Cybercash: Sicherheitsaspekte

(gekürzte Fassung der Informationen auf dem Server der Firma Cybercash www.cybercash.de)

1. Die Registrierung

Bevor der Nutzer am Bezahlen mit CyberCash teilnehmen kann, muß er sich bei einer der beteiligten Banken (abhängig davon, von wo die Wallet-Software bezogen wurde) registrieren lassen. Dazu müssen der Personalausweis/Reisepaß und die ec-Karte bzw. ein anderer geeigneter Kontonachweis vorgelegt werden. Außerdem ist eine physische Unterschrift unter den Nutzungsbestimmungen und eine Einzugsermächtigung (für das Laden von CyberCoin) notwendig.

Beim ersten Start der Wallet-Software wird der Nutzer aufgefordert, eine Wallet-ID, seine Adresse, seine E-Mail-Adresse und eine Verification-Id, sowie seine Konten-, ec-Karten- bzw. Kreditkartendaten einzugeben. Anschließend wird der Nutzer gebeten, ein Paßwort festzulegen. Mit diesem Paßwort wird die Wallet vor unberechtigtem Zugriff geschützt. Außerdem werden mit Hilfe des Paßworts alle zuvor eingegebenen Wallet-Daten sowie das Transaktionslogbuch verschlüsselt.

Mit der Verification-Id kann sich der Nutzer später beim Operator der CyberCash GmbH authentifizieren, um zum Beispiel im Falle einer versehentlichen Löschung der Wallet von der Festplatte, diese sperren zu lassen.

Zur eigenen Sicherheit kann der Nutzer zusätzlich festlegen, daß Transaktionen mit einem bestimmten Zahlungsinstrument oder Transaktionen, die einen bestimmten Betrag übersteigen, mit dem Paßwort zu bestätigen sind.

2. Die Verschlüsselung

Sämtliche Kommunikation zwischen der Wallet des Kunden, dem CashRegister des Händlers und dem CyberCash-Gateway erfolgt über das Internet durch das Standard-Protokoll HTTP.

Wenn Informationen zum Händler und von dort zum CyberCash-Gateway übertragen werden, wird automatisch eine Verschlüsselung der Daten durch die Wallet des Kunden durchgeführt. Dazu wird die Verschlüsselungstechnologie DES (Data Encryption Standard) eingesetzt. Der Schlüssel ist für jede Transaktion einzigartig und wird vor dem Transport mittels RSA kodiert.

Während einer Transaktionssitzung müssen keine Schlüssel zwischen der Wallet des Kunden und dem CyberCash-Gateway ausgetauscht werden. Beide verfügen über alle notwendigen Informationen.

3. Welche Daten werden gespeichert?

Bei Erhalt der vom Kunden bestätigten Bestell- und Zahlungsinformationen fügt das CashRegister des Händlers dessen Identifikationsmerkmale hinzu und leitet die gesamten Daten an den CyberCash-Gateway-Server weiter. Die Verschlüsselung erfolgt analog zum Schutz der Daten bei der Übertragung vom Kunden zum Händler. Im Unterschied zu konventionellen Kreditkartentransaktionen sieht der Händler die Kreditkartennummer nicht. Hierdurch werden weitere Ansatzpunkte für eventuellen Mißbrauch vermieden.

Das CyberCash-Gateway speichert keine sensitiven Daten von Kunden oder Händlern. Statt dessen werden alle beim Gateway zur Verifizierung von Transaktionen benötigten Daten nach einem Hash-Algorithmus kodiert. Es ist nicht möglich, aus diesen kodierten Daten wieder die ursprünglichen Informationen zu erzeugen. Um die Gültigkeit und Authentizität von Daten zu ermitteln, werden diese ebenfalls verschlüsselt und mit den gespeicherten Hash-Werten verglichen.

Sensitive Informationen, die vom Kunden zum Händler gesendet werden, sind mit dem sitzungsabhängigen DES-Schlüssel abgesichert. Diese Daten können beim Händler nicht dekodiert werden. Dem Händler sind nur die für ihn relevanten Bestellinformationen des Kunden zugänglich. Die Software des Händlers ergänzt die Nachricht lediglich um eigene, wiederum verschlüsselte Zahlungsinformationen und sendet das Paket zum Gateway.

4. CyberCash-Payment-Gateway-Server

Der CyberCash-Payment-Gateway-Server ist die Soft- und Hardware, mit der sichere Verbindungen zwischen (1) den Händlern und ihren Kunden im Internet und (2) den Banken/ Kreditkartenorganisationen mit ihren bestehenden Netzwerken gewährleistet werden. Für die Banken/Kreditkartenorganisationen sehen CyberCash-Transaktionen genau wie traditionelle POS-Vorgänge aus. Der Payment-Gateway-Server bietet Firewall-Schutz, die Übersetzung von Nachrichten zwischen Internetprotokollen und Protokollen der Finanzwelt, die Pflege und Authentizität der CyberCash-Wallet-Ids, die Möglichkeit für Händler individuelle Gebühren einzurichten und vieles mehr.

5. Betragslimitierungen

Aus Sicherheitsgründen werden alle Daten und Informationen über Transaktionen oder Transaktionsschritte nur über einen begrenzten Zeitraum vorgehalten. Außerdem können für jeden Konsumenten maximale Beträge festgelegt werden, die der Nutzer auf die Wallet laden bzw. ausgeben kann. Damit wird der Kunde bei Fehlbedienung oder Unvorsichtigkeit vor evtl. Verlusten geschützt.

6. Buchführung

Die CyberCash-Wallet des Verbrauchers enthält ein Logbuch, in das alle Transaktionen automatisch eingetragen werden.

Beim Händler werden alle Transaktionen und Systembewegungen in einem Transaktionslogbuch des CashRegister erfaßt. Es ist möglich, Transaktionen gezielt abzufragen und individuell oder nach Zahlungsart, d.h. CyberCoin, edd oder Kreditkartentyp (EuroCard/MasterCard, Visa, AMEX, usw.), geordnet anzuzeigen.

zurück

Benutzer: gast • Besitzer: didaktik • Zuletzt ge�ndert am: