Elektronische Zahlungssysteme
Verbreitung und Akzeptanz im B2C Bereich
©2005
Diplomarbeit
102 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Elektronische Zahlungssysteme spielen heutzutage eine entscheidende Rolle. Neben Flexibilität und Verfügbarkeit geben sie dem Kunden im B2C Bereich ein gewisses Maß an Freiheit. Mit der freien Entscheidung, aus verschiedenen elektronischen Zahlungssystemen wählen zu können, stellt sich nicht nur für Kunden, sondern auch für Händler die Frage nach dem geeignetsten Zahlungssystem. Welches der elektronischen Zahlungssysteme ist aber das sicherste und beste? Gibt es überhaupt ein bestes Zahlungssystem oder macht nur die richtige Kombination verschiedener Zahlungssysteme das beste Zahlungssystem aus? Spielt es bei der Auswahl des besten Zahlungssystems eine Rolle, ob der Händler seine Ware in einem Geschäft mit Öffnungszeiten oder über das Internet verkauft?
Mittlerweile gibt es ein breites Spektrum an verschiedenen Zahlungssystemen. Einige können sich durchsetzen, andere nicht. Warum ist dies so? Warum genießen einige Zahlungssysteme weltweite Akzeptanz und andere verschwinden eine Woche nach der Einführung wieder? Ziel dieser Arbeit ist es, herauszufinden, welche Anforderungen ein elektronisches Zahlungssystem erfüllen muss, um weltweite Akzeptanz im B2C Bereich zu bekommen. In diesem Rahmen werden klassische elektronische Zahlungssysteme vorgestellt, bewertet und verglichen.
Dabei wird auf rechtliche Grundlagen und die wirtschaftliche Bedeutung für Händler und Kunden eingegangen. Die Bewertung erfolgt anhand vorher festgelegter Kriterien, so dass sich Kunden, Händler und Portalbetreiber ein Bild von den verschiedenen elektronischen Zahlungssystemen machen können. So kann jeder individuell nach seinen Bedürfnissen entscheiden, welches das geeignetste Zahlungssystem für ihn ist.
Gang der Untersuchung:
Diese Arbeit besteht aus 6 Kapiteln, beginnend mit Kapitel 1, das die Zielsetzung und die Motivation beschreibt. Anschließend erfolgt der Ablauf der Umsetzung. Kapitel 2 erläutert die Grundlagen elektronischer Zahlungssysteme und deren Funktionen. Des Weiteren werden die klassischen Zahlungssysteme, um die es in dieser Arbeit geht, vorgestellt und erklärt.
Kapitel 3 beschäftigt sich mit den Rechtsgrundlagen elektronischer Zahlungssysteme, wobei hier besonderer Wert auf die entsprechenden Datenschutzrichtlinien gelegt wird. Zum Schluss des Kapitels werden die einzelnen elektronischen Zahlungssysteme nach Bereichen aufgeteilt und noch einmal im Hinblick auf die Rechtsgrundlagen analysiert.
Kapitel 4 befasst sich mit der […]
Elektronische Zahlungssysteme spielen heutzutage eine entscheidende Rolle. Neben Flexibilität und Verfügbarkeit geben sie dem Kunden im B2C Bereich ein gewisses Maß an Freiheit. Mit der freien Entscheidung, aus verschiedenen elektronischen Zahlungssystemen wählen zu können, stellt sich nicht nur für Kunden, sondern auch für Händler die Frage nach dem geeignetsten Zahlungssystem. Welches der elektronischen Zahlungssysteme ist aber das sicherste und beste? Gibt es überhaupt ein bestes Zahlungssystem oder macht nur die richtige Kombination verschiedener Zahlungssysteme das beste Zahlungssystem aus? Spielt es bei der Auswahl des besten Zahlungssystems eine Rolle, ob der Händler seine Ware in einem Geschäft mit Öffnungszeiten oder über das Internet verkauft?
Mittlerweile gibt es ein breites Spektrum an verschiedenen Zahlungssystemen. Einige können sich durchsetzen, andere nicht. Warum ist dies so? Warum genießen einige Zahlungssysteme weltweite Akzeptanz und andere verschwinden eine Woche nach der Einführung wieder? Ziel dieser Arbeit ist es, herauszufinden, welche Anforderungen ein elektronisches Zahlungssystem erfüllen muss, um weltweite Akzeptanz im B2C Bereich zu bekommen. In diesem Rahmen werden klassische elektronische Zahlungssysteme vorgestellt, bewertet und verglichen.
Dabei wird auf rechtliche Grundlagen und die wirtschaftliche Bedeutung für Händler und Kunden eingegangen. Die Bewertung erfolgt anhand vorher festgelegter Kriterien, so dass sich Kunden, Händler und Portalbetreiber ein Bild von den verschiedenen elektronischen Zahlungssystemen machen können. So kann jeder individuell nach seinen Bedürfnissen entscheiden, welches das geeignetste Zahlungssystem für ihn ist.
Gang der Untersuchung:
Diese Arbeit besteht aus 6 Kapiteln, beginnend mit Kapitel 1, das die Zielsetzung und die Motivation beschreibt. Anschließend erfolgt der Ablauf der Umsetzung. Kapitel 2 erläutert die Grundlagen elektronischer Zahlungssysteme und deren Funktionen. Des Weiteren werden die klassischen Zahlungssysteme, um die es in dieser Arbeit geht, vorgestellt und erklärt.
Kapitel 3 beschäftigt sich mit den Rechtsgrundlagen elektronischer Zahlungssysteme, wobei hier besonderer Wert auf die entsprechenden Datenschutzrichtlinien gelegt wird. Zum Schluss des Kapitels werden die einzelnen elektronischen Zahlungssysteme nach Bereichen aufgeteilt und noch einmal im Hinblick auf die Rechtsgrundlagen analysiert.
Kapitel 4 befasst sich mit der […]
Leseprobe
Inhaltsverzeichnis
ID 8737
Kretschmar, Stephanie: Elektronische Zahlungssysteme -
Verbreitung und Akzeptanz im B2C Bereich
Hamburg: Diplomica GmbH, 2005
Zugl.: FOM - Fachhochschule für Oekonomie und Management Essen,
Diplomarbeit, 2005
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2005
Printed in Germany
III
Inhaltsverzeichnis
Inhaltsverzeichnis ... III
Abbildungsverzeichnis... VII
Glossar ... VIII
1
Einleitung ... 1
2
Technologie der Zahlungssysteme ... 2
2.1 Verschlüsselungsverfahren...2
2.1.1 Symmetrische Verschlüsselungsverfahren ...3
2.1.2 Asymmetrische Verschlüsselungsverfahren ...4
2.1.3 Hybride Verschlüsselungsverfahren ...5
2.1.4 RSA
...6
2.1.4.1 RSA- Algorithmus ...6
2.1.4.2 RSA- Verschlüsselung ...7
2.1.4.3 RSA- Entschlüsselung ...8
2.1.5 Public Key Infrastructure - PKI ...9
2.1.5.1 Zertifizierungsstellen ...10
2.1.5.2 Kerberos ...11
2.2 Authentifizierungsverfahren...12
2.2.1 Digitale Signaturen ...13
2.2.2 Challenge Response ...14
2.2.3 Persönliche Identifikationsnummer - PIN...15
2.3 Elektronische Zahlungssysteme mit Terminals...15
2.3.1 Electronic Cash ...16
2.3.2 Point of Sale ohne Zahlungsgarantie - POZ...17
2.3.3 Elektronisches Lastschriftverfahren...18
2.3.4 Geldkarte...20
2.3.4.1 Zahlungen im Handel...21
2.3.4.2 Zahlungen im Internet...21
2.3.4.3 Verbreitung ...22
2.3.4.4 Kosten
...23
2.3.5 Kreditkarte ...23
2.3.5.1 Technische Voraussetzungen...24
2.3.5.2 Kosten
...24
2.3.5.3 Authentifizierung ...25
2.4 Elektronische Zahlungssysteme im Internet...26
2.4.1 Kreditkarte ...26
2.4.1.1 Secure Socket Layer - SSL ...27
2.4.1.1.1 Technische Voraussetzungen und Kosten ...27
2.4.1.1.2 Kommunikation ...28
2.4.1.1.3 Authentifizierung ...28
IV
2.4.1.2 Secure Electronic Transaction - SET...29
2.4.1.2.1 Technische Voraussetzungen und Registrierung ...30
2.4.1.2.2 Kommunikation ...32
2.4.1.2.3 Authentifizierung ...34
2.4.2 Lastschriftverfahren ...34
2.4.2.1 Virtuelle Terminals ...35
2.4.2.2 Automatisierte Anwendungen ...36
3
Rechtlicher Rahmen... 37
3.1 Elektronische Signatur ...37
3.1.1 Herkömmliche elektronische Signatur...38
3.1.2 Fortgeschrittene elektronische Signatur...38
3.1.3 Qualifizierte elektronische Signatur...38
3.1.4 Beweiskraft von elektronischen Signaturen...39
3.2 Datenschutz ...39
3.2.1 Grenzüberschreitender Datenaustausch ...40
3.2.2 Bundesdatenschutzgesetz - BDSG...40
3.2.2.1 Begriffserklärungen ...41
3.2.2.1.1 Personenbezogene Daten - § 3 Abs. 1 BDSG...41
3.2.2.1.2 Dateien - § 3 Abs. 2 BDSG...41
3.2.2.1.3 Datenerhebung - § 3 Abs. 4 BDSG...41
3.2.2.1.4 Speichern, Verändern, Übermitteln, Löschen,
Sperren und Nutzen von Daten - § 3 Abs. 5 & 6
BDSG...42
3.2.2.1.5 Anonymisieren und Pseudonymisieren - § 3 Abs. 7
BDSG...42
3.2.2.1.6 Verantwortliche Stelle, Empfänger, Dritte - § 3 Abs.
8 & 9 BDSG...42
3.2.2.2 Wichtige Paragraphen für elektronische Zahlungssysteme ...43
3.2.2.2.1 Vorschriften für mobile Speicher- und
Verarbeitungsmedien ...43
3.2.2.2.2 Automatische Verarbeitung personenbezogener
Daten...44
3.2.2.2.3 Verantwortliche für die Einhaltung des
Datenschutzes ...44
3.3 Elektronische Zahlungssysteme ...44
3.3.1 Rechtsgrundlagen für Kreditkarten...45
3.3.2 Rechtsgrundlagen für Lastschriftverfahren...45
3.3.3 Rechtsgrundlagen für die Geldkarte ...46
4
Wirtschaftliche Bedeutung ... 47
4.1 Unternehmen ...47
4.1.1 Rationalisierung ...48
4.1.2 Umsatzsteigerung...48
4.1.3 Kosteneinsparungen ...49
4.1.3.1 Transaktionskosten ...49
V
4.1.3.2 Kostenreduzierung durch Virtuelle Terminals...50
4.1.3.3 Kosteneinsparungen durch automatisierte Prozesse ...50
4.1.4 Sicherheit ...51
4.1.4.1 Magnetstreifenkarten ...52
4.1.4.2 Persönliche Identifikationsnummer - PIN ...53
4.1.4.3 Geldkarte ...53
4.1.5 Verlässlichkeit...54
4.1.6 Steigerung der Serviceleistungen...54
4.2 Kunden ...55
4.2.1 Flexibilität ...55
4.2.2 Verfügbarkeit ...55
4.2.3 Anonymität...56
5
Akzeptanz und Affinität ... 57
5.1 Anforderungen an elektronische Zahlungssysteme...58
5.1.1 Verbreitung und Marktdurchdringung ...59
5.1.2 Sicherheit ...59
5.1.3 Zahlungszeitpunkt...59
5.1.4 Zahlungsbereich ...60
5.1.5 Kosten ...60
5.1.6 Anonymität...60
5.1.7 Bedienbarkeit ...60
5.1.8 Geschwindigkeit...61
5.1.9 Skalierbarkeit ...61
5.1.10Stornierungsmöglichkeiten ...61
5.1.11Absicherung im Schadensfall...61
5.2 Bewertung elektronischer Zahlungssysteme ...62
5.2.1 Kreditkartenzahlung...62
5.2.1.1 Verbreitung und Marktdurchdringung...62
5.2.1.2 Sicherheit ...63
5.2.1.3 Zahlungszeitpunkt...64
5.2.1.4 Zahlungsbereich...64
5.2.1.5 Kosten
...64
5.2.1.6 Anonymität ...65
5.2.1.7 Bedienbarkeit & Geschwindigkeit...65
5.2.1.8 Skalierbarkeit ...65
5.2.1.9 Stornierungsmöglichkeiten ...65
5.2.1.10 Absicherung im Schadensfall ...66
5.2.1.11 Zusammenfassung...66
5.2.2 Lastschriftverfahren ...67
5.2.2.1 Verbreitung und Marktdurchdringung...67
5.2.2.2 Sicherheit ...68
5.2.2.3 Zahlungszeitpunkt...68
5.2.2.4 Zahlungsbereich...69
VI
5.2.2.5 Kosten
...69
5.2.2.6 Anonymität ...69
5.2.2.7 Bedienbarkeit & Geschwindigkeit...69
5.2.2.8 Skalierbarkeit ...70
5.2.2.9 Stornierungsmöglichkeiten ...70
5.2.2.10 Absicherung im Schadensfall ...70
5.2.2.11 Zusammenfassung...70
5.2.3 Geldkarte...71
5.2.3.1 Verbreitung und Marktdurchdringung...71
5.2.3.2 Sicherheit ...71
5.2.3.3 Zahlungszeitpunkt...72
5.2.3.4 Zahlungsbereich...72
5.2.3.5 Kosten
...72
5.2.3.6 Anonymität ...73
5.2.3.7 Bedienbarkeit & Geschwindigkeit...73
5.2.3.8 Skalierbarkeit ...73
5.2.3.9 Stornierungsmöglichkeiten ...73
5.2.3.10 Absicherung im Schadensfall ...73
5.2.3.11 Zusammenfassung...74
5.2.4 Vergleich elektronischer Zahlungssysteme ...74
5.3 Umfrageergebnis ...76
5.3.1 Aufbau der Umfrage ...76
5.3.2 Ergebnisse der Umfrage...77
5.3.3 Zusammenfassung...83
6
Fazit ... 84
Literaturverzeichnis ... 86
VII
Abbildungsverzeichnis
Abbildung 1: Symmetrische Verschlüsselung...3
Abbildung 2: Asymmetrische Verschlüsselung ...4
Abbildung 3: Hybride Verschlüsselungsverfahren ...5
Abbildung 4: Public Key Infrastructure mit Zertifizierungsstellen ...10
Abbildung 5: Public Key Infrastructure mit Kerberos Server ...11
Abbildung 6: Digitale Signatur ...13
Abbildung 7: Challenge Response ...14
Abbildung 8: Electronic Cash, altes Logo...16
Abbildung 9: Electronic Cash, neues Logo ...16
Abbildung 10: MASTERCARD Logo ...17
Abbildung 11: Point of Sale ohne Zahlungsgarantie Logo...18
Abbildung 12: Elektronisches Lastschriftverfahren Logo ...19
Abbildung 13: Geldkarte Logo...20
Abbildung 14: Geldkartenzahlung im Internet ...22
Abbildung 15: VISA Logo ...23
Abbildung 16: MASTERCARD Logo ...23
Abbildung 17: VISA/ MASTERCARD Classic ...24
Abbildung 18: VISA/ MASTERCARD Gold...24
Abbildung 19: SET - Kundenregistrierung ...30
Abbildung 20: SET - Händlerregistrierung ...32
Abbildung 21: SET - Bestellabwicklung...33
Abbildung 22: Aufteilung der Befragten nach Geschlecht und Alter ...77
Abbildung 23: Bekanntheitsgrad und Nutzung im Handel...78
Abbildung 24: Bekanntheitsgrad und Internetnutzung ...79
Abbildung 25: Vorteile elektronischer Zahlungssysteme ...82
Abbildung 26: Nachteile elektronischer Zahlungssysteme...83
VIII
Glossar
Acquirer
Vertragsunternehmen eines Händlers, welches die Kartendaten
autorisiert, erfasst und Zahlungen transferiert.
Authentifizierung Verfahren zur Überprüfung der Identität, dies kann mit Hilfe von
Passwörtern, Chipkarten oder biometrischen Verfahren realisiert
werden.
Asymmetrische
Verschlüsselung
Verschlüsselungsverfahren, bei dem zwei Schlüssel verwendet
werden; ein Schlüssel zum Verschlüsseln und einer zum
Entschlüsseln.
B2C
Kurzform von Business-to-Consumer, bezeichnet Geschäfts-
beziehungen zwischen Händlern und Privatkunden.
Challenge
Response
Verfahren, bei dem die Autorisierung über persönliches
Geheimnis erfolgt; wird unter anderem bei EC-Karten mit PIN
eingesetzt.
Digitale Signatur
Daten, die elektronischen Nachrichten hinzugefügt werden und
der Authentifizierung dienen.
Disagio
Gebühr, die ein Händler für Kartentransaktionen an Acquirer oder
entsprechendes Vertragsunternehmen zahlt.
Hash- Funktion
Verfahren, welches zur Komprimierung von Nachrichten und
Daten dient. Aus einer Nachricht wird ein Wert mit fester Länge
berechnet, der so genannte Hash- Wert. Dieser ist der Nachricht
eindeutig zuzuordnen, da eine Veränderung in der Nachricht zu
einem veränderten Hash- Wert führt. Rückschlüsse vom Hash-
Wert auf die Nachricht sind nicht möglich.
IX
Hybride
Verschlüsselung
Kombination
aus
symmetrischer
und
asymmetrischer
Verschlüsselung. Eine Nachricht wird symmetrisch verschlüsselt.
Der verwendete Schlüssel wird mit dem öffentlichen Schlüssel
des Empfängers verschlüsselt, so dass nur der Empfänger (Inhaber
des privaten Schlüssels) den Schlüssel und anschließend die
Nachricht entschlüsseln kann.
Kerberos
Dienst der auf einem Server aktiviert ist und die Authentifizierung
durch die Verteilung und Verwaltung von Sitzungsschlüsseln
regelt.
Persönliche
Identifikations-
nummer (PIN)
Persönliches Geheimnis, welches aus Zahlen- und/ oder
Buchstabenkombinationen besteht und der Authentifizierung
dient.
Public Key
Infrastructure
(PKI)
Methode für die Erstellung, Ausgabe und Verwaltung von
Zertifikaten und digitalen Signaturen.
Random Access
Memory (RAM)
Speicher, der lesbar, adressierbar und beschreibbar ist; speichert
die Daten nur solange eine Stromversorgung vorhanden ist.
Read Only
Memory (ROM)
Speicher, der lesbar, aber nicht wieder beschreibbar ist.
RSA
Asymmetrisches Verschlüsselungsverfahren, 1978 veröffentlicht
und nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard
Adleman benannt.
Secure Electronic
Transaction
(SET)
Protokoll zur sicheren Datenübertragung im Internet, speziell für
sensible Daten entwickelt. Verwendet Zertifikate bei allen
Vertragspartnern und garantiert die eindeutige Identifizierung.
X
Secure Socket
Layer (SSL)
Protokoll zur sicheren Datenübertragung im Internet. Vor einer
Kommunikation wird eine verschlüsselte Verbindung aufgebaut,
über die die Daten ausgetauscht werden.
Server
Physikalische Maschine, die in einem Netzwerk Daten und
Applikationen für andere Rechner zur Verfügung stellt.
Symmetrische
Verschlüsselung
Verschlüsselungsverfahren, bei dem ein Schlüssel für die Ver-
und Entschlüsselung verwendet wird. Der Schlüssel muss im
Vorfeld über ein sicheres Medium ausgetauscht werden.
Verschlüsselung
Transformation einer lesbaren Nachricht (Klartext) in eine nicht
lesbare Nachricht (Geheimtext). Ein Geheimtext kann mit einer
entsprechenden Schlüsselinformation wieder in einen Klartext
transformiert werden.
Zertifikat
Öffentlicher Schlüssel, der von einer Zertifizierungsstelle
ausgestellt wird und den Inhaber eindeutig identifiziert.
Zertifizierungs-
stelle
Organisation, die für die Erstellung, Ausgabe und Verwaltung von
Zertifikaten und digitalen Signaturen zuständig ist. Auch
Certificate Authority oder Trust Center genannt.
Elektronische Zahlungssysteme
1
1
Einleitung
Elektronische Zahlungssysteme spielen heutzutage eine entscheidende Rolle. Neben
Flexibilität und Verfügbarkeit geben sie dem Kunden im B2C Bereich ein gewisses Maß an
Freiheit. Mit der freien Entscheidung, aus verschiedenen elektronischen Zahlungssystemen
wählen zu können, stellt sich nicht nur für Kunden, sondern auch für Händler die Frage nach
dem geeignetsten Zahlungssystem. Welches der elektronischen Zahlungssysteme ist aber das
sicherste und beste? Gibt es überhaupt ein bestes Zahlungssystem oder macht nur die richtige
Kombination verschiedener Zahlungssysteme das beste Zahlungssystem aus? Spielt es bei der
Auswahl des besten Zahlungssystems eine Rolle, ob der Händler seine Ware in einem
Geschäft mit Öffnungszeiten oder über das Internet verkauft?
Mittlerweile gibt es ein breites Spektrum an verschiedenen Zahlungssystemen. Einige können
sich durchsetzen, andere nicht. Warum ist dies so? Warum genießen einige Zahlungssysteme
weltweite Akzeptanz und andere verschwinden eine Woche nach der Einführung wieder?
Ziel dieser Arbeit ist es, herauszufinden, welche Anforderungen ein elektronisches
Zahlungssystem erfüllen muss, um weltweite Akzeptanz im B2C Bereich zu bekommen. In
diesem Rahmen werden klassische elektronische Zahlungssysteme vorgestellt, bewertet und
verglichen. Dabei wird auf rechtliche Grundlagen und die wirtschaftliche Bedeutung für
Händler und Kunden eingegangen. Die Bewertung erfolgt anhand vorher festgelegter
Kriterien, so dass sich Kunden, Händler und Portalbetreiber ein Bild von den verschiedenen
elektronischen Zahlungssystemen machen können. So kann jeder individuell nach seinen
Bedürfnissen entscheiden, welches das geeignetste Zahlungssystem für ihn ist.
Gang der Untersuchung:
Diese Arbeit besteht aus 6 Kapiteln, beginnend mit Kapitel 1, das die Zielsetzung und die
Motivation beschreibt. Anschließend erfolgt der Ablauf der Umsetzung.
Kapitel 2 erläutert die Grundlagen elektronischer Zahlungssysteme und deren Funktionen.
Des Weiteren werden die klassischen Zahlungssysteme, um die es in dieser Arbeit geht,
vorgestellt und erklärt.
Elektronische Zahlungssysteme
2
Kapitel 3 beschäftigt sich mit den Rechtsgrundlagen elektronischer Zahlungssysteme, wobei
hier besonderer Wert auf die entsprechenden Datenschutzrichtlinien gelegt wird. Zum Schluss
des Kapitels werden die einzelnen elektronischen Zahlungssysteme nach Bereichen aufgeteilt
und noch einmal im Hinblick auf die Rechtsgrundlagen analysiert.
Kapitel 4 befasst sich mit der wirtschaftlichen Bedeutung elektronischer Zahlungssysteme für
Händler und Kunden. Hierbei werden vor allem die Vor- und Nachteile für Händler und
Kunden behandelt.
Kapitel 5 betrachtet die Anforderungen an elektronische Zahlungssysteme. Hierfür werden die
elektronischen Zahlungssysteme, gegliedert nach Bereichen, in den einzelnen Anforderungen
bewertet. Nach der Bewertung erfolgen ein Vergleich aller genannten elektronischen
Zahlungssysteme und die Auswertung einer für diese Arbeit angefertigten Umfrage.
Kapitel 6 enthält eine kurze Zusammenfassung der Ergebnisse dieser Arbeit.
2
Technologie der Zahlungssysteme
In der heutigen Zeit gibt es viele verschiedene elektronische Zahlungssysteme, die in der
Regel auf unterschiedliche Techniken zurückgreifen. Allerdings haben alle elektronischen
Zahlungssysteme einen gemeinsamen Nenner, die Verschlüsselung. Um die Sicherheit von
elektronischen
Zahlungssystemen
gewährleisten
zu
können,
finden
verschiedene
Verschlüsselungsverfahren Anwendung. Neben den Verschlüsselungsverfahren ist die
Authentifizierung ein zweiter wichtiger Sicherheitsaspekt. Aus diesem Grunde werden im
Folgenden erst einige Verschlüsselungs- und Authentifizierungsverfahren erklärt und danach
die klassischen elektronischen Zahlungssysteme.
1
2.1
Verschlüsselungsverfahren
Eine Nachricht durchläuft im Internet viele Knotenpunkte, an denen sie problemlos
abgefangen, eingesehen und manipuliert werden kann. Um dies zu verhindern, sind
symmetrische und asymmetrische Verschlüsselungsverfahren entwickelt worden. Die
Nachrichten können zwar immer noch abgefangen, aber nicht mehr gelesen werden. Erst
1
Vgl. Weber 2002, S.8f.
Elektronische Zahlungssysteme
3
durch das Entschlüsseln einer Nachricht ist das Lesen wieder möglich. Ohne einen
entsprechenden Schlüssel ist dies allerdings nicht so ohne weiteres realisierbar. Eine 100%
Garantie, gegen unbefugtes Einsehen der Daten, gibt es bei Verschlüsselungsverfahren nicht,
da mit einer entsprechend hohen Rechenleistung und genügend Zeit jeder Schlüssel
entschlüsselt werden kann.
2
2.1.1 Symmetrische Verschlüsselungsverfahren
Die symmetrische Verschlüsselung benutzt einen Schlüssel für die Ver- und Entschlüsselung.
Dafür ist es wichtig, dass der Schlüssel im Vorfeld über ein sicheres Medium an den
Empfänger der Nachricht gesendet wird. Der Nachteil bei der symmetrischen Verschlüsselung
besteht darin, dass der Verwaltungsaufwand für die hohe Anzahl der Schlüssel recht hoch ist.
3
Abbildung 1: Symmetrische Verschlüsselung
Zwei der bekanntesten Verfahren, die auf der symmetrischen Verschlüsselung aufbauen, sind
der Data Encryption Standard, kurz (DES), und der International Data Encryption Algorithm,
kurz IDEA. Der Data Encryption Standard ist in den siebziger Jahren von IBM entwickelt
worden und verwendet eine 56 Bit Verschlüsselungstiefe. Mit einer Verschlüsselungstiefe
von 128 Bit ist der International Data Encryption Algorithm wesentlich sicherer als der Data
2
Vgl. Höft 2002, S. 11f.
3
Vgl. ebenda.
Elektronische Zahlungssysteme
4
Encryption Standard. Der International Data Encryption Algorithm ist von den Schweizern
Lay und Massey entwickelt und 1990 veröffentlicht worden. Das Patent für den International
Data Encryption Algorithm besitzt im europäischen Raum die Schweizer Firma Ascom.
4
2.1.2 Asymmetrische Verschlüsselungsverfahren
Die asymmetrische Verschlüsselung verwendet zwei Schlüssel einen privaten und einen
öffentlichen. Bei der asymmetrischen Verschlüsselung stellt der Händler seinen öffentlichen
Schlüssel den Kunden zur Verfügung. Diese können dann Nachrichten, mit Hilfe des
öffentlichen Schlüssels, verschlüsselt an den Händler übertragen. In diesem Fall ist nur der
Händler im Besitz des privaten Schlüssels, dementsprechend kann auch nur der Händler die
Nachrichten entschlüsseln.
5
Abbildung 2: Asymmetrische Verschlüsselung
Das am häufigsten verwendete asymmetrische Verschlüsselungsverfahren ist RSA. Es ist
1978 veröffentlicht worden und nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard
Adleman benannt. Da asymmetrische Verschlüsselungsverfahren eine hohe Rechenleistung
voraussetzen, werden oft hybride Verschlüsselungsverfahren eingesetzt.
6
4
Vgl. Lauert 1999, (17.02.2005)
5
Vgl. Lepschies 2000, S.14f.
6
Vgl. Lauert 1999, (17.02.2005)
Elektronische Zahlungssysteme
5
2.1.3 Hybride Verschlüsselungsverfahren
Bei den hybriden Verschlüsselungsverfahren werden die Vorteile von symmetrischer und
asymmetrischer Verschlüsselung genutzt. Die entsprechende Nachricht wird mit einem
zufällig generierten symmetrischen Schlüssel verschlüsselt. Dieser wird mit dem öffentlichen
Schlüssel des Empfängers asymmetrisch verschlüsselt. Die Nachricht und der verschlüsselte
Schlüssel werden dann zusammen an den Empfänger gesendet. Der Empfänger ist in der
Lage, mit seinem privaten Schlüssel den asymmetrisch verschlüsselten Schlüssel zu
entschlüsseln. Mit diesem entschlüsselten Schlüssel kann der Empfänger die Nachricht
entschlüsseln.
7
Abbildung 3: Hybride Verschlüsselungsverfahren
Pretty Good Privacy, kurz PGP, ist eines der bekanntesten Verfahren, welches auf der
hybriden Verschlüsselung aufsetzt. Pretty Good Privacy verwendet für das Verschlüsseln von
Nachrichten den International Data Encryption Algorithm und für den Schlüssel das RSA
Verfahren.
8
7
Vgl. Höft 2002, S. 12.
8
Vgl. Zöppig, (17.02.2005)
Elektronische Zahlungssysteme
6
2.1.4 RSA
Wie oben schon erwähnt ist RSA das am häufigsten verwendete asymmetrische
Verschlüsselungsverfahren, welches 1978 veröffentlicht worden und nach seinen Erfindern
Ron Rivest, Adi Shamir und Leonard Adleman benannt worden ist.
2.1.4.1 RSA- Algorithmus
RSA basiert auf der Faktorisierung von Primzahlen. Hierbei gilt für die natürlichen Zahlen m
n und k, wenn ein Produkt n von zwei verschiedenen Primzahlen p und q ist, die folgende
Gleichung:
m
k (p-1) (q-1)+1
mod n = m
Für die Erzeugung eines Schlüsselpaares mittels RSA werden demnach zwei möglichst große
Primzahlen p und q bestimmt. Aus diesen Primzahlen wird das Produkt n und die Zahl
(n) =
(p-1)(q-1) errechnet. Danach wird eine natürliche Zahl e, die teilerfremd zu
(n) ist, ermittelt.
Mit dieser natürlichen Zahl kann die Zahl d mit
e d = k(p-1)(q-1)
+1,
k
N
errechnet werden. Die Zahlen e und n bilden den öffentlichen Schlüssel und d bildet den
geheimen Schlüssel. Die Zahlen p, q und
(n) werden nicht mehr benötigt, sollten aber
ebenfalls nicht weitergegeben werden.
9
Am leichtesten lässt sich das RSA Verfahren an einem Beispiel verdeutlichen. Zur
Vereinfachung werden zwei sehr kleine Primzahlen p = 33 und q = 47 verwendet. Aus den
Primzahlen werden das Produkt n = 1.551 und die Zahl
(n) = 1.472 berechnet. Die
teilerfremde Zahl zu
(n) ist e = 3. Diese Zahlen können in die folgende Gleichung eingesetzt
werden:
e d = k(p-1) (q-1)+1
3 d = k(33-1) (47-1)+1
In diesem Beispiel ist die Ermittlung von d relativ einfach, da auf den ersten Blick ersichtlich
ist, dass bei k = 1 und demnach d = 491 die Gleichung ausgeglichen ist. Bei der Nutzung von
9
Vgl. Beutelspacher/ Schwenk/ Wolfenstetter 2004, S. 20.
Elektronische Zahlungssysteme
7
größeren Primzahlen werden geeignete mathematische Berechnungen, zum Beispiel der
erweiterte euklidische Algorithmus, für die Ermittlung von d verwendet.
Je größer die verwendeten Primzahlen bei RSA sind, umso schwieriger wird die
Entschlüsselung. Momentan werden bei RSA überwiegend Schlüssel mit einer Länge von
1024 Bit verwendet. Bis jetzt ist diese Schlüssellänge noch nicht entschlüsselt. Um zu
verdeutlichen, wie sicher RSA ist und um neue Erkenntnisse im Bereich der Verschlüsselung
und
Zahlentheorie
zu
erlangen,
hat
die
RSA
Security
Inc.
1991
die
Primfaktorzerlegungsaufgaben ins Leben gerufen. In jeder Aufgabe wird ein Schlüssel mit
einer entsprechenden Länge vorgegeben, der entschlüsselt werden soll. Die letzte
Primfaktorzerlegungsaufgabe RSA- 576 ist am 3. Dezember 2003 gelöst worden. Hierbei
handelt es sich um einen 576 Bit langen Schlüssel. Für die Entschlüsselung sind drei Monate
und über 100 Rechner benötigt worden. Weitere sieben Aufgaben von RSA- 640 bis RSA-
2048 können auf den Seiten der RSA Security Inc. nachgeschlagen werden. Erfolgreiche
Lösungen werden mit einem Honorar belohnt, im Falle von RSA- 2048 beträgt das Honorar
200.000 Dollar.
10
2.1.4.2 RSA- Verschlüsselung
Bei RSA wird die Blockchiffre verwendet. Dies bedeutet, dass der Klartext m in ganze Zahlen
umgewandelt werden muss. Hierfür wird der Klartext in Blöcke aufgeteilt, die dann als
Zahlen zwischen 0 und n-1 interpretiert werden.
11
Für die RSA- Verschlüsselung wird der öffentliche Schlüssel benötigt. Wie beschrieben wird
der öffentliche Schlüssel aus dem Produkt n und der Zahl e gebildet. Der öffentliche Schlüssel
in dem Beispiel ist (1.551,3). Mit diesem Schlüssel kann der Klartext m = 199 gemäß der
folgenden Gleichung verschlüsselt werden:
c = m
e
mod n
Asymmetrische Verschlüsselungsverfahren besitzen die Eigenschaft, dass die Zahl d nur
berechnet werden kann, wenn das Produkt n und die Zahl e bekannt sind.
12
10
Vgl. RSA Security 2004, (17.02.2005)
11
Vgl. Popall 1996/97, (18.02.2005)
Elektronische Zahlungssysteme
8
Für die Verschlüsselung wird m³ mod 1.551 berechnet.
199²
39.601 826 mod 1.551
199³
826 199 164.374 1.519 mod 1.551
Der Klartext m = 199 wird zu dem verschlüsselten Text c = 1.519.
Exkurs: Euklidischer Algorithmus
Die Berechnung im vorangegangenen Beispiel ist über den euklidischen Algorithmus erfolgt.
Über den euklidischen Algorithmus kann der größte gemeinsame Teiler (ggT) von zwei
Zahlen errechnet werden. Für die Berechnung gilt:
m > n, ist dies nicht der Fall, werden m und n getauscht
berechne Rest r = m n
ersetze m durch n und n durch r (m = n, n = r)
ist m 0 dann weiter mit Punkt 1
13
Im vorangegangenen Beispiel wird die Schleife nicht bis m = 0 durchlaufen, sondern endet
mit der Erreichung des Exponenten e.
2.1.4.3 RSA- Entschlüsselung
Für die Entschlüsselung wird der private Schlüssel d = 491 und das Produkt n = 1.551
benötigt. Mit Hilfe des privaten Schlüssels kann gemäß der folgenden Formel der Klartext
berechnet werden:
m = c
d
mod n
Die Berechnung kann analog zur Verschlüsselung mit m
491
mod 1551 erfolgen.
1519
491
1.519 mod 1.551
Womit der Klartext m = 1.519 wiederhergestellt ist.
12
Vgl. Beutelspacher/ Schwenk/ Wolfenstetter 2004, S. 20.
13
Vgl. RTC 2003, (18.02.2005)
Elektronische Zahlungssysteme
9
2.1.5 Public Key Infrastructure - PKI
Bei den vorher genannten Verschlüsselungsverfahren ist es wichtig, dass mit Hilfe der
entsprechenden Schlüssel eine Authentifizierung, Identifizierung, Vertraulichkeit und
Nichtabstreitbarkeit gegeben ist. Dies ist allerdings nur der Fall, wenn einer Person ein
bestimmter Schlüssel zugeordnet werden kann und nur diese Person Nachrichten mit diesem
Schlüssel erstellen kann. Um dies zu gewährleisten, ist es notwendig, unabhängige
Organisationen mit der Schlüsselüberwachung zu beauftragen. Dieses so genannte
Schlüsselmanagement, auch Public Key Infrastructure, kurz PKI genannt, hat die folgenden
Aufgaben:
14
Benutzerregistrierung
Zertifikaterstellung
Zertifikatverwaltung
Zertifikatzuordnung
Zertifikatbeglaubigung
Zertifikatausgabe
Pflege der Zertifizierungsverzeichnisse
Festlegung der Gültigkeit von Zertifikaten
15
Die Verwaltung von Schlüsseln erfolgt demnach über Zertifikate. Die Public Key
Infrastructure kann durch verschiedene Instanzen realisiert werden.
14
Vgl. Chief Information Office 2004, (27.02.2005)
15
Vgl. Rebstock/ Hildebrand 1999, S. 264.
Elektronische Zahlungssysteme
10
2.1.5.1 Zertifizierungsstellen
Zertifizierungsstellen sind staatliche, staatlich überwachte oder private Organisationen. Sie
werden Certificate Authority, kurz CA oder Trust Center genannt.
Abbildung 4: Public Key Infrastructure mit Zertifizierungsstellen
Für die Ausstellung eines Zertifikates identifiziert sich der Antragsteller bei einer
Zertifizierungsstelle. Nach erfolgreicher Identifikation wird der öffentliche Schlüssel des
Antragstellers an die Zertifizierungsstelle übertragen. Mit diesem öffentlichen Schlüssel des
Antragstellers und dem privaten Schlüssel der Zertifizierungsstelle wird das Zertifikat für den
Antragsteller gebildet. Jeder Empfänger dieses Zertifikates kann die Echtheit durch den
öffentlichen Schlüssel der Zertifizierungsstelle überprüfen.
16
16
Vgl. Höft 2002, S. 17.
Elektronische Zahlungssysteme
11
2.1.5.2 Kerberos
Das Kerberos Verfahren ist in den 80er Jahren am Massachusetts Institute of Technology,
kurz MIT, entwickelt worden. Dieses Verfahren ist nach dem Hund Kerberos, der in der
griechischen Mythologie die Unterwelt bewacht, benannt und liegt mittlerweile in der Version
5 vor.
17
Abbildung 5: Public Key Infrastructure mit Kerberos Server
Der Kerberos Server ist eine physikalische Maschine, auf der der Kerberos Dienst aktiviert
ist. Der Kerberos Server verteilt und verwaltet Sitzungsschlüssel. Für eine Kommunikation
muss eine Kommunikationsanfrage an den Kerberos Server gesendet werden. Daraufhin
erstellt der Kerberos Server einen Sitzungsschlüssel. Dieser Sitzungsschlüssel enthält einen
vom Server symmetrisch erstellten Kommunikationsschlüssel und das Kerberos Ticket. Das
Kerberos Ticket wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, so dass es
dem Absender nicht zugänglich ist. Der Sitzungsschlüssel selbst wird mit dem öffentlichen
17
Vgl. Merhof 2003, (18.02.2005)
Elektronische Zahlungssysteme
12
Schlüssel des Absenders verschlüsselt. Für eine erfolgreiche Kommunikation sendet der
Absender den Sitzungsschlüssel an den Empfänger.
18
Ein Sitzungsschlüssel ist immer nur für eine bestimmte Kommunikation gültig. Soll eine
Verbindung zu einem anderen Empfänger oder Dienst aufgebaut werden, muss für die
jeweilige Kommunikation ein weiterer Sitzungsschlüssel angefragt werden. Ein
Sitzungsschlüssel ist nicht für immer gültig, sondern nur für einen bestimmten Zeitraum, in
der Regel zehn Stunden. Der Kerberos Server muss über die höchsten Sicherheitsstandards
verfügen, damit eine sichere und authentische Kommunikation gewährleistet wird.
19
2.2
Authentifizierungsverfahren
Die Authentifizierung dient der eindeutigen Identifizierung aller Parteien. Ist dies nicht
gegeben, können zum Beispiel Kunden Verträge oder Händler Zahlungseingänge abstreiten.
Die Authentifizierung kann durch verschiedene Verfahren ausgeübt werden. Dies kann die
persönliche Unterschrift, eine Persönliche Identifikationsnummer, kurz PIN, biometrische
Verfahren oder eine Digitale Signatur sein.
20
Biometrische Verfahren basieren auf Fingerabdrücken oder Abbildern der Iris. Bei diesem
Verfahren werden bestimmte Merkmale eines Fingerabdrucks oder der Iris auf einer
Chipkarte gespeichert. Diese dienen der eindeutigen Identifizierung des Inhabers. Obwohl
biometrische Verfahren sicherer sind als zurzeit eingesetzte Authentifizierungsverfahren,
dürfen diese gemäß Paragraph 16 Absatz 2 Satz 3 der Signaturverordnung nur zusätzlich
verwendet werden. Das heißt, biometrische Verfahren können zum Beispiel die PIN nicht
ersetzen. Aufgrund hoher Anschaffungskosten ist der Einsatz biometrischer Verfahren im
B2C Bereich nicht rentabel, aus diesem Grunde wird auf dieses Verfahren nicht weiter
eingegangen.
21
18
Vgl. Höft 2002, S. 17.
19
Vgl. Wächter 1999, (18.02.2005)
20
Vgl. Weber 2002, S. 12ff.
21
Vgl. ebenda.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2005
- ISBN (eBook)
- 9783832487379
- ISBN (Paperback)
- 9783838687377
- DOI
- 10.3239/9783832487379
- Dateigröße
- 4 MB
- Sprache
- Deutsch
- Institution / Hochschule
- FOM Essen, Hochschule für Oekonomie & Management gemeinnützige GmbH, Hochschulleitung Essen früher Fachhochschule – Wirtschaftsinformatik
- Erscheinungsdatum
- 2005 (Mai)
- Note
- 2,3
- Schlagworte
- kreditkarte electronic cash geldkarte secure socket layer-ssl transaction
