Grundlagen des E-Commerce

Transkript

1 Sommersemester 2015 Grundlagen des E-Commerce Lehrstuhl für ABWL und Wirtschaftsinformatik Katholische Universität Eichstätt-Ingolstadt

2 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 1.1 Begriff und Einordnung 1.2 Betriebswirtschaftliche Chancen und Risiken 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce 3.1 Grundlagen des Customer Relationship Management 3.2 Operatives Customer Relationship Management 3.3 Analytisches Customer Relationship Management

3 Einführung Literatur 2 Biethahn, J.; Nomikos, M. (Hrsg.) (2002): Ganzheitliches E-Business, München. Büchner, H.; Zschau, O.; Traub, D.; Zahradka, R. (2000): Web Content Management, Bonn. Dohmann, H.; Fuchs, G.; Khakzar, K. (Hrsg.) (2002): Die Praxis des E-Business, Wiesbaden. Eggers, B.; Hoppen, G. (Hrsg.) (2001): Strategisches E-Commerce-Management, Wiesbaden. Hansen, R.; Neumann, G. (2005): Wirtschaftsinformatik 1 + 2, 9. Aufl., Stuttgart. Hippner, H.; Hubrich, B.; Wilde, K. D. (Hrsg.) (2011): Grundlagen des CRM. Strategie, Geschäftsprozesse und IT-Unterstützung, 3. Aufl., Wiesbaden. Illik, J. A. (2002): Electronic Commerce, 2. Aufl., München. Kappel, G.; Pröll, B.; Reich, S.; Retschitzegger, W. (Hrsg.) (2004) : Web Engineering, Heidelberg. Lihotzky, N. (2003): Kundenbindung im Internet: Maßnahmen und Erfolgswirksamkeit im Businessto-Consumer-Bereich, Wiesbaden. Meier, A.; Stormer, H. (2005): ebusiness & ecommerce, Berlin. Merz, M. (2002): E-Commerce und E-Business, Heidelberg. Schwarze, J.; Schwarze, S. (2002): Electronic Commerce, Herne/Berlin. Strobel, C. (2004): Web-Technologien in E-Commerce-Systemen, München. Wirtz, B. W. (2001): Electronic Business, 2. Aufl., Wiesbaden.

4 Einführung Curriculum 3 Grundlagen des E-Commerce (Sommersemester) E-Commerce: IT-Werkzeuge (Wintersemester)

5 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 1.1 Begriff und Einordnung 1.2 Betriebswirtschaftliche Chancen und Risiken 2 Informationstechnische Grundlagen des E-Commerce 3 Management von Kundenbeziehungen im E-Commerce

6 Begriff und Einordnung Begriff des E-Commerce 5 E-Commerce ist die elektronisch unterstützte Abwicklung von Handelsgeschäften auf der Basis des Internet. Nichtphysische Vorgänge werden ganz oder teilweise über Internet abgewickelt: Leistungsdarstellung Anfragebearbeitung Angebotsübermittlung Auftragserteilung Auftragsannahme Schwarze/Schwarze 2002, S. 21. Auftragsbestätigung Auslieferung digitaler Produkte Rechnungsversand Bezahlung Kundendienst

7 Begriff und Einordnung Einordnung des E-Commerce 6 E-Commerce ist Bestandteil des E-Business E-Business wiederum ist in die Internetökonomie eingebettet Internetökonomie E-Business E-Commerce

8 Begriff und Einordnung Internetökonomie 7 Begriff der Internetökonomie Internetökonomie ist eine im Wesentlichen digitalbasierte Ökonomie, welche die computerbasierte Vernetzung nutzt, um Kommunikation, Interaktionen und Transaktionen in einem globalen Rahmen zu ermöglichen. Klassifikation nach Interaktionspartnern Wirtz 2001, S. 23; Meier/Stormer 2005, S. 3.

9 Begriff und Einordnung Internetökonomie 8 Charakteristika der Internetökonomie Digitalisierung Zunehmende Digitalisierung analoger Inhalte (Texte, Bilder, Kataloge etc.) Neues Wissen durch Zusammenführen von Informationen (Mash-Up) Minimale Kosten für Kopieren/Datentransfer (primär Kosten für 1. Einheit) Vernetzung Interaktion und Informationsaustausch in Echtzeit Gesetz der kritischen Masse: Nutzen von Netzdiensten wächst mit der Teilnehmerzahl Globalisierung Bedeutungsverlust geografischer Restriktionen Beispiele: Internationale Transaktionen, Erschließung globaler Märkte Wirtz 2001, S. 23 f.

10 Begriff und Einordnung E-Business 9 Begriff des E-Business Unter dem Begriff E-Business wird die Anbahnung sowie die teilweise respektive vollständige Unterstützung, Abwicklung und Aufrechterhaltung von Leistungsaustauschprozessen mittels elektronischer Netze verstanden. Wirtz 2001, S. 34; Schwarze/Schwarze 2002, S. 30.

11 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 1.1 Begriff und Einordnung 1.2 Betriebswirtschaftliche Chancen und Risiken 2 Informationstechnische Grundlagen des E-Commerce 3 Management von Kundenbeziehungen im E-Commerce

12 Betriebswirtschaftliche Chancen und Risiken Strategische Chancen und Risiken des E-Commerce 11 Disintermediation: Ausschaltung von Zwischenhandelsstufen Ausdehnung der geografischen Reichweite Verkürzung von Prozessabwicklungszeiten Reduzierung der Prozesskosten Mehr Markttransparenz/Wettbewerbsintensität (geringe Kundenbindung) Veränderte strategische Geschäftsfelder Kunden: Häufig anderes Informations- und Kaufverhalten als Offline-Kunden Wettbewerber: Neue Wettbewerber durch Disintermediation, geografische Reichweite und Markttransparenz Produkte bzw. Leistungen: Neue Produktfelder durch elektronische Zusatzleistungen Schwarze/Schwarze 2002, S. 48 ff., S. 66 ff.

13 Betriebswirtschaftliche Chancen und Risiken Operative Herausforderungen bei der Einführung von E-Commerce 12 Technologische Aspekte Sicherheit Zahlungsverfahren Standards Zuverlässigkeit Skalierbarkeit Betriebswirtschaftliche Aspekte Organisatorische Integration Konflikte mit anderen Interaktionskanälen Einbindung von Geschäftspartnern Wirtschaftlichkeit E-Commerce-Know-how Fehlende strategische Konzepte Psychologische Aspekte Rechtliche Aspekte Akzeptanz Vertrauen Transparenz Schwarze/Schwarze 2002, S. 52 ff. Gesetzliche Regelungen zur Geschäftsabwicklung Vorschriften bei internationalen Transaktionen

14 Betriebswirtschaftliche Chancen und Risiken Organisatorische Integration Geschäftsprozesse 13 Abdeckung des Kaufzyklus des Kunden Illik 2002, S. 36.

15 Betriebswirtschaftliche Chancen und Risiken Organisatorische Integration Geschäftsprozesse 14 Abdeckung der betrieblichen Geschäftsprozesse Schwarze/Schwarze 2002, S. 38 f.

16 Betriebswirtschaftliche Chancen und Risiken Organisatorische Integration Einführungsprozess 15 Relevante Kompetenzfelder bei der Einführung von E-Commerce Schwarze/Schwarze 2002, S. 76 ff.

17 Betriebswirtschaftliche Chancen und Risiken Organisatorische Integration Einführungsprozess 16 Entwicklungsdivergenz der relevanten Kompetenzfelder Reduzierung der Entwicklungsdivergenz der relevanten Kompetenzfelder Synchronisation von technologischer, organisatorischer und kultureller Entwicklung Change Management (Organisation, Qualifikation, Motivation, Kommunikation) Schwarze/Schwarze 2002, S. 76 ff.

18 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 17 Definitionen Geschäftsmodell ist ein abstrahierendes Abbild des Geschäftssystems, in dem alle geschäftsrelevanten Komponenten erfasst und dokumentiert werden. Es beinhaltet grundlegende Geschäftsprozesse grundlegende Material-, Finanz- und Informationsströme partizipierende Teilnehmer und deren Rollen Nutzen für die Teilnehmer Ertragsmodell beschreibt den materiellen und immateriellen Nutzen aus der Geschäftstätigkeit. Man unterscheidet direkte Ertragsmodelle: Die Erträge resultieren direkt aus der Geschäftstätigkeit des Unternehmens. indirekte Ertragsmodelle: Die finanziellen Mittel werden aus dem internen oder externen Kapitalmarkt bereitgestellt. Biethahn/Nomikos 2002, S. 136; Meier/Stormer 2005, S. 49 ff.

19 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 18 4C-Net-Business-Modell Wirtz 2001, S. 218 ff.

20 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 19 4C-Net-Business-Model Content Wirtz 2001, S. 218 ff.

21 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 20 4C-Net-Business-Model Commerce Wirtz 2001, S. 218 ff.

22 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 21 4C-Net-Business-Model Context Wirtz 2001, S. 218 ff.

23 Betriebswirtschaftliche Chancen und Risiken Geschäftsmodelle im E-Commerce 22 4C-Net-Business-Model Connection Wirtz 2001, S. 218 ff.

24 Betriebswirtschaftliche Chancen und Risiken Ertragsmodelle im E-Commerce 23 Überblick Meier/Stormer 2005, S. 49 ff.

25 Betriebswirtschaftliche Chancen und Risiken Ertragsmodelle im E-Commerce 24 Direkte Ertragsmodelle Advertising Modell Anbieter verkauft Werbefläche auf der Website Preismodell für Produkte Produkt/Dienstleistung gegen direktes Entgelt Admission Modell Gebühr für befristete Nutzung von Angeboten Subscription Modell Indirekte Ertragsmodelle Cost Saving Modell Kosteneinsparung gegenüber Offline-Prozess Sponsoring Modell Interne Geschäftsbereiche als Sponsor Fund Raising und Kreditaufnahmen Mittelzuführung vom externen Kapitalmarkt oder durch Spenden (z. B. Wikipedia) Periodische Abonnementsgebühr Gebührenmodell für Transaktionen Gebühren nach Nutzungsdauer (Usage Fee), Inhalt (Content Delivery Fee) oder angebotenen Diensten (Service Fee) Meier/Stormer 2005, S. 49 ff.

26 Betriebswirtschaftliche Chancen und Risiken Praktische Bedeutung des E-Commerce 25 Internet-Nutzung weltweit Internet-Nutzer 2013 weltweit 2,75 Milliarden Internet-Nutzer 2012 nach Ländergruppen (Zugriff: ).

27 Betriebswirtschaftliche Chancen und Risiken Praktische Bedeutung des E-Commerce 26 Online-Käufer in der BRD 2011 Online-Käufer nach Produktgruppen (Zugriff: ).

28 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

29 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

30 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

31 Grundlagen des Internet: TCP/IP-Protokoll Begriff 30 TCP/IP (Transmission Control Protocol/Internet Protocol) ist eine in vier Schichten aufgebaute Familie von herstellerneutralen Anwendungs- und Transportprotokollen und bildet die (logische) Basis des Internets. Der Begriff TCP/IP wird je nach Kontext unterschiedlich verwendet: TCP und IP sind die beiden wichtigsten Protokolle innerhalb des Internets. TCP/IP steht als Synonym für die Gesamtheit der Internet-Protokolle, die laufend fortentwickelt und erweitert wird. Ein (Kommunikations-)Protokoll ist in der Informationstechnik eine Übermittlungsvorschrift für die Steuerung und den Betrieb einer Datenübermittlung oder ihrer Teilaufgaben. Hansen/Neumann 2005, S. 610 ff. (Zugriff: )

32 Grundlagen des Internet: TCP/IP-Protokoll Datenübermittlung in Kommunikationsnetzen 31 Leitungsvermittlung (Line Switching) Kontinuierlicher Datenfluss über einen durchgängigen, exklusiven Übertragungskanal, der fallweise über Vermittlungsstellen geschaltet wird (z. B. im früheren analogen Telefonnetz). Paketvermittlung (Packet Switching) Aufteilung des Datenstroms in Datagramme, die unabhängig über ein dezentrales, vermaschtes Netz transportiert werden. Wurde 1964 im Auftrag der US Air Force entwickelt. Vorteile der Paketvermittlung Kurze Wartezeiten und gute Netzauslastung durch kleine Datenpakete Faire Ressourcenverteilung zwischen allen Teilnehmern Effiziente Fehlererkennung und Fehlerbehebung Hohe Ausfallsicherheit durch einfaches Ausweichen auf Alternativrouten (Zugriff: ); (Zugriff: ).

33 Grundlagen des Internet: TCP/IP-Protokoll Schichtenmodelle der Kommunikation 32 Schichtenmodelle reduzieren die Komplexität der Kommunikation in Rechner-Netzwerken. Jede Schicht löst einen Teil des Problems und bietet diesen Service der nächsthöheren Schicht an. Die nächsthöhere Schicht nutzt diesen Service und kümmert sich nicht um die damit verbundenen Detailaufgaben. Analogie: Brieftransport, Telefonvermittlung Hansen/Neumann 2005, Wirtschaftsinformatik 2, S. 573.

34 Grundlagen des Internet: TCP/IP-Protokoll Schichtenmodelle der Kommunikation 33 Kommunikationsprotokoll ist eine Sprach- und Handlungskonvention für zwei Partner auf der gleichen Kommunikationsschicht. Protokolle regeln den Aufbau von Meldungen und die erforderlichen Steuerinformationen. Ein Schichtenmodell ist eine hierarchische Zusammenstellung von Kommunikationsprotokollen. Hansen, H. R.; Neumann, G. (2001): Wirtschaftsinformatik 1, 8. Aufl., Stuttgart, S

35 Grundlagen des Internet: TCP/IP-Protokoll Schichtenmodell von TCP/IP 34 Anwendungsschicht Protokolle für Internet-Anwendungen, z. B. SMTP, Telnet, FTP, HTTP Transportschicht TCP übernimmt die Versandaufbereitung der Daten und die Adressierung innerhalb einer IP-Adresse. Internet-Schicht Das IP übernimmt die IP-Adressierung und Routenplanung zur IP- Adresse des Empfängers. Verbindungsschicht Keine eigenständigen Protokolle für die verschiedenen Übertragungsmedien. Schnittstellen zu medienspezifischen Protokollen. Hansen/Neumann 2005, S. 610 ff.

36 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Adressierung 35 Adressierung im Internet auf zwei Abstraktionsebenen: Eindeutige IP-Adresse für jeden Rechner im Internet. Zusätzlich besser einprägsame alphanumerische Domain-Namen. IP-Adressen (IPv4) bestehen aktuell aus vier durch Punkte getrennte Dezimalzahlen zwischen 0 und 255 (4x8=32 Bit entspricht 2 32 Adressen). Beispiel: oder in der URL-Notation z. B.: IP-Adressen (IPv6) bestehen zukünftig aus acht durch Doppelpunkt getrennte Hexadezimalzahlen zwischen 0 und ffff (8x16=128 Bit entspricht Adressen). Beispiel: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 oder in der URL-Notation z. B.: Hansen/Neumann 2005, S. 610 ff.

37 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Adressierung 36 Vergabe von Domain-Namen und IP-Adressen erfolgt durch die Network Information Centers (NIC oder Registry), die weltweit durch die IANA (Internet Assigned Numbers Authority) und in deren Auftrag die ICANN (Internet Corporation for Assigned Names and Numbers) koordiniert werden. Beispiele für NICs sind VeriSign für die Top Level Domain.com DENIC für die Top Level Domain.de Identifizierende Domain-Namen (Fully Qualified Domain Name FQDN) Vorgegebene Top Level Domain (TLD).de Zentral verwaltete Second Level Domain.ku-eichstaett Dezentral frei wählbare Third Level Domain (Subdomain).www Weitere dezentral frei wählbare Subdomains, durch Punkte getrennt Beispiel: (Zugriff: ); (Zugriff: ).

38 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Adressierung 37 Die Abbildung von Domain-Namen auf IP-Adressen erfolgt über den Internet- Dienst DNS (domain name service) bzw. über Domain Name Server, die von NICs wie z. B. DENIC betrieben werden. Die physische Adressierung der Computer im lokalen Netz erfolgt über MAC- Adressen (Media Access Control) und über das Protokoll ARP (adress resolution protocol). Hansen/Neumann 2005, S. 610 ff.

39 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Adressierung 38 Die Adressierung eines Datagramms erfordert Steuerinformationen, die den Nutzdaten (payload) in einem Kopfteil (Header) vorangestellt werden. Inhalte des IP-Headers eines Datagramms sind z. B.: IP-Version IP-Adresse von Absender und Empfänger Prüfsumme für den IP-Header Paketlänge in Bytes (16 Bit) Maximallänge = Bytes (64 KB) Alle Internet-Rechner müssen Datagramme mit mindestens 576 Bytes verarbeiten können Time to Live (8 Bit): Zahl, die bei jeder Weiterleitung um 1 dekrementiert wird. Datagramme mit Time to Live = 0 werden automatisch zerstört, um zu verhindern, dass Datagramme bei Routing-Fehlern ewig im Internet kreisen. Hansen/Neumann 2005, S. 610 ff.

40 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Routing 39 Unter Routing versteht man die Festlegung des Weges, über den Daten in einem Kommunikationsnetz an ihre Zieladresse geleitet werden. Datagramme werden an einen Router gesendet, der alle eingehenden Datagramme an eine jeweils geeignete Zieladresse weiterleitet (ein weiterer Router oder der Zielrechner des Datagramms). IP-Router arbeiten nach dem Prinzip des Next-Hop-Routing, bei dem nur die jeweils nächste Teilstrecke festgelegt wird. In Routingtabellen sind dafür Regeln hinterlegt, die in Abhängigkeit von der Zieladressen den nächsten geeigneten Router festlegen. Die Route zu einem bestimmten Zielrechner kann unter Windows mit dem Befehl tracert domain-name ermittelt werden. Zur detaillierten Dokumentation von Routen gibt es spezielle Dienstprogramme, wie z. B. NeoTrace. Hansen/Neumann 2005, S. 610 ff.; (Zugriff: ).

41 Grundlagen des Internet: TCP/IP-Protokoll IP-Protokoll Routing 40

42 Grundlagen des Internet: TCP/IP-Protokoll TCP-Protokoll 41 TCP (Transmission Control Protocol) zerlegt Nachrichten, die zwischen Anwendungsprozessen ausgetauscht werden, in Datagramme, die an die IP- Schicht übergeben werden. Der Nachrichtenaustausch zwischen Anwendungsprozessen erfordert zusätzlich zur IP-Adresse die Adressierung des Anwendungsprozesses auf dem Zielrechner über Dienstnummern (Ports). IP-Adresse, Protokoll und Port bilden zusammen den Socket. Hansen/Neumann 2005, S. 610 ff.

43 Grundlagen des Internet: TCP/IP-Protokoll TCP-Protokoll 42 TCP-Steuerinformationen stehen im Header vor den Nutzdaten, z. B. Source Port (Port des Anwendungsprozesses beim Sender) Destination Port (Port des Anwendungsprozesses im Empfänger) Sequence Number (Reihenfolge-Nummer des Datagramms) TCP-Pakete sind die Nutzdaten eines IP-Pakets. Hansen/Neumann 2005, S. 610 ff.

44 Grundlagen des Internet: TCP/IP-Protokoll Anwendungsschicht des TCP/IP 43 Internetdienst zum Austausch von Nachrichten im Text- oder HTML-Format Kernstandards SMTP (Simple Mail Transfer Protocol): Protokoll zum Mailversand POP3 (Post Office Protocol): Abruf von Mails von einem Mailserver IMAP (Internet Message Access Protocol): Verwaltung von Mailboxen auf Mailservern File Transfer Protocol (FTP) Internetdienst zur Übertragung von Dateien zwischen Rechnern FTP-Server: Anwendungsprogramm oder Rechner, die Dateien für den Abruf per FTP bereitstellen. FTP-Client: Anwendungsprogramm oder Rechner, die den Upload und Download von Dateien auf einem FTP-Server ermöglicht. FTP-Funktionalität heute meist bereits im Web-Server und Web-Browser integriert

45 Grundlagen des Internet: TCP/IP-Protokoll Anwendungsschicht des TCP/IP 44 World Wide Web (WWW) Internetdienst zum Abruf von Hypertext-Dokumenten Kernstandards: HTML (hypertext markup language): Beschreibungssprache zur Beschreibung von Hypertext-Dokumenten (Webseiten) und ihrer Verknüpfung (Hyperlinks) HTTP (hypertext transport protocol): Protokoll zum Austausch von Hypertext- Dokumenten mit Webservern URL (uniform resource locator): Eindeutige Adressierung von Ressourcen (z. B. Webseite, Grafiken, Videos), auf die ein Hyperlink verweist.

46 Grundlagen des Internet: TCP/IP-Protokoll Anwendungsschicht des TCP/IP 45 HTTP (Hypertext Transfer Protocol) Beispiel Aufruf der Google-Startseite durch Eingabe der URL im Web-Browser: Interpretation durch den Web-Browser Aufbau einer Verbindung zum Abruf einer Hypertext-Datei Domain-Name des Rechners, auf dem das Dokument liegt :80 Port-Adresse des HTTP-Servers (Web-Servers) auf diesem Rechner /index.html Das Dokument liegt im Hauptverzeichnis des Dateisystems des HTTP- Servers und heißt index.html (Unterverzeichnisse werden durch / getrennt hierarchisch aufgezählt, z. B. /dir/subdir/subsubdir/ ) Vereinfachte Eingabe im Web-Browser Bei fehlender Protokoll-Bezeichnung wird HTTP angenommen. Bei fehlender Dienstnummer wird für HTTP-Server 80 angenommen. Bei fehlendem Dokumenten-Namen wird index.html oder index.htm angenommen. Eingabe führt zum gleichen Ergebnis wie oben. Hansen/Neumann 2005, S. 610 ff.

47 Grundlagen des Internet: TCP/IP-Protokoll Anwendungsschicht des TCP/IP 46 HTTP (Hypertext Transfer Protocol) Beispiel Ermittlung der IP-Adresse aus dem Domain-Namen über DNS: Socket vollständig (Transportprotokoll, IP-Adresse und Dienstnummer) Übermittlung der HTTP-Anfrage durch den Web-Browser über die TCP-Schicht Hansen/Neumann 2005, S. 610 ff.

48 Grundlagen des Internet: TCP/IP-Protokoll Anwendungsschicht des TCP/IP 47 Aufbau eines Datagramms einer HTTP-Nachricht Hansen/Neumann 2005, S. 610 ff.

49 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

50 Architektur von E-Commerce-Systemen Anforderungen an eine E-Commerce-Architektur 49 Betreiber-Anforderungen Unterstützung aller relevanten Netzdienste Abdeckung extremer Spitzenbelastungen Skalierbarkeit Integration in bestehende IT-Architektur Industriestandards zum Datenaustausch Nutzer-Anforderungen Benutzerfreundlichkeit (Usability) Verfügbarkeit rund um die Uhr Übertragungsgeschwindigkeit Zuverlässigkeit Sicherheit Wiederverwendbarkeit bei techn. Wandel Schwarze/Schwarze 2002, S. 81 ff.

51 Architektur von E-Commerce-Systemen Client-Server-Architektur 50 Clients sind Computer oder Anwendungsprogramme, die in einem Netzwerk Dienste eines Servers nutzen. Server sind Computer oder Anwendungsprogramme, die in einem Netzwerk Dienste zur Verfügung stellen. Beispiel: Der Web-Browser auf einem Arbeitsplatz-Rechner ist ein Client. Er fordert Hypertext-Seiten von einem Web-Server an und stellt sie bildlich dar. Client-Server-Architekturen haben meist mehrere Ebenen (Tiers). Dohmann et al. 2002, S. 14.

52 Architektur von E-Commerce-Systemen Client-Server-Architektur 51 4-Ebenen-Architektur (4-Tier-Architecture) Web-Browser Darstellung der Applikation Dezentrale Funktionalitäten (z. B. Java-Applets) Web-Server Darstellung der Applikationsdaten als Web-Seite Verwaltung von Sessions Applikations-Server Schwarze/Schwarze 2002, S. 81 ff. E-Commerce-Prozesse (Katalog, Suche,...) Backend-Prozesse (Verfügbarkeit, Rechnung, ) Datenbank-Server Datenverwaltung für die Prozess-Applikationen Datensicherung

53 Architektur von E-Commerce-Systemen Komponenten von E-Commerce-Architekturen 52 Kappel et al. 2004, S. 86.

54 Architektur von E-Commerce-Systemen Komponenten von E-Commerce-Architekturen 53 Firewall Software, welche die Kommunikation zwischen dem (unsicheren) Internet und den (sicheren) lokalen Netzwerken (LAN) regelt. Die Kommunikation wird dabei durch konfigurierbare Zugriffsregeln gefiltert: Datenaustausch ist generell nur über die Firewall erlaubt Nur explizit genehmigte Transaktionen (z. B. von/zu bestimmten Internetadressen, nur bestimmte Internetdienste, nur bestimmte Dateiformate) dürfen die Firewall passieren. Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

55 Architektur von E-Commerce-Systemen Komponenten von E-Commerce-Architekturen 54 Proxy-Server Anwendungsprogramm, das sämtlichen Datenverkehr mit dem Internet abwickelt. Anfragen aus dem lokalen Netzwerk an den Internetserver werden durch den Proxy- Server ausgeführt. Der Proxy-Server dient dabei als Stellvertreter ( Torwächter, Gateway ), der eigentliche Nachfrager bleibt nach außen unsichtbar. Bereits abgerufene, zwischengespeicherte Inhalte können direkt ausgeliefert werden, soweit sie noch aktuell sind. Der Proxy-Server protokolliert den gesamten Verkehr zwischen Internet und lokalem Netzwerk (IP-Adresse, Datum, Uhrzeit, URLs, Byteanzahl etc.) wichtig für Analyse von Angriffen. Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

56 Architektur von E-Commerce-Systemen Statische und dynamische Generierung von Dokumenten 55 Statische Generierung von Dokumenten Vorab erzeugte Dokumente werden auf dem Web-Server bereitgestellt. Bei Anfrage sendet der Web-Server das Dokumente unverändert an den Web-Browser. Vorteile: Erstprogrammierung einfach und kostengünstig, geringe Server-Belastung Nachteile: Hoher manueller Pflegeaufwand, kein kundenindividueller Dialog möglich Biethahn/Nomikos 2002, S. 50 ff.

57 Architektur von E-Commerce-Systemen Statische und dynamische Generierung von Dokumenten 56 Dynamische Generierung von Dokumenten Dynamische Dokumente werden aktuell beim Abruf erzeugt. Bei Aufruf durch den Web-Browser kontaktiert der Web-Server ein Anwendungsprogramm, das unter Verwendung der aktuellen Daten des Datenbank-Servers das gewünschte Ergebnis generiert und an den Web-Server zurückgibt. Der Web-Server transformiert das Ergebnis in eine HTML-Datei und sendet diese an den Web-Browser. Beispiel: Online-Katalogseite mit aktueller Verfügbarkeit der angezeigten Artikel Biethahn/Nomikos 2002, S. 50 ff.

58 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

59 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien Dokumentenspezifische Technologien Clientseitige Technologien Serverseitige Technologien Session Tracking 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

60 Dokumentspezifische Technologien Komponenten von E-Commerce-Architekturen 59 Kappel et al. 2004, S. 86.

61 Dokumentspezifische Technologien Sprachen zur Beschreibung von Dokumenten 60 Auszeichnungssprachen Auszeichnungssprachen (Markup Language) beschreiben plattform-unabhängig die formale und inhaltliche Struktur von Dokumenten. Grafisches Erscheinungsbild und die räumliche Anordnung der Objekte einer Seite werden nicht direkt festgelegt, sondern durch logische Auszeichnungen (tags) abstrakt beschrieben (z. B. Überschrift, Fettdruck, Absätze, Tabellen, Listen etc.). Formatierungssprachen Formatierungssprachen wandeln die logischen Auszeichnungen in konkrete grafische Auszeichnungen um. Metasprachen Metasprachen dienen der Definition einer Auszeichnungssprache. Sie beschreibt die Auszeichnungen und Regeln, die in der beschriebenen Auszeichnungssprache genutzt werden können. Schwarze/Schwarze 2002, S. 88 ff.

62 Dokumentspezifische Technologien Sprachen zur Beschreibung von Dokumenten 61 Standard Generalized Markup Language (SGML) ist eine Metasprache, die 1986 als ISO-Standard festgeschrieben wurde. Die Beschreibung der Auszeichnungen und Regeln einer Auszeichnungssprache werden in einer Document Type Definition (DTD) beschrieben. Hypertext Markup Language (HTML) ist in einer DTD in SGML definiert. Die dazugehörige Formatierungssprache ist Cascading Style Sheets (CSS). Schwarze/Schwarze 2002, S. 88 ff.

63 Dokumentspezifische Technologien Hypertext Markup Language 62 Standardsprache im WWW zur Beschreibung von Dokumenten Aufbau eines HTML-Dokuments Dokumenttypdeklaration am Dateianfang verweist auf die verwendete DTD HTML-Kopf (HEAD) mit technischen oder dokumentarischen Informationen, die nicht im Web-Browser angezeigt werden HTML-Körper (BODY) beschreibt die im Web-Browser anzuzeigende Information

64 Dokumentspezifische Technologien Cascading Style Sheets 63 Cascading Style Sheets (CSS) übersetzt die abstrakten Formatierungen von HTML in physische Formate z. B. hinsichtlich Schriftart, Schriftgröße, Schriftfarbe Textausrichtungen Positionierungen Rahmen, Abstände CSS liefert Formatvorlagen für HTML-Dokumente (ähnlich einer Word-Formatvorlage, in der die Darstellung von Absätzen, Überschriften etc. festgelegt wird). Schwarze/Schwarze 2002, S. 88 ff.

65 Dokumentspezifische Technologien Cascading Style Sheets 64 HTML-Datei

66 Dokumentspezifische Technologien Cascading Style Sheets 65 CSS-Datei

67 Dokumentspezifische Technologien Cascading Style Sheets 66 Darstellung einer HTML-Datei mit vier verschiedenen CSS-Dateien

68 Dokumentspezifische Technologien extensible Markup Language 67 XML ist eine (eingeschränkte!) Weiterentwicklung von SGML. Mit XML wurde die extensible Hypertext Markup Language (XHTML) als abwärtskompatible Weiterentwicklung von HTML beschrieben. Schwarze/Schwarze 2002, S. 88 ff.

69 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien Dokumentenspezifische Technologien Clientseitige Technologien Serverseitige Technologien Session Tracking 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

70 Clientseitige Technologien Komponenten von E-Commerce-Architekturen 69 Kappel et al. 2004, S. 86.

71 Clientseitige Technologien Plug-Ins 70 Extern hinzugefügte Module zur Erweiterung der Funktionalität des Web-Browsers, deren Ausgabe im Browserfensters erfolgt. Verhalten sich wie ein Bestandteil des Web-Browsers. Gesonderte Installation nötig. Weit verbreitete Plug-Ins: Acrobat Reader (pdf) Quick Time (mov) Flash Player (swf) Real Player (rpm) Biethahn/Nomikos 2002, S. 57 ff.

72 Clientseitige Technologien Java-Applets 71 In der Programmiersprache Java verfasste Computerprogramme, die im Web- Browser ablaufen und direkt mit dem Benutzer interagieren können (z. B. im Online-Banking). Java-Applets werden von HTML-Seiten aufgerufen und können mit Applikationen auf ihrem Heimat-Server kommunizieren. Zur Ausführung benötigt der Web-Browser eine Java Virtual Machine (VM), die Bestandteil des Web-Browsers (z. B. IE) oder als Plug-In installiert sein kann (z. B. Firefox). Arbeitsweise Applet wird vom Server auf den Client heruntergeladen. Applet wird auf dem Client ausgeführt. Ergebnisdaten werden an den Server zurückgeschickt. Biethahn/Nomikos 2002, S. 57 ff.

73 Clientseitige Technologien Java-Applets 72 Applets sind als lokal ausführbare Programme ein Sicherheitsrisiko. Zur Begrenzung des Sicherheitsrisikos laufen Applets ausschließlich in einer vom Client-Rechner abgeschirmten Laufzeitumgebung (Sandbox). Sandbox-Restriktionen für Java-Applets Biethahn/Nomikos 2002, S. 57 ff.

74 Clientseitige Technologien Java-Applets 73 Demonstrations-Beispiel

75 Clientseitige Technologien Java-Applets 74 Anwendungs-Beispiel

76 Clientseitige Technologien Java-Applets 75 Probleme beim Einsatz von Java-Applets: Lange Ladezeiten bei großen Applets oder geringer Übertragungsrate. Ausführungsgeschwindigkeit hängt von der Konfiguration des Clients ab. Ausführbarkeit hängt von der Konfiguration des Web-Browser ab. Trotz Sandbox oft Sicherheitsbedenken der Anwender (Sicherheitslücken). ActiveX: (Veraltete) Gegenoffensive von Microsoft zu Java-Applets: Schnell durch enge Verknüpfung mit dem Betriebssystem Hohes Sicherheitsrisiko (keine Sandbox) Nur im IE verfügbar Schwarze/Schwarze 2002, S. 88 ff.

77 Clientseitige Technologien Javascript 76 Skriptsprache mit ähnlicher Syntax wie Java. Von allen Web-Browsern unterstützt, aber vom Anwender deaktivierbar. Arbeitsweise Programmeinbindung in den HTML-Quelltext über script-tag (<script> </script>) Verweis auf eine externe Programmdatei (.js) im HTML-Quelltext Eingeschränktes Sandbox-Prinzip, erlaubt Zugriff auf die ganze Webseite und (mit Benutzer-Erlaubnis) Einstellungen des Web-Browsers. Typische Anwendungen Validierung von Formulareingaben vor dem Absenden Look and Feel von Anwendungsprogrammen (Aufklappen von Unter-Menüs etc.) Modifikation von CSS-Parametern (Darstellung von HTML-Elementen)

78 Clientseitige Technologien Javascript 77 Demonstrations-Beispiel

79 Clientseitige Technologien Dynamic HTML und AJAX 78 Dynamic HTML (DHTML) Kombinierter Einsatz von HTML, CSS und Javascript Clientseitige Dynamisierung von Inhalten AJAX Kombinierter Einsatz von HTML, CSS und Javascript Ermöglicht HTTP-Anfragen während der Anzeige einer HTML- Seite und deren Veränderung ohne sie komplett neu zu laden. Erlaubt die Simulation eines desktopähnliches Verhaltens einer Web-Seite. Schwarze/Schwarze 2002, S. 88 ff.; (Zugriff: ).

80 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien Dokumentenspezifische Technologien Clientseitige Technologien Serverseitige Technologien Session Tracking 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

81 Serverseitige Technologien Komponenten von E-Commerce-Architekturen 80 Kappel et al. 2004, S. 86.

82 Serverseitige Technologien Common Gateway Interface 81 Common Gateway Interface (CGI) ist eine Schnittstelle, über die der Web- Server auf beliebige Programme auf Applikations-Servern zugreifen kann. Arbeitsweise 1. Web-Browser-Anfrage an Web-Server (z. B. Absenden eines Login-Formulars). 2. Web-Server erkennt den Anfrage-Typ am übermittelten Befehl (query.pl). 3. Weiterleitung an den zuständigen Handler (Applikation auf der Applikations-Server). 4. Ausführung des Befehls (z. B. Ausführung des Perl-Programms query.pl). 5. Applikations-Server gibt Ergebnis als dynamisch erzeugte HTML-Datei zurück. 6. Web-Server übermittelt die Ergebnis-Seite an den Web-Browser. Biethahn/Nomikos 2002, S. 57 ff.; Schwarze/Schwarze 2002, S. 88 ff.

83 Serverseitige Technologien Servlets 82 Nachteile von CGI: Gesonderten Server-Prozess für jeden Request. Servlets sind die Java-basierte Weiterentwicklung von CGI, sie sind die serverseitigen Pendants zu Java-Applets. Servlets werden ebenfalls über spezielle URLs aufgerufen, verarbeiten ankommenden Requests und generieren eine dynamisch HTML-Antwortseite. Multi-Threading-Fähigkeit: Ein Servlet-Prozess kann mehrere parallele Requests verarbeiten und bleibt zwischen den Requests einer Session im Arbeitsspeicher (Daten bleiben erhalten). Kappel et al. 2004, S. 154 f.; Biethahn/Nomikos 2002, S. 57 ff.; Schwarze/Schwarze 2002, S. 88 ff.; (Zugriff: ).

84 Serverseitige Technologien Server Side Includes 83 Server Side Includes (SSI) oder Server Side Scripting sind Skripte (Programme) in einer Skriptsprache (einfache Programmiersprache), die direkt in die HTML-Seite eingebettet sind. Bekannte Vertreter sind z. B. Active Server Pages (ASP), Java Server Pages (JSP), Cold Fusion, PHP Hypertext Preprocessor (PHP). Arbeitsweise Skript wird (durch Tags gekennzeichnet) direkt in den HTML-Quelltext eingefügt. Bei Anforderung der HTML-Seite übermittelt der Web Server das Skript an den entsprechenden Interpreter (Programm zur Ausführung von Skripten). Interpreter führt Skript aus und ersetzt das Skript in der HTML-Seite durch das Ergebnis und gibt die modifizierte HTML-Seite an den Web-Server zurück. Web-Server liefert die HTML-Seite als statische HTML-Seite aus. Biethahn/Nomikos 2002, S. 57 ff.; Schwarze/Schwarze 2002, S. 88 ff.

85 Serverseitige Technologien Server Side Includes 84 Demonstrations-Beispiel PHP HTML PHP HTML Vor- und Nachteile von Skriptsprachen Einfache Pflege der HTML-Seiten durch direkte Einbindung der Skripte Web-Browser erhält statische Seite. Keine Abhängigkeit von Browser-Konfiguration Hohe Belastung des Web-Servers, da alle Skripte dort ausgeführt werden müssen Biethahn/Nomikos 2002, S. 57 ff.; Schwarze/Schwarze 2002, S. 88 ff.

86 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen Grundlagen des Internet: Das TCP/IP-Protokoll Architektur von E-Commerce-Systemen Internet-Technologien Dokumentenspezifische Technologien Clientseitige Technologien Serverseitige Technologien Session Tracking 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

87 Session Tracking Grundlagen 86 Als Sitzung (Session) bezeichnet man mehrere logisch aufeinander folgende Webseiten-Zugriffe (Requests) eines Benutzers. Die Abwicklung von E-Commerce-Transaktionen erfordert oft die Identifikation der in einer Session bereits erfolgten Requests (z. B. Befüllung eines Warenkorbs, Personalisierung, Check-Out-Prozess). Beim Abruf einer HTML-Seite über HTTP wird eine virtuelle Verbindung aufgebaut, die nach der Zustellung der Antwort beendet wird. Informationen über vorangegangene Abrufe sind damit nicht verfügbar. Dies erfordert den Einsatz besondere Techniken zur Speicherung aller zu einer Sitzung gehörigen Anfragen (Session Tracking). Strobel 2004, S. 60 ff.

88 Session Tracking Grundlagen 87 Beispiel Warenkorb-Befüllung Strobel 2004, S. 60 ff.

89 Session Tracking URL-Rewriting 88 Bei Eingang einer Anfrage ohne Session-ID (neue Session) wird vom Web- Server automatisch eine neue Session-ID generiert. Bei der Beantwortung eines Requests wird allen Links auf der ausgelieferten HTML-Seite eine Session-ID zur Identifizierung angehängt. Beim Click dieser Links wird damit die Session-ID als Teil des Request wieder an den Web-Server zurückübergeben. Vor- und Nachteile gegenüber anderen Techniken: Funktioniert unabhängig von der Konfiguration des Web-Browsers. Strobel 2004, S. 60 ff. Session-ID ist für den Benutzer im Web-Browser sichtbar. Beim Bookmarking wird die Session-ID mitgespeichert und der Wiederaufruf schlägt fehl, da die Session nach einer bestimmten Zeit automatisch geschlossen wird. Dies kann durch die automatische Generierung einer neuen Session-ID bei einem Abruf mit ungültiger Session-ID behoben werden.

90 Session Tracking URL-Rewriting 89 Anwendungs-Beispiel

91 Session Tracking Cookies 90 Cookies sind Text-Dateien (i. d. R. < 4 KB), die der Web-Browser im Auftrag eines Web-Servers auf dem Client-Rechner speichert. Ist auf dem Client-Rechner ein Cookie des Web-Servers hinterlegt, wird dieser bei jeder HTTP-Anfrage an diesen Web-Server mit übermittelt. Cookies werden in den Header-Teilen von HTTP-Anfragen und -Antworten übertragen, wobei jeder Web-Server nur seine eigenen Cookies bekommt. Verwaltung durch den Web-Browser, der je nach Einstellung keine, temporäre (bis zum Schließen des Web-Browsers) oder permanente Cookies zulässt. Anwendungsgebiete: Session Tracking Sitzungsübergreifende Informations-Speicherung, z. B. Anmeldedaten, persönliche Einstellungen oder sitzungsübergreifende Warenkörbe, Merk- und Wunschlisten.

92 Session Tracking Cookies 91 Aufbau von Cookies Name und Wert: Beliebiger Name und Wert aus ASCII-Zeichen Version: Gibt die Cookie-Management-Spezifikation in einer Dezimalzahl an Expires: Ablaufdatum, Zeitpunkt der automatischen Löschung in GMT Max-Age: Ablaufzeit in Sekunden 0 für Löschung Domain: Domain-Name, für den der Cookie gilt Path: Gültigkeits-Pfad in der Domain, auf den die Gültigkeit des Cookies beschränkt ist Discard: Unbedingt Löschung des Cookies bei Schließung des Web-Browser-Fensters

93 Session Tracking Cookies 92 Demonstrations-Beispiel Setzen des Cookies durch den Web-Server mit dem Befehl Set-Cookie: im Header der HTTP-Antwort. Durch den folgenden Befehl wird der Cookie mit dem Namen letztesuche und dem Wert cookie aufbau gesetzt: Der Cookie soll am 29. März 2005 oder in 30 Tagen ( = 30*24*60*60 Sekunden) gelöscht werden. Der Web-Browser darf ihn nur mit Anfragen versenden, die an den Pfad /cgi/suche.py des setzenden Web-Servers gerichtet sind. Bei Anfragen an den Web-Server bezüglich URLs im Pfad /cgi/suche.py schickt der Web-Browser den Cookie mit dem Befehl Cookie: im HTTP-Header, gefolgt von Name, Wert sowie den jeweiligen Attributen (mit vorangestelltem $ ):

94 Session Tracking Hidden Form Fields 93 Hidden Form Fields sind unsichtbare Felder in HTML-Formularen Eintrag der Session-ID in ein Hidden Form Field bei der dynamischen Erzeugung der angefragten HTML-Seite Vor- und Nachteile: Keine automatische Verwaltung durch den Web-Server Für den Anwender nicht sichtbar Ungestörtes Bookmarking Session Tracking auch bei ausgeschalteten Cookies möglich Strobel 2004, S. 60 ff.; (Zugriff: ).

95 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen 2.2 Sicherheit 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

96 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen 2.2 Sicherheit Sicherheitsrisiken Kryptografische Methoden 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

97 Sicherheitsrisiken Angriffsarten 96 Computerviren Werden in Anwendungs-Programmen und Dokumenten mit ausführbaren Programmen (z. B. Word- oder Excel-Makros, HTML-Seiten) versteckt, verbreiten sich automatisch (z. B. über s, Downloads oder Dokumenten-Weiterleitung) und richten Schäden am infizierten Computer an: Typische Angriffsziele von Computerviren System- und Anwendungsprogramme Dateiverwaltungssysteme Dokumente von Anwendungs-Programmen Spezielle Arten von Computerviren Würmer werden speziell entwickelt, um sich selbst in Netzwerk rasch zu vervielfältigen. Trojanische Pferde haben die Aufgabe, unbefugten Systemzugang zu verschaffen und die infizierten Computer für Zugriffe von außen zu öffnen. Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

98 Sicherheitsrisiken Angriffsarten 97 Spoofing Vortäuschen einer falschen Identität oder eines falschen Computernamens, um Zugang zu vertraulichen Informationen zu erlangen oder Falschinformationen zu verbreiten. Spezielle Arten von Spoofing-Angriffen IP-Spoofing: Nutzung falscher IP-Adressen bei der Kommunikation mit anderen Computern DNS-Spoofing: Umleitung von Internetzugriffen durch Manipulation von DNS-Servern. Web-Spoofing (Phishing): Gefälschte Internetpräsenz zum Ausspionieren von Kundendaten Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

99 Sicherheitsrisiken Angriffsarten 98 Denial of Service-Angriff Zielen auf die Verfügbarkeit von EC-Systemen ab. Gezielt Überlastung eines Web-Servers durch automatisierte Erzeugung einer großen Zahl von Verbindungsanfragen. Der Web-Server steht dann für die normalen Anfragen nicht mehr oder nur mit sehr schlechten Antwortzeiten zur Verfügung. Zur Tarnung des Angreifers Einsatz von Computerviren, um Verbindungsanfragen durch infizierte Computer zu generieren (verteilter Denial of Service-Angriff). Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

100 Übersicht 1 Betriebswirtschaftliche Grundlagen des E-Commerce 2 Informationstechnische Grundlagen des E-Commerce 2.1 Technische Grundlagen 2.2 Sicherheit Sicherheitsrisiken Kryptografische Methoden 2.3 Bezahlungssysteme 3 Management von Kundenbeziehungen im E-Commerce

101 Kryptografische Methoden Kryptografie 100 Kryptografie beinhaltet alle Methoden, um Daten so zu verschlüsseln (chiffrieren, codieren), dass diese vor unbefugtem Zugriff oder Missbrauch (durch entschlüsseln (dechiffrieren, decodieren)) geschützt sind. Die Zeichen eines Zeichenvorrats werden auf Zeichen eines anderen Zeichenvorrats durch eine Zuordnungsvorschrift (Schlüssel) so abgebildet, dass der Inhalt ohne den Schlüssel nicht mehr rekonstruierbar ist. Nach der Anzahl der eingesetzten Schlüssel unterscheidet man: symmetrische Verschlüsselung, bei der nur ein Schlüssel verwendet wird, asymmetrische Verschlüsselung, bei der zwei Schlüssel verwendet werden, schlüssellose Methoden unter Verwendung von Hashfunktionen. Jahnke, B. (2011): Kryptographie, in: Kurbel, K.; Becker, J.; Gronau, N.; Sinz, E.; Suhl, L. (Hrsg.): Enzyklopädie der Wirtschaftsinformatik, Online-Lexikon, (Zugriff: ); Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

102 Kryptografische Methoden Kryptografie 101 Anwendungsbereiche der Kryptographie Ich will sicher sein... Authentifizierung... mit wem ich kommuniziere. Vertraulichkeit..., dass kein Dritter die Kommunikation mitliest...., dass mein Transaktionspartner die Transaktion auch im Nachhinein noch anerkennt. Verbindlichkeit..., dass die Nachricht nicht verändert wurde. Datenintegrität

103 Kryptografische Methoden Symmetrische Verschlüsselung 102 Symmetrische Verschlüsselungsverfahren (Private-Key-Verfahren) nutzen zur Ver- und Entschlüsselung von Daten denselben Schlüssel (z. B. AES Advanced Encryption Standard) Anforderungen an ein Private-Key-Verfahren: Für jeden Kommunikationspartner gesonderter Schlüssel erforderlich Sicherer Schlüsselaustausch (anderes Medium als zur Übertragung der Inhalte) Sichere Aufbewahrung der Schlüssel Begrenzte Gültigkeitsdauer der Schlüssel Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

104 Kryptografische Methoden Asymmetrische Verschlüsselung 103 Asymmetrische Verschlüsselungsverfahren (Public-Key-Verfahren) nutzen für die Ver- und Entschlüsselung von Daten zwei verschiedene Schlüssel (z. B. RSA-Verfahren benannt nach Rivest, Shamir, Adleman). Die beiden Schlüssel (Schlüsselpaar) hängen mathematisch zusammen. Ein Schlüssel des Schlüsselpaares kann ausschließlich zur Verschlüsselung verwendet werden, der andere ausschließlich zur Entschlüsselung. Einer der Schlüssel wird öffentlich bekannt gegeben. Es gibt damit stets einen öffentlichen Schlüssel (Public Key), der jedem bekannt ist. privaten Schlüssel (Private Key), den ausschließlich sein Besitzer kennt. Je nachdem, ob der Schlüssel zur Verschlüsselung oder zur Entschlüsselung veröffentlicht wird, können unterschiedliche Ziele erreicht werden. Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

105 Kryptografische Methoden Asymmetrische Verschlüsselung 104 Authentifizierung (Digitale Signatur) Privater Schlüssel des Senders ist der Schlüssel zur Verschlüsselung. Öffentlicher Schlüssel des Senders ist der Schlüssel zur Entschlüsselung. Der Sender verschlüsselt seine Nachricht mit seinem privaten Schlüssel, der Empfänger entschlüsselt diese mit dem öffentlichen Schlüssel des Senders. Jeder kann die Nachricht entschlüsseln (Nachricht ist nicht geheim). Wenn der öffentliche Schlüssel des Senders funktioniert, muss die Nachricht mit seinem privaten Schlüssel verschlüsselt worden sein, der nur ihm bekannt ist. Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

106 Kryptografische Methoden Asymmetrische Verschlüsselung 105 Vertraulichkeit Öffentlicher Schlüssel des Empfängers ist der Schlüssel zur Verschlüsselung. Privater Schlüssel des Empfängers ist der Schlüssel zur Entschlüsselung. Der Sender verschlüsselt seine Nachricht mit dem öffentlichen Schlüssel des Empfängers, der Empfänger entschlüsselt diese mit seinem privaten Schlüssel. Nur der Empfänger kann die Nachricht entschlüsseln (Nachricht ist geheim). Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

107 Kryptografische Methoden Asymmetrische Verschlüsselung 106 RSA-Verfahren (Rivest, Shamir, Adleman) Vorteile der asymmetrischen Verschlüsselung (AV) AV benötigt nicht für jeden Kommunikationspartner einen eigenen Schlüssel. Bei AV kein die Spontankommunikation behinderndes Schlüsselverteilungsproblem. Vorteile der symmetrischen Verschlüsselung (SV) Bei SV reichen bei gleicher Sicherheit kürzere Schlüssel aus (Performanz). SV ist technisch einfacher und leichter implementierbar. Hansen/Neumann 2005, S. 294.

108 Kryptografische Methoden Hybridverschlüsselung 107 Die Hybridverschlüsselung kombiniert die Vorteile von symmetrischer und asymmetrischer Verschlüsselung durch schnelle symmetrische Nutzdaten-Verschlüsselung mit einem Sitzungsschlüssel (Session Key) gesicherten und spontan möglichen Austausch des Sitzungsschlüssels durch asymmetrische Verschlüsselung mit dem öffentlichen Schlüssel des Empfängers. Anwendung z. B. beim Verschlüsselungsdienst PGP (Pretty Good Privacy). Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.

109 Kryptografische Methoden Hash-Funktionen 108 Hash-Funktionen erzeugen zu einer beliebig langen Nachricht eine Prüfsumme (Hash-Wert), mit dem eine Prüfung der Datenintegrität möglich ist Anforderungen an Hash-Funktionen: Datenreduktion: Abbildung beliebig großer Originale in Hash-Wert fester Länge Unumkehrbarkeit: Kein Rückschluss von Hash auf Original möglich Zufälligkeit: Kleine Änderung des Originals ergibt möglichst große Änderung des Hash Kollisionsfreiheit: Gleicher Hash-Wert verschiedener Originale sehr unwahrscheinlich Effizienz: Einfache Berechnung Beispiel: Modulus-Funktion (Teiler-Rest bei einer ganzzahligen Division) Hash-Algorithmen in der Praxis z. B. SHA-1 (160 Bit) MD5 (128 Bit) Hash-Funktionen sind praktisch unumkehrbar Hashfunktionen sind praktisch unumkehrbar SHA-1: d f3ea917002fab0be12d8e2921e SHA-1: b a1d1c7ee14c3510ab25dd5c0 Schwarze/Schwarze 2002, S. 115 ff.; Illik 2002, S. 223 ff.; (Zugriff: ); (Zugriff: ).