Jonas Böttcher, Kolja Dreyer, Christian Dost

NFC Near Field Communication Drei mögliche Anwendungsgebiete. Jonas Böttcher, Kolja Dreyer, Christian Dost NFC Near Field Communication Drei mögliche Anwendungsgebiete Jonas Böttcher, Kolja Dreyer, Christian Dost 1 Agenda Zielsetzung Was ist NFC? Definition Technik Funktionsweise Übertragungsarten Abgrenzung

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

ECR Austria Arbeitsgruppe NFC Near Field Communication. Dr. Nikolaus Hartig ECR Austria Manager

ECR Austria Arbeitsgruppe NFC Near Field Communication. Dr. Nikolaus Hartig ECR Austria Manager ECR Austria Arbeitsgruppe NFC Near Field Communication Dr. Nikolaus Hartig ECR Austria Manager Near Field Communication N-Mark-Logo als Kennzeichnung NFC zertifizierter Geräte Near Field Communication

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Sicherheit im Fokus Eine erfolgreiche Kartenzahlung beruht auf Sicherheit.

Sicherheit im Fokus Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Beim Thema Kartenzahlung wird viel über Sicherheit und Missbrauch gesprochen. Es stehen heute gute Lösungen und Möglichkeiten zur Verfügung, um die

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard. PCI-DSS-Gültigkeit in einer EMV-Umgebung Ein Leitfaden Version 1.0

Payment Card Industry (PCI) Datensicherheitsstandard. PCI-DSS-Gültigkeit in einer EMV-Umgebung Ein Leitfaden Version 1.0 Payment Card Industry (PCI) Datensicherheitsstandard PCI-DSS-Gültigkeit in einer EMV-Umgebung Ein Leitfaden Version 1.0 Freigabedatum: 14. September 2010 Inhalt 1 Zusammenfassung für die Geschäftsleitung...

Mehr

Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger

Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger SIX Card Solutions Deutschland GmbH Christoph Bellinghausen 2011 Agenda Zahlen bitte - einfach, schnell und sicher!

Mehr

Sparkasse. Fragen und Antworten zur SparkassenCard für Firmenkunden. Sparkassen-Finanzgruppe

Sparkasse. Fragen und Antworten zur SparkassenCard für Firmenkunden. Sparkassen-Finanzgruppe Sparkasse Fragen und Antworten zur SparkassenCard für Firmenkunden Sparkassen-Finanzgruppe Ihre Vorteile der SparkassenCard. Die SparkassenCard hat jetzt ein neues Design. Hat sich auch etwas bei den Funktionen

Mehr

Einsatz mobiler Endgeräte

Einsatz mobiler Endgeräte Einsatz mobiler Endgeräte Sicherheitsarchitektur bei Lecos GmbH Alle Rechte bei Lecos GmbH Einsatz mobiler Endgeräte, Roy Barthel, 23.03.2012 Scope Angriffe auf das mobile Endgerät Positionssensoren (Kompass,

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Zahlungssicherheit Mobile Payment ist eine Form des Bezahlens, die in verschiedenen Formen ausgestaltet ist und in unterschiedlichsten

Mehr

PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS. Schutz vor Kartenmissbrauch. Inhalt

PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS. Schutz vor Kartenmissbrauch. Inhalt PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS Schutz vor Kartenmissbrauch Mit dem Payment Card Industry DataSecurity Standard (PCI DSS) schützen Sie die Kreditkarten-Daten Ihrer Kunden. Sie beugen Datenmissbrauch

Mehr

digitale Raumkomunikation INSTITUT FÜR ARCHITEKTUR UND MEDIEN

digitale Raumkomunikation INSTITUT FÜR ARCHITEKTUR UND MEDIEN RFID radio-frequency identification Schwerpunkt NFC near field communication Entwerfen Spezial SS2012 digitale Raumkomunikation INSTITUT FÜR ARCHITEKTUR UND MEDIEN technische universität graz Betreuer:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

www.eset.de Bewährt. Sicher.

www.eset.de Bewährt. Sicher. www.eset.de Bewährt. Sicher. Starke Authentifizierung zum Schutz Ihrer Netzwerkzugänge und -daten ESET Secure Authentication bietet eine starke zusätzliche Authentifizierungsmöglichkeit für Remotezugriffe

Mehr

FAQ zum Thema Sm@rt-TANplus

FAQ zum Thema Sm@rt-TANplus FAQ zum Thema Sm@rt-TANplus 1.Voraussetzungen: Welche Voraussetzungen gibt es für die Nutzung? Der Kunde muss einen gültigen VR-NetKey, im gleichen Personenstamm eine gültige VR- BankCard und einen TAN-Generator

Mehr

KOMPLETT-LÖSUNGEN FÜR IHRE ZAHLUNGS AB - WICK LUNG IM VERSAND - HANDEL. Überreicht durch: CardProcess GmbH Wachhausstraße 4 76227 Karlsruhe

KOMPLETT-LÖSUNGEN FÜR IHRE ZAHLUNGS AB - WICK LUNG IM VERSAND - HANDEL. Überreicht durch: CardProcess GmbH Wachhausstraße 4 76227 Karlsruhe Überreicht durch: KOMPLETT-LÖSUNGEN FÜR IHRE ZAHLUNGS AB - WICK LUNG IM VERSAND - HANDEL CardProcess GmbH Wachhausstraße 4 76227 Karlsruhe Geschäftsstelle Ettlingen Am Hardtwald 3 76275 Ettlingen Geschäftsstelle

Mehr

Sophos Mobile Control Benutzerhandbuch für Android

Sophos Mobile Control Benutzerhandbuch für Android Sophos Mobile Control Benutzerhandbuch für Android Produktversion: 2 Stand: Dezember 2011 Inhalt 1 Über Sophos Mobile Control... 3 2 Einrichten von Sophos Mobile Control auf einem Android-Mobiltelefon...

Mehr

8. Trierer Symposium. Bezahlen in der Zukunft

8. Trierer Symposium. Bezahlen in der Zukunft 8. Trierer Symposium Digitales Geld 20./21. Juni, Institut für Telematik, Trier Bezahlen in der Zukunft Dipl.-Ing. Thomas Nisbach ALLCASH GmbH Eurotec-Ring 7 47445 Moers nisbach@allcash.de www.allcash.de

Mehr

Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen

Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen Bargeldlose Zahlungssysteme an Parkscheinautomaten Dipl.-Inform. Andrea Menge Parkeon GmbH, Kronshagen 0 Bargeldlose Bezahlmethoden Motivation Verfügbare Methoden Akzeptanz 11 Motivation Reduzierter Aufwand

Mehr

fachdokumentation EMV-Einführung

fachdokumentation EMV-Einführung fachdokumentation EMV-Einführung was ist emv? EMV steht für die Kreditkartenunternehmen Europay, Mastercard, Visa und ist eine gemeinsame Spezifikation für den Zahlungsverkehr mit Chip. Bisher wurden in

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Sichere Zahlungssysteme in offenen Netzen

Sichere Zahlungssysteme in offenen Netzen Sichere Zahlungssysteme in offenen Netzen Thomas Denny SRC Security Research & Consulting GmbH, Bonn 1 Motivation Die kartengestützten Zahlungssysteme stellen einen wesentlichen Ausgangspunkt bei der Entwicklung

Mehr

Informationen über EMV

Informationen über EMV Informationen über EMV EMV 96 und EMV 2000 Ausgabe 1.4 Datum 29. März 2004 Status freigegeben Die nachfolgenden Informationen beruhen auf dem aktuellen Wissensstand und sind ohne Gewähr. Änderungen und

Mehr

Finanzgruppe Deutscher Sparkassen- und Giroverband

Finanzgruppe Deutscher Sparkassen- und Giroverband Finanzgruppe Deutscher Sparkassen- und Giroverband girogo Durchbruch für kontaktloses Bezahlen Was gibt es für einen Händler Schöneres, als wenn seine Kunden mit Freude bezahlen? Lange Schlangen an den

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

DATENBLATT SHOPSYSTEME

DATENBLATT SHOPSYSTEME DATENBLATT SHOPSYSTEME Stand: 08/2003 Zahlungsmittel und -methoden im Internet Wie authentifiziert sich ein Käufer gegenüber dem Verkäufer und wie bezahlt er die bestellte Ware? Da sich jeder Internetnutzer

Mehr

PostFinance iapp Initiative PostFinance Mobile. innovativ

PostFinance iapp Initiative PostFinance Mobile. innovativ Initiative PostFinance Mobile innovativ Einstieg in die mobile Welt Reload Server: 2002 2008 Funktionalität Aufladen von Handys am Postomat und per SMS Abfrage der letzten Buchungen und des Saldos Beispiel

Mehr

Wohin geht die Kartenwelt? Stephan Tobler 9. November 2010

Wohin geht die Kartenwelt? Stephan Tobler 9. November 2010 Wohin geht die Kartenwelt? Stephan Tobler 9. November 2010 AGENDA SIX Group Acquiring-Geschäft Kartenwelt Terminalinfrastruktur Anhang Zürich, 9. November 2010 Seite 2 SIX Group SIX Group AG SIX Group

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS. Schutz vor Kartenmissbrauch. Inhalt

PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS. Schutz vor Kartenmissbrauch. Inhalt PCI DSS DIE HÄUFIGSTEN FRAGEN ZU PCI DSS Schutz vor Kartenmissbrauch Mit dem Payment Card Industry DataSecurity Standard (PCI DSS) schützen Sie die Kreditkarten-Daten Ihrer Kunden. Sie beugen Datenmissbrauch

Mehr

Checkliste. Integration Saferpay Business. Version 2.3. 110.0083 SIX Payment Services

Checkliste. Integration Saferpay Business. Version 2.3. 110.0083 SIX Payment Services Checkliste Integration Saferpay Business Version 2.3 110.0083 SIX Payment Services Einleitung Vielen Dank, dass Sie sich für Saferpay als E-Payment-Plattform entschieden haben. Dieses Dokument soll Ihnen

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Überall kassieren mit dem iphone

Überall kassieren mit dem iphone Überall kassieren mit dem iphone Die ConCardis epayment App macht Ihr iphone zum Bezahlterminal Zahlungsabwicklung für unterwegs: sicher, einfach und überall Sie möchten bargeldlose Zahlungen mobil und

Mehr

Sicherheitsrisiko Smartphones, ipad & Co. Roman Schlenker Senior Sales Engineer Sophos

Sicherheitsrisiko Smartphones, ipad & Co. Roman Schlenker Senior Sales Engineer Sophos Sicherheitsrisiko Smartphones, ipad & Co Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Was ist

Mehr

Information- und Preisblatt Stand: November 2010

Information- und Preisblatt Stand: November 2010 VR-Pay virtuell Komplettlösungen für Ihre Zahlungsabwicklung im Versandhandel «Elektronic Banking» Telefon 01802 876534* -mit Flatrate 06183 91841725 Telefax 06183 91841729 e-mail ebl@vrbank-mkb.de Internet

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Verdi. Der neue Massstab für bargeldloses Zahlen. payment services

Verdi. Der neue Massstab für bargeldloses Zahlen. payment services Verdi. Der neue Massstab für bargeldloses Zahlen. payment services Verdi revolutioniert den EFT/POS-Markt: Noch nie zuvor war ein Zahlterminal so sicher, so schnell und so zuverlässig. Ein Unternehmen

Mehr

Textvorlagen MasterCard SecureCode TM / Verified by Visa Stufe 2 für Kreditgenossenschaften, die nicht die webbank als Contentsystem verwenden

Textvorlagen MasterCard SecureCode TM / Verified by Visa Stufe 2 für Kreditgenossenschaften, die nicht die webbank als Contentsystem verwenden Textvorlagen MasterCard SecureCode TM / Verified by Visa Stufe 2 für Kreditgenossenschaften, die nicht die webbank als Contentsystem verwenden Allgemeine Informationen...2 1. Content analog zu webbank-inhalt...3

Mehr

Sicherheit von Homebanking:

Sicherheit von Homebanking: Netzwerke Linux und Windows Software / Hardware / Server IT-Service / Programmierung Individuelle Beratung Boxhorn-EDV GbR Baierbrunner Str. 3 D-81379 München Boxhorn-EDV GbR Baierbrunner Str. 3 D-81379

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

DIE 3 SÄULEN DER MOBILEN SICHERHEIT

DIE 3 SÄULEN DER MOBILEN SICHERHEIT DIE 3 SÄULEN DER MOBILEN SICHERHEIT Thomas Uhlemann ESET Deutschland GmbH Thomas.Uhlemann@ESET.de BEDROHUNG: MALWARE MALWARE STATISTIK AV-TEST ESET MALWARE STATISTIK GLOBAL ESET MALWARE STATISTIK Deutschland

Mehr

Möglichkeiten und Grenzen der modernen Schutzmechanismen

Möglichkeiten und Grenzen der modernen Schutzmechanismen Neue Bedrohungen im Internet-Banking Möglichkeiten und Grenzen der modernen Schutzmechanismen 27.3.2009 1 Cnlab AG Cnlab AG Organisation - Gegründet 1997-10 Ingenieure - Sitz Rapperswil / SG - Im Besitz

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Mobile Datensicherheit Überblick ios und Android

Mobile Datensicherheit Überblick ios und Android Mobile Datensicherheit Überblick ios und Android Aldo Rodenhäuser Tom Sprenger Senior IT Consultant CTO 5. November 2013 Agenda Präsentation AdNovum Smartphone Daten Kommunikationskanäle Risikolandschaft

Mehr

Inhalt 1 Einführung 2 Technische Grundlagen

Inhalt 1 Einführung 2 Technische Grundlagen Inhalt 1 Einführung... 1 1.1 Historische Entwicklung... 1 1.1.1 Historische Entwicklung von RFID... 1 1.1.2 Historische Entwicklung der Chipkarten... 2 1.1.3 Historische Entwicklung von NFC... 4 1.1.4

Mehr

Entwurf und Implementierung einer Customer-to- Customer Mobile-Payment-Lösung auf Android- Smartphones

Entwurf und Implementierung einer Customer-to- Customer Mobile-Payment-Lösung auf Android- Smartphones Entwurf und Implementierung einer Customer-to- Customer Mobile-Payment-Lösung auf Android- Smartphones Markus Göttle und Michael Massoth Hochschule Darmstadt Fachbereich Informatik markus.goettle@gmx.net,

Mehr