1. Einleitung

Das Internet und insbesondere dessen kommerzielle Nutzung haben, wie wir wissen, enormen Einfluss auf das private und öffentliche Leben. Eine entscheidende Rolle bei dieser kommerziellen Weiterentwicklung spielen vor allem elektronische Zahlungssysteme, welche die Bezahlung von Waren und Dienstleistungen über das globale Internet ermöglichen.

Das Internet hat sich bereits zu einem zentralen Kommunikationsmedium entwickelt. Gerade im Bereich Einkauf von Waren und Dienstleistungen nimmt es einen enorm hohen Stellenwert ein und ist für diese Art von Handel kaum mehr wegzudenken. Dabei stellt sich die Frage: Wie kann man im globalen, unsicheren Internet eigentlich sicher bezahlen?

Der Zahlungsverkehr im Internet ist ein zentrales, derzeit noch nicht vollständig gelöstes Problem. Hier treffen ganz unterschiedliche Fachgebiete, wie Computertechnik, Kreditwirtschaft, Politik, Recht und Kryptographie aufeinander, und es entsteht ein unübersichtlicher Bereich mit einer Vielzahl von Anforderungen, Möglichkeiten und Randbedingungen. Daneben existieren bereits zahlreiche Zahlungssysteme mit ganz unterschiedlichen Grundkonzepten und Einsatzbereichen.

Wir wollen in dieser Ausarbeitung einen Einblick über Zahlungssysteme im Internet und deren Systemeigenschaften geben.


2. Sicherheit

Unter Sicherheit versteht man die bestmögliche Absicherung von e-Banking vor unbefugtem Lesen und vor unbefugter Benutzung der Daten.
Folgende Sicherheitsstandards können von den e-Banking-Kunden überprüft werden.

2.1. Browserversionen

Man sollte immer aktuelle Browserversionen einsetzen. Je weiter sich das Internet entwickelt, desto weiter sind auch die Browser entwickelt. Diese Weiterentwicklung passiert auch im Sicherheitsbereich. Man kann daher sagen, dass, je neuer der Browser ist, desto mehr wurde auf Sicherheit Wert gelegt, da bekannte Probleme früherer Versionen beachtet wurden.

Bei moderner Software ist es aufgrund der Komplexität leider üblich, dass sich immer wieder Fehler einschleichen. Man sollte darauf achten, dass in dem Browser und in dem Betriebssystem alle bekannten Probleme behoben sind. Dies erreicht man dadurch, dass man die regelmäßig erscheinenden Software Updates (Service Packs und Patches) einspielt.

2.2. Sichere Verwahrung der Identifikationsmerkmale

Damit die Geldinstitute gewährleisten können, dass nur der entsprechende Kunde das Konto einsehen und Transaktionen durchführen kann, muss er sich gegenüber dem Bankrechner authentifizieren. Diese Authentifikation erfolgt mittels einer Verfügernummer, eines Passwortes.
Die Bestätigung einer Transaktion erfolgt mit einer Transaktionsnummer (TAN) bzw. eines alternativen Transaktionscodes (TAC). Daher werden diese entsprechend vertraulich behandelt und auch der Kunde ist verpflichtet, dafür zu sorgen, dass die persönlichen Identifikationsmerkmale geheim gehalten und nicht an dritte Personen weitergegeben werden.

2.3. Verwendung sicherer Passwörter

Ein nicht unerheblicher Teil der Sicherheit beruht auf den Passwörtern. Die Banken verwenden einige besondere Schutzmechanismen für Passwort, doch können Sie wenig tun, wenn das Passwort schlecht gewählt ist.
Hierzu gibt es mehrere Vorgehensweisen ein Passwort zu erraten. Neben Listen gängiger Passwörter führt ein Passwort aus dem sozialen Umfeld sehr häufig zum Ziel. Leider verwendet man häufig leicht merkbare Passwörter die mit der Familie (Namen, Geburtsdaten), Urlaubsdestinationen, Sportvereinen, etc. zu tun haben.
Der Tipp ist, dass das Passwort mit Bedacht und lang genug (empfohlene Untergrenze: 7 Stellen) gewählt wird.

2.4. Regelmäßige Änderung der Passwörter

Nachdem man ein gutes Passwort gewählt hat, sollte man daran denken dieses auch einmal zu ändern. Natürlich nicht so häufig, dass man das Passwort wiederum notieren muss!

2.5. Verwendung von Virenschutzprogrammen

Besonders Systeme von Heimanwendern sind anfällig für Virenattacken. Zur eigenen Sicherheit, und nicht nur für e-Banking, sollte jeder PC-Besitzer einen Virenschutz am Rechner installiert haben.

2.6. Verwendung einer Personal Firewall

Besonders für Kunden mit einen eigenen Breitbandanschluss (ADSL, Kabel) ist die Verwendung einer Personal Firewall empfehlenswert. Sie kann den Rechner im Internet für ungewünschte Verbindungen „verstecken“.

2.7. Prüfung des Zertifikats

Die Prüfung des Zertifikats kann wie folgt durchgeführt werden: Man klickt auf das Symbol mit dem geschlossenen Schloss auf der unteren Leiste des Browsers und prüft ob das Zertifikat von dem von der Bank empfohlenen Zertifizierungsdienstanbieter ausgestellt ist und die Verschlüsselungsstärke dem entsprechenden Wert beträgt.


3. Schutz während der Übertragung

Damit die Daten zu dem jeweiligen Geldinstitut kommen, werden Sie über das Internet übertragen. Um zu verhindern, dass jemand unberechtigterweise die Daten liest oder Transaktionen ausführt, haben die Banken einige Sicherheitsmechanismen eingeführt, die dies wirksam verhindern sollen.
Im folgenden Teil der Arbeit finden Sie die gängigsten Sicherheitsprodukte, die von den meisten Banken verwendet werden.

3.1. SSL – Secure Socket Layer

Um Daten vor unbefugtem Lesen zu schützen, verschlüsseln die Banken diese, bevor sie sie zur Übertragung freigeben. Dazu verwenden die meisten Banken das Secure Socket Layer Protokoll 3.0 (SSL) von Netscape mit der maximalen Verschlüsselungsstärke. Man kann im Browser anhand eines eingeblendeten geschlossenen Schlosssymbols erkennen, dass dieser auf SSL umgeschaltet hat.

Die Stärke eines Algorithmus wird durch die Anzahl der verwendeten Bits angegeben. Die Anzahl der Bits gibt die Schlüssellänge an. Bei 128 Bit SSL gibt es 2 hoch 128 (= rd. 340.282.366.920.900.000.000.000.000.000.000.000.000) mögliche Schlüssel. Dies ist nach heutigem Ermessen nicht knackbar und wird es auch die nächsten Jahre bleiben.

3.2. Authentifizierung

Damit die Bank gewährleisten kann, dass nur der jeweilige Kunde die Daten einsieht und Transaktionen durchführt, muss der Kunde sich gegenüber dem e-Banking Server authentifizieren. Diese Authentifikation erfolgt mittels der Identifikationsmerkmale.
Da die Banken das Passwort für besonders sensibel halten, lassen ihm viele Banken, mit einer zusätzlichen Verschlüsselung zu SSL, einen besonderen Schutz zukommen. Zu diesem Zweck verwenden diese Banken eine nicht rückrechenbare Verschlüsselungsfunktion, die das Passwort verschlüsselt und unleserlich macht. Zu diesem Zweck wird, ein Java-Applet geladen, das diese Verschlüsselung durchführen kann. Nur ein verschlüsseltes Passwort wird somit an den Server übertragen. Dadurch wird auch gewährleistet, dass kein Mitarbeiter der Bank das Passwort jemals unverschlüsselt zu sehen bekommt, da es ja auch nur verschlüsselt bei der Bank gespeichert wird.
Damit die Identifikationsmerkmale der Kunden nicht durch Erraten herausgefunden werden können, lassen die Geldinstitute nur eine bestimmte Anzahl von Falscheingaben zu.

3.3. Sessionhandling

Wenn der Kunde sich zu e-Banking mittels Passwort anmeldet, so generiert der Server eine so genannte Session. Diese Session kapselt alle Transaktionen in einen sicheren Rahmen. Es wird dadurch gewährleistet, dass nur der Kunde die Daten lesen kann.


[2. Teil]