Modul 7 Sicherheit Anwendungsebene am Beispiel E-Payment M. Leischner Sicherheit in Netzen Folie 1 Inhalt Grundlagenteil Einführung in E-Payment ikp-protokolle Implementierung SET Praktischer Teil (Labor) Einsatzerfahrung elektronische Zahlungssysteme am Beispiel DKKS M. Leischner Sicherheit in Netzen Folie 2
Modul 7.1 Einführung in E- Payment M. Leischner Sicherheit in Netzen Folie 3 Prozesskette des E-Commerce - Sicherheitsrelevante Bereiche Nachfrage/ Angebot Produkt/ Kundenfindung Ware/ Bezahlung Lieferung Verhand lung, Willenserklärung After- Sales WWW- Info WEB-Site Warenkorb, Parameteraustausch, Vertrag elektronische Zahlungssysteme Off-Line WEB-Site, Mailing Authentifizierung Kundendaten / -profile M. Leischner Sicherheit in Netzen Folie 4
Anforderungen an die elektronische Zahlung Sicherheit Fungibilität Vertrauenswürdigkeit Benutzerfreundlichkeit Wirtschaftlichkeit Authentizität Geringe Verzögerungszeiten Nicht- Vermehrbarkeit Integrität Schutz gegen unberechtigten Geldfluss Nicht- Abstreitbarkeit Zurechenbarkeit Vertraulichkeit Robustheit... Anonymität Identität Unverkettbarkeit Unbeobachtbarkeit Pseudoanonymität Nicht- Verortbarkeit Datenschutz Interoperabilität Universalität Akzeptanz Internationalität Granularität Mobilität Rollenflexibilität Übertragbarkeit Nachvollziehbarkeit Unfälligkeit Transparenz Durchgängkeit Der IT-Mittel Verlust- und Fehlertoleranz Kontrolle Wiedererkennbar Niedrige Kosten Liquidität Zinsvorteile Kalkulierbarkeit Amortisierbar Kundenbindung Rationalisierung Transaktionssicherheit Micropaymentgeeignet Umsatzsteigerung Bidirektionalität Bargeldähnliches Handling............ M. Leischner Sicherheit in Netzen Folie 5 Klassifikation elektronischer Zahlungssysteme Zeitpunkt der Liquiditätswirkung ( Folie) Initiator der Zahlung (empfänger-/absenderinitiierte Verfahren) Buchungsbasiert / Tokenbasiert Elektronische Umsetzung eines klassischen Zahlungsverfahrens / neuartiges Zahlungsverfahren Fungibilität (bargeldähnlich: hohe Fungibilität) Höhe des Betrags (Richtwert: Micro < 10 DM) Weitere Differenzierung nach Erfüllung von Anforderungen wie Anonymität, Transaktionskosten, Sicherheit M. Leischner Sicherheit in Netzen Folie 6
Zeitpunkt der Liquiditätswirkung Klassifizierung gemäß Zeitpunkt, zu dem die Liquiditätswirkung aus der Sicht des Zahlungserbringers, also des Käufers einer Ware oder Dienstleistung, eintritt. Zeitpunkt des Übergangs einer Ware Stundung / Kredit pay before: Netzgeld GeldKarte MilliCent CyberCoin ecash pay now: Lastschriftverfahren elektronisches Scheckverfahren edd pay later: Kreditkarte SET M. Leischner Sicherheit in Netzen Folie 7 Klassifikationsschema für Zahlungssysteme im Internet Zahlungssysteme im Internet kontoungebundene Systeme kontogebundene Systeme elektronisches Geld elektronische Wertkupons elektronische Überweisung Debit- Verfahren kreditkartenbasierte Verfahren tokenbasiertes Geld elektronische Schecks buchungsbasiertes Geld Lastschriftverfahren M. Leischner Sicherheit in Netzen Folie 8
Problemstellung Situation: Allein für das Internet lassen sich mehr als hundert Verfahren zählen. - Viele Entwicklungen konzentrieren sich die technische Umsetzung von Bezahlverfahren und ausgefeilte Sicherheitsmerkmale. - Eine Vielzahl von anwendungsspezifischen Ansätzen. Problem: Idee: Will ein Händler seinen Kunden mehrere Zahlungsmöglichkeiten anbieten, so ist er durch die verschiedenen Einzelsysteme mit einer komplexen und vielschichtigen Problemstellung konfrontiert: - Die Bezahlanforderungen sind mit den Merkmalen der angebotenen Zahlungssysteme abzugleichen. - Die vorgesehenen Zahlungssysteme, mit zum Teil sehr unterschiedlichen Abllogiken, sind in die Geschäftsprozesse zu integrieren. - Die von den jeweiligen Zahlungssystemen bereitgestellten Einzelservices sind zu einem zu integrieren. Ein Rahmenmodell, das eine ganzheitliche Behandlung aller wesentlichen Aspekte der elektronischen Bezahlung erlaubt. Vogelperspektive elektronische Zahlung und Zahlungsdienstleistungen M. Leischner Sicherheit in Netzen Folie 9 Abstraktion des Zahlungsprozesses abstrakt n... Pay-... Funktionsklassen Authentifizierung Bonitätsprüfung System- Funktionen System A: Rückruf Handy System B: PIN-Eingabe konkret reale Aktionen Eingabe:2944 Eingabe:4532 M. Leischner Sicherheit in Netzen Folie 10
nmodell der elektronischen Bezahlung Zahlungstransaktion Kprozess Lieferprozess Initialisierungs- Einrichtungs- Verhandlungs- Pay- After-Pay- Zeit einmalige Aktivitäten Aktivitäten bei jeder Zahlung Initialisierungsphase: Wahl der Zahlungsmethoden, Vertragsabschluss. Einrichtungsphase: technische und organisatorische Integration der Zahlungsmöglichkeiten in die bestehende Umgebungen. Verhandlungsphase: Aushandeln von Art und Modalitäten (z.b. Zahlungsziel) der Bezahlung (falls möglich). Pay-: Autorisierung der Zahlungstransaktion Basis der ausgehandelten Parameter. After-Pay-: Abwicklung, Änderung, Stornierung, Reporting, Archivierung,.. M. Leischner Sicherheit in Netzen Folie 11 Einordnung der Servicekategorien in das nmodell Trust-Services Sicherheitsservices Einrichtungsservices Initialisierungsservices Verhandlungsservices Pay- Services After-Pay- Services Initialisierungs- Einrichtungs- Verhandlungs- Pay- After-Pay- Zeit M. Leischner Sicherheit in Netzen Folie 12
Payment Service Provider (PSP) Back-Office Kasse Händler Web-Shop Acquirer Banken ISP ASP IT-Infrastruktur/ TK-Dienstleister PSP Issuer Schufa Handy Karte WWW Versicherung Endkunden Mobilfunkanbieter Add-on- Dienstleister Ein Payment Service Provider ist Intermediär zwischen den verschiedenen Zahlungsbeteiligten. Ein Payment Service Provider (PSP) bietet Kunden und Händlern die Zahlungsabwicklung und begleitende Dienstleistungen an. M. Leischner Sicherheit in Netzen Folie 13 Modul 7.2 ikp-protokollfamilie M. Leischner Sicherheit in Netzen Folie 14
Modul 7.3 Implementierung SET M. Leischner Sicherheit in Netzen Folie 15 Bezahlung SET Kunden-PC 1 Kanfrage 2 Zahlungsforderung Sicherheitsparameter Online-Shop Händler 4 Zahlungsanweisung Rechnungsbetrag Wallet 3 Zahlungsanweisung Auftragsanweisung Cash Register 9 Rückmeldung 10 Zahlungsbestätigung Verrechnungsanfrage 11 13 Rückmeldung Kreditkartengesellschaft Kunden- Bank 12 7 6 Händlerbank Acquirer 8 5 SET-Payment- Gateway M. Leischner Sicherheit in Netzen Folie 16
SET-Zertifizierungshierarchie (für 3KP-Modus) C-S-pub CA Root CA Brand CA R R Geo-Pol. CA B Cardholder CA Merchant CA P-Gateway CA G G G Cardholder CA Merchant Merchant P-Gateway P-Gateway X-Key X-Key CA CA CA CA M. Leischner Sicherheit in Netzen Folie 17 SET Root-Zertifikat M. Leischner Sicherheit in Netzen Folie 18
Beurteilung von SET negativ: negativ: Aufwendige Aufwendige Infrastruktur Infrastruktur notwendig, notwendig, insbesondere insbesondere für für Zertifizierung Zertifizierung Hohe Hohe Komplexität, Komplexität, viele viele Optionen Optionen Hohe Hohe Kosten Kosten Händlerseite Händlerseite Sicherheit Sicherheit psychologisch psychologisch nicht nicht erfahrbar erfahrbar (wie (wie bei bei Chipkarte) Chipkarte) passwortgeschützte passwortgeschützte Wallet Wallet Kundenseite Kundenseite Positiv: Positiv: ausgefeiltes ausgefeiltes Sicherheitskonzept Sicherheitskonzept (duale (duale Signatur, Signatur, 1024 1024 Bit Bit RSA, RSA, 64 64 Bit Bit DES, DES, SHA- SHA- 1) 1) und und Zertifizierungs-konzept Zertifizierungs-konzept breite breite Unterstützung Unterstützung (Master, (Master, Visa, Visa, IBM, IBM,...),...), offene offene Systemspezifikation Systemspezifikation (seit (seit 3 3 Jahren Jahren vorliegend) vorliegend) und und umfangreiche umfangreiche Aktivitäten Aktivitäten zur zur Weiterentwicklung Weiterentwicklung von von SET SET Softwarelösung Softwarelösung Kundenseite Kundenseite M. Leischner Sicherheit in Netzen Folie 19