4. Data processing center security

Die Rechenzentren der Banken sind nach den modernsten Sicherheitsrichtlinien abgesichert. Dieser Schutz ist besonders notwendig da im Rechenzentrum die Kundendaten gesammelt und verarbeitet werden.
Nachfolgend wollen wir Ihnen nun einige Sicherheitsmechanismen vorstellen die bei den meisten Banken für Sicherheit sorgen.

4.1. Firewalls

Firewalls sind eines der gängigsten Sicherheitskonzepte im Internet. Bei einer Firewall dürfen nur die vorgegebenen Wege (Protokolle) von den Datenpaketen benutzt werden. Eine Firewall verhindert somit, dass gefährliche Datenpakete, die dem System Schaden können, Zutritt erhalten. Gemäß den aktuellsten Sicherheitserkenntnissen verwenden viele Banken nicht nur eine Firewall sondern mehrere.

4.2. Zugriffskontrolle

Basierend auf dem Kundenlogin ermittelt der Server, welche Aktionen der Kunde durchführen darf. Dadurch können die Banken gewährleisten, dass nur der Kunde und das entsprechende Kreditinstitut dazu berechtigt sind, die Daten zu sehen und zu bearbeiten. Zugriffe werden entsprechend protokolliert.
Physikalischer Zugriff auf die Rechner ist durch strenge Richtlinien im Rechenzentrum geregelt.

4.3 Sichere Software

Auch bei der Erstellung der Software für dieses Service legen die Banken besonderes Augenmerk auf die Sicherheit. Für besonders sensible Programmteile werden Sicherheitsreviews durch Externe Prüfer durchgeführt.

4.4. Transaktionsnummern

Transaktionsnummern entsprechen einer elektronischen Unterschrift. Daher werden diese entsprechend vertraulich behandelt. Da nur der Kunde und der Bankserver diese TAN kennen, kann der Bankserver die eingegebene TAN Ihnen zuordnen und führt die beauftragte Aktion durch. Um die Sicherheit weiter zu erhöhen, kann der Kunde die TAN Liste sperren und eine neue bestellen.
Damit niemand durch Probieren die TAN erraten kann, darf man nur 4-mal eine falsche TAN eingeben. Danach wird das System gesperrt und man muss es bei dem jeweiligen Geldinstitut entsperren lassen.
Eine TAN ist eine Zufallszahl, die nicht vorhersagbar ist. Theoretisch ist ein TAN erratbar. Doch die meisten TANs sind 7 Stellen lang. Die Wahrscheinlichkeit, dass jemand eine TAN errät, ist daher 1/10.000.000. Wenn also jemand dies probieren würde und wir nehmen an, dass dieser Hacker pro TAN 1 Sekunde bräuchte, so würde dieser Test ca. 116 Tage benötigen. Dies geht aber sowieso nicht, da die Bank den Zugang nach dem 4. Versuch sperren würden.

4.5. TransAktionsCode

Ein Transaktionscode (TAC) ist ein frei wählbarer und jederzeit änderbarer Code. Er besteht aus 5 bis 10 alphanumerischen Zeichen. Der TAC darf nicht identisch mit dem (Verfüger-)Passwort sein. Der Transaktionscode ist wieder verwendbar und verliert seine Gültigkeit nicht (im Unterschied zu Transaktionsnummern), daher wird eine häufige Änderung empfohlen.

Man kann den TAC jedoch jederzeit ändern bzw. löschen und mit sofortiger Wirkung wieder die technisch sichereren TAN’s verwenden. Weiters ist der TAC nur für Zahlungsverkehrsfunktionen bis zu einem Tageslimit von EUR 1.000,-- gültig, darüber hinaus sind TAN’s zu verwenden.
Transaktionscodes entsprechen analog den TANs einer elektronischen Unterschrift. Daher werden diese entsprechend vertraulich behandelt. Damit niemand durch Probieren den TAC erraten kann, darf der Kunde auch hier nur 4-mal einen falschen TAC eingeben. Danach wird das System gesperrt.
Die Banken verweisen darauf, dass TAN-Transaktionen zwar aufwändiger, aber technisch sicherer als TAC-Transaktionen sind. Wählt der Kunde TAC-Transaktionen, trifft er daher zusätzlich die Obliegenheit, alle Buchungen und Transaktionen besonders häufig und sorgfältig auf ihre Richtigkeit zu überprüfen.


5. Analyse elektronischer Zahlungssysteme

Die Voraussetzung für die kommerzielle Nutzung des Internets sind geeignete Zahlungsmöglichkeiten. Für solche netzorientierten Zahlungssysteme gibt es derzeit viele kleine und große Anbieter und entsprechend unübersichtlich ist dieser Markt.
In diesem Abschnitt wollen wir eine Übersicht über die unterschiedlichen Zahlungsmöglichkeiten gewähren, so dass ein Vergleich gezogen werden kann. Hierzu werden wir die wichtigsten Zahlungssysteme beleuchten.

5.1. Kategorisierung

Die im Folgenden vorgestellten Zahlungssysteme basieren auf zum Teil grundverschiedenen Lösungsansätzen, so dass ein direkter Vergleich schwierig ist. Um diese übersichtlicher präsentieren zu können, nehmen wir daher eine Unterteilung in Kategorien vor.
Prinzipiell können zwei Klassen von Zahlungssystemen unterschieden werden:
   1. Kreditkartenzahlung
   2. Zahlungen über Kundenkonten

5.2. Kreditkartenzahlung

Die einfachste und naheliegenste Zahlungsweise über das Internet ist die direkte Verwendung bestehender Zahlungssysteme. Hierbei ändert sich das Medium, über welches der Kunde seine Transaktionsinformationen dem Händler übermittelt. Alle weiteren Transaktionsschritte werden auf herkömmlichen Wegen abgewickelt. Das Internet hat also lediglich eine einleitende Funktion. In dieser Kategorie werden alle Arten der direkten Zahlungen per Kreditkarte und die meisten Abwandlungen davon betrachtet.
Eine einfache Möglichkeit, um Zahlungen im Internet zu tätigen, ist die Übertragung der Kreditkarteninformationen des Kunden. Der Händler kann dann über sein normales Vertragsverhältnis zu dem entsprechenden Karteninstitut abrechnen. Durch die weltweite Verbreitung der Kreditkarten werden somit auch internationale Zahlungen ohne Probleme möglich.

Für die Übertragung von vertraulichen Daten, wie Kreditkarteninformationen, wurden sichere Übertragungsprotokolle entwickelt. Aufgrund von Exportbestimmungen dürfen solche allgemein verwendbaren Kryptoprodukte aber nicht beliebig sicher sein, so dass verschlüsselte Nachrichten von staatlichen Stellen mit begrenzten Aufwand dechiffriert werden können.

Nur wenn garantiert wird, dass ein System ausschließlich zur Verschlüsselung von Finanztransaktionen eingesetzt werden kann, darf, bspw. aus den USA, extrem starke Kryptotechnik eingesetzt werden. VISA und MasterCard entwickeln einen sicheren Zahlungsstandard (SET = Secure Electronic Transaction) speziell für Kreditkartenzahlung über unsichere Netzwerke, der diese Bedingung erfüllen soll. Der Standard legt nicht nur die Bezahlung fest, sondern den gesamten Kaufvorgang inklusive Bestellung und Quittung.

Während Protokolle und Standards nur eine Grundlage für Kreditkartenzahlung schaffen, gibt es auch komplette Zahlungskonzepte mit fertiger Software für Banken, Händler und Kunden, wie dies beispielsweise von CyberCash angeboten wird. Es
ermöglicht die Bezahlung sowohl mit Kreditkarten, als auch mit digitalem Bargeld und digitalen Schecks.

Die hier vorgestellten Verfahren nutzen die vorhandenen Infrastrukturen der Kreditkarteninstitute. Die Abrechnung zwischen den Kartenunternehmen und den Banken erfolgt unverändert und für den Kunden entstehen keine direkten Mehrkosten. Bei Zahlungen per Kreditkarte bezahlt der Kunde nur die jährliche entstehenden Gebühren, sowie den Internet-Anschluss. Der Händler muss eine Umsatzprovision an die Kreditkartenunternehmer zahlen und abgesehen von neuer Software keine Inversionen tätigen. Kreditkartenunternehmer verlangen zwar keine Mindestgebühr pro Transaktion, aber dennoch entstehen dem Händler durch Buchung, Verwaltung und Kommunikation Fixkosten, welche einen Mindestbetrag für Kreditkartenzahlungen sinnvoll machen. Kreditkartenzahlungen eigenen sich daher nicht für kleine Beträge. Dies ist ein bedeutender Nachteil der Kreditkartenzahlung im Internet.

5.3. Zahlungen über Kundenkonten

Eine weitere Möglichkeit, um Zahlungen über das Internet zu realisieren, ist das Führen von Kundenkonten durch eine vermittelnde dritte Partei (Vermittler). Der Kunde wählt sich in das Einkaufssystem ein, authentifiziert sich z.B. durch Passwort und kann dann beliebig einkaufen. Die Zahlungsbeträge werden auf seinem Kundenkonto akkumuliert und regelmäßig von seinem Bankkonto abgebucht. Diese Zahlungsart gibt dem Vermittler einen großen Freiraum, da er keine gesetzlichen Zahlungsmittel benutzt und somit auch nicht die Anforderungen an solche erfüllen muss. Kunde und Händler gehen bei diesem Zahlungssystem ein festes Vertragsverhältnis mit dem Vermittler ein. Entscheidend bei solchen Systemen ist, dass der Kunde sich nur bei der vermittelnden Partei authentisieren muss, so dass dieser Schritt bei verschiedenen Einkäufen bei den Händlern entfallen muss. Online-Dienste, wie z.B. CompuServe oder AOL fallen ebenso in diese Kategorie wie Internet-Marktplätze.
Bei Zahlungen über Kundenkonten tritt eine dritte Partei auf (Systembetreiber), die ein Konto des Kunden führt und Bestellungen bzw. Zahlungen mit dem Händler

abwickelt. Der Systembetreiber hat damit ein festes Vertragsverhältnis zu Kunden und Händlern.
Auf Kundenkonten basierende Zahlungssysteme erlauben eine größere Funktionalität als andere Zahlungssysteme. Ein wesentlicher Vorteil ist die Möglichkeit, mehrere Transaktionen auf Seiten des Systembetreibers zu sammeln und regelmäßig mit dem Kunden abzurechnen. Damit fallen bei einer einzigen Transaktion fast keine Kosten (Kommunikation, Prüfung, Buchung) mehr an, und es können auch sehr kleine Beträge wirtschaftlich abgerechnet werden (Mikrozahlungen). Darüber hinaus haben Kunden die Möglichkeit, Zahlungen von anderen Kunden für bestimmte Waren oder Dienstleistungen zu akzeptieren (Kleinhändler). Damit könnte beispielsweise ein virtueller Flohmarkt realisiert werden, der keine besonderen Vorbedingungen an die Verkäufer stellt.
Kundenkonten werden z.B. von Online-Diensten mit proprietären Netzen, wie CompuServe oder AOL, geführt. Daneben gibt es zahlreiche ähnliche Systeme, die ihre Leistungen in virtuell geschlossenen Systemen im Internet anbieten (geschlossene elektronische Marktplätze). Zahlungssysteme über Kundenkonten werden aber auch ohne zugehörige Marktplätze angeboten – als Marktplatz fungiert hierbei das gesamte Internet. Solche Systeme setzen aber umfassender Konzepte voraus.


6. Systemeigenschaften eines elektronischen Zahlungssystems

Es gibt prinzipielle Eigenschaften eines Zahlungssystems, die unbedingt von dessen Umsetzung sind. Diese Eigenschaften eigenen sich, um die Zahlungssysteme einzuordnen und vergleichend gegenüberzustellen.

6.1. Sicherheit

Zahlungssysteme müssen ausreichenden Schutz vor Angriffen in unsicheren Kommunikationsnetzen wie im Internet bieten und jeden Missbrauch ausschließen. In der Regel wird diese Sicherheit durch Datenverschlüsselungen erreicht. Auch andere

Verfahren können ausreichende Sicherheit bieten (bspw. nur einmal gültige Transaktionsnummern)

6.2. Skalierbarkeit

Zahlungssysteme, die im begrenzten Nutzerkreis hervorragend funktionieren, können ab einer gewissen “Teilnehmerzahl” an technische Grenzen stoßen, so dass sie nicht beliebig einsetzbar sind. Ein Internet-Zahlungssystem sollte daher so konzipiert sein, dass es skaliert, d.h. problemlos erweitert werden kann, um beliebig viele Teilnehmer zu bedienen.

6.3. Mikrozahlungen

Es wird erwartet, dass elektronische Zahlungen gerade im Bereich sehr kleiner Beträge große Bedeutung erlangen. Nicht jedes Zahlungssystem kann kleine Beträge wirtschaftlich abrechnen, da zum Teil hohe Fixkosten entstehen.

6.4. Bedienbarkeit

Ein Zahlungssystem muss für den Benutzer verständlich und transparent sein. Die Bedienung muss einfach und die Einleitung eine Zahlungsvorgangs offensichtlich sein.

6.5. Anonymität

Die anonyme Abwicklung von elektronischen Zahlungen ist in manchen Situationen wünschenswert. Ein Händler hat immer die (technische) Möglichkeit, ein Kundenprofil zu erstellen, aber es sollte sichergestellt sein, dass keine Partei ein übergreifendes Benutzerprofil anlegen kann (Bank oder Vermittler).


7. Literaturhinweise und Quellverzeichnisse

*Digital Cash - Zahlungssysteme im Internet, Rolf Schuster, Johannes Färber, Markus Eberl

*Digital Cash – Commerce on the Net, Peter Wayner

*CyberCash: www.cybercash.com

*diverse Unterlagen und Broschüren der Salzburger Sparkasse (Mehr Zeit für Freizeit: Netbanking, E-Banking, etc,...)