Das Internet und insbesondere dessen kommerzielle Nutzung werden großen Einfluß auf das private und öffentliche Leben haben. Eine entscheidende Rolle bei der kommerziellen Weiterentwicklung haben elektronische Zahlungssysteme, die die Bezahlung von Waren und Dienstleistungen über das globale Internet ermöglichen.
Das Internet entwickelt sich zu einem zentralen Kommunikationsmedium, das wir in Zukunft genauso selbstverständlich nutzen werden wie heute Telefon und FAX. Gerade im Bereich Einkauf von Waren und Dienstleistungen spielt das Internet eine wichtige Rolle. Dabei stellt sich die Frage: Wie kann man im globalen, unsicheren Internet eigentlich bezahlen?
Der Zahlungsverkehr im Internet ist ein zentrales, derzeit noch nicht vollständig gelöstes Problem. Hier treffen ganz unterschiedliche Fachgebiete, wie Computertechnik, Kreditwirtschaft, Politik, Recht und Kryptographie aufeinander, und es entsteht ein unübersichtlicher Bereich mit einer Vielzahl von Anforderungen, Möglichkeiten und Randbedingungen. Daneben existieren bereits zahlreiche Zahlungssysteme mit ganz unterschiedlichen Grundkonzepten und Einsatzbereichen.
Wir wollen in dieser Ausarbeitung einen Einblick über Zahlungssysteme im Internet, deren Systemeigenschaften und Marktchancen geben.
Wir werden zwei Gruppen näher betrachten, den Internetbetreiber und die verfügbaren Zahlungssysteme, sowie den Internetsurfer und was mit seinem Geld passiert.
Rechner, die die Verbindungsstellen zwischen verschiedenen netzen bilden, werden als Knotenrechner bezeichnet. Ihre Aufgabe besteht darin, die verschiedenen Datenpakete in die richtige Richtung weiterzuleiten.
Das Problem besteht nun darin, das an einem solchen Kontenrechner die Daten "elektronisch" abgehört werden können. Dazu dienen einfache Programme, die den durchlaufenden Datenstrom nach bestimmten Mustern durchsuchen und interessante Daten speichern bzw. weiterverarbeiten.
Dabei muß ein Abhörer nicht unbedingt direkten Zugang zu einem der Knotenrechner haben. Geschickte Hacker können auch von anderen Rechnern im Netz Programme auf Knotenrechner laden und diese dort ausführen. Auf solche Art und Weise können Unbefugte in den Besitz von Kreditkartennummern, Paßwörtern und PIN´s kommen.
Die Entwicklung des Netzes geht derzeit in eine kommerzielle Richtung, die Rede ist hierbei von einem "Electronic Commerce". Dieser Begriff bezeichnet das Kaufen und Wiederverkaufen von Produkten, Informationen und Dienstleistungen über elektronische Netzte.
Die Idee, Geschäfte über das Internet abzuwickeln, ist erst in den letzten Jahren mit dem Boom des WWW entstanden. So ist etwa Einkaufen im Internet mit folgendem Bild zu vergleichen:
Jemand geht auf einen Markt, um Birnen zu kaufen. Dazu stellt er sich irgendwo hin und fragt laut nach den Preis für Birnen . Von überall her kommen Antworten in <Form eines Händlers und des Birnenpreises. Der Käufer entscheidet sich für einen bestimmten Händler bzw. Verkäufer, ruft ihm seine Kreditkartennummer zu und erhält seine Birnen zugeworfen.
Ohne Sicherheitsmaßnahmen jedoch würde ein Chaos entstehen. Weder Kunde noch Händler haben über den jeweils anderen irgendwelche gesicherten Informationen. Im Prinzip kann sich jeder als jemand anders ausgeben. Zusätzlich könnten die Daten von Dritten abgefangen, gelesen oder verändert werden.
Die Aufgabe des Zahlungssystems besteht nun darin einen möglichst sicheren Kaufvorgang im Internet zu gewährleisten..
Allgemein betrachtet gibt es fünf Schritte für den Kaufvorgang zwischen Händler und Käufer. Diese Schritte sind:
Angebot des Händlers an alle gerichtet
Kaufinteresse des Käufers für ein bestimmtes Produkt
Preisnennung des Händlers
Zahlung von Käufer an Händler
Übergabe der Ware von Händler an Kunde
Für den Electronic Commerce werden die fünf Schritte auf das Internet übertragen.
Der Händler bietet seine Waren über einen WWW-Server an. Die WWW-Seiten geben neben einer genauen Produktbeschreibung eine Liste der möglichen Zahlungsarten an. Jeder Internetbenutzer (potentieller Kunde), der diese Seite aufruft, erhält die gleiche Information.
Der Kunde schickt dem Händler Informationen über das gewählte Produkt und die Zahlungsart.
Der Händler sendet den zu zahlenden Preis und die jeweilige Währung.
Der Kunde antwortet mit der gleichen Preis und Währungsangabe sowie einem sogenannten Zahlungsobjekt. Das Zahlungsobjekt kann von unterschiedlichen Herausgebern (Banken) stammen und ganz verschiedene Ausprägungen haben. Es kann entweder eine bestimmten Geldwert repräsentieren (anonymes, digitales Bargeld) oder Informationen zum Bankkonto des Kunden enthalten (Einzugsermächtigung).
Nach dem Erhalt der Zahlung stellt der Händler eine digitale Quittung über den gezahlten Betrag aus und sendet diese zusammen mit der gewünschten Ware an den Kunden.
Sowohl der Händler als auch der Kunde laufen Gefahr, beim Einkaufsvorgang betrogen zu werden.
Aufgrund der beschriebenen Schwierigkeiten und angetriebenen von der Aussicht, in einigen Jahren mit Millionen von potentiellen Käufern direkt kommunizieren zu können, entwickelten einige Firmen Systeme, mit denen Bezahlen im Internet auf eine sichere Art und Weise möglich wird. Dabei werden auch Allianzen gegründet, mit dem Ziel einheitliche Standards zu etablieren.
Ein gutes Zahlungssystem muß verschiedene Anforderungen erfüllen. So muß es resistent gegenüber Manipulationsversuchen sein; gleichzeitig dürfen die Kosten pro Transaktion, um diese Sicherheit zu erreichen, nur gering sein. Manchmal wünscht der Käufer, seine Einkäufe anonym zu tätigen, wie es etwa mit Bargeld möglich ist. Diese Anforderung läßt sich wiederum nur schwer mit dem Wunsch nach einer besonderen sicheren Bezahlungsmöglichkeit verbinden. Auch sollten Transaktionen in beliebiger Höhe, von 1/10 Pfennig bis zu tausend Mark ökonomisch durchführbar sein. Weiter müssen Zahlungssysteme, um akzeptiert zu werden, von allen Beteiligten einfach zu bedienen sein.
Jedoch stehen einiger dieser Anforderungen rechtliche und technische Hürden im Weg.
Eine wesentliche Anforderung an ein Zahlungssystem im Internet ist die Sicherheit. Sie umfaßt mehrere Aspekte:
Übertragene Daten sollen nicht eingesehen werden. Dazu werden die Daten verschlüsselt
Übertragene Daten sollen nicht verändert werden. Dazu werden Sie mit einem elektronischen Fingerabdruck versehen.
Die Herkunft der Daten muß bekannt sein. Dazu werden sie authentifiziert.
Die Kryptographie stellt Methoden und Algorithmen zur Verfügung, um die geforderte Sicherheit zu erreichen, die aber nicht absolut sein kann.
Grundsätzlich gilt: Wenn die Kosten, um an ein Geheimnis zu kommen, größer sind als dessen Wert, dann kann es als sicher bezeichnet werden.
Um das Manipulieren und das Abhören von Nachrichten zu verhindern, werden diese mit geeigneten Verfahren verschlüsselt. Der Empfänger kann die so behandelten Nachrichten mit einem ihm bekannten Schlüssel entschlüsseln und lesen. Falls eine verschlüsselte Nachricht nun abgehört wird, ist sie für den Angreifer wertlos, da er sie ohne Kenntnis des Schlüssels nicht oder nur mit einem sehr großen Aufwand auswerten kann.
Man unterscheidet zwischen symmetrischen und asymmetrischen Verfahren zur Nachrichtenverschlüsselung.
Abbildung 2: Zahlungsverkehr im Internet ohne Sicherheitsmaßnahmen
Bei diesem Verfahren wird ein Nachricht mit dem gleichen Schlüssel ver- und entschlüsselt, d.h. Sender und Empfänger müssen denselben Schlüssel kennen.
Der Schlüssel muß vor jedem Nachrichtenaustausch auf sicheren Weg zwischen den Kommunikationspartnern ausgetauscht werden.
Dieses Verfahren ist sehr eine sehr praktikable Lösung, jedoch für Händler-Kunden-Beziehungen zu aufwendig.
Abbildung 3: Nachrichtenübertragung bei symmetrischer Verschlüsselung
Bei diesem Verfahren werden Schlüsselpaare verwendet. Dabei wird die Nachricht mit einem Schlüssel verschlüsselt und kann nur mit dem zugehörigen zweiten Schlüssel entschlüsselt werden. Sender und Empfänger einer verschlüsselten Nachricht verwenden also verschiedene (aber zusammengehörige) Schlüssel.
Eines dieser Verfahren ist das "Public-Key-Verfahren", bei dem einer der beiden Schlüssel veröffentlicht wird, der andere bleibt geheim. Möchte also A an Beine Nachricht verschlüsselt senden, benutz er den öffentlichen Schlüssel von B und kodiert damit die Nachricht. Das Ergebnis wird dann an B übertragen. Dieser benutzt seinen geheimen Schlüssel, um die Nachricht wieder im Klartext zu erhalten.
Gegenüber den symmetrischen Verfahren muß hier kein Schlüsselaustausch stattfinden.
Abbildung 4: Nachrichtenübertragung bei asymmetrischer Verschlüsselung
Diese Form nennt man Hybride Verfahren. Die Nachricht wird mit einem symmetrischen Schlüssel (Sitzungsschlüssel) kodiert, der nur für diese eine Übertragung erzeugt und benutzt wird. Der Sitzungsschlüssel wird dann mit dem öffentlichen Schlüssel des Empfängers eines asymmetrischen Verfahren kodiert. Die chiffrierte Nachricht und der chiffrierte Sitzungsschlüssel werden nun an den Empfänger gesandt. Dieser kann mit seinem privaten Schlüssel den Sitzungsschlüssel - und mit diesem dann die Nachricht - dekodieren.
Durch diese Kombination wird die einfache Handhabbarkeit der asymmetrischen Verfahren mit der hohen Verarbeitungsgeschwindigkeit der symmetrischen verbunden.
Abbildung 5: Hybride Verfahren
Eine digitale Signatur (elektronische Unterschrift) wird zur Feststellung der Echtheit von elektronische übermittelten Nachrichten verwendet. Sie ist das elektronische Aquivalent zur handschriftlichen Unterschrift und soll für elektronische Dokument deren Aufgabe übernehmen. Durch Überprüfung der digitalen Signatur läßt sich feststellen, ob die zugehörige Nachricht verändert wurde.
Eine digitale Signatur hat die Eigenschaft, daß sie nur von einer einzigen Person korrekt erzeugt werden kann.
Hierfür eignen sich die oben beschriebenen asymmetrischen Verschlüsselungsverfahren. Es wird allerdings nicht das gesamte zu unterzeichnende Dokument verschlüsselt, da dies zu langen Rechenzeiten führen würde. Satt dessen wird aus dem Dokument ein kryptografischer "Fingerabdruck" (oder Message Authentication Code, MAG; manchmal auch Message Digest, MD) berechnet, der verschlüsselt dem Dokument beigefügt wird. Die Berechnung des Fingerabdrucks erfolgt mit der Einweg-Hash-Funktion.
Bezahlungen über Kreditkarten ist im Internet die häufigste Zahlungsmethode. Der SET Standard für Zahlungssysteme nimmt dabei einen wichtigen Platz ein. Aus diesem Grund wird hier auf die Dual Signature eingegangen, die bei SET zum Einsatz kommt.
Bei Zahlungen nach SET werden mit der Bestellung auch verschlüsselte Kreditkarteninformationen an den Händler übertragen, die dieser nicht lesen kann und überprüft an seine Bank weiterleitet. Um den Händler trotz der unsichtbaren Zahlungsweise Sicherheit zu geben und den Kunden vor Mißbrauch zu schützen, verwendet SET hier eine besondere Art der Signatur, DUAL SIGNATURE. Damit wird erreicht, daß Bestellung und Zahlungsanweisung eindeutig einander zuzuordnen sind. ohne daß der Händler die Zahlungsanweisung bzw. die Bank die Bestellung einsehen kann.
Die Dual Signature erlaubt es, zwei getrennte Nachrichten mit einer gemeinsamen Unterschrift so zu verbinden, daß sie nicht aus dem Zusammenhang gerissen und mißbraucht werden können. Beide Nachrichten können aber getrennt versendet und durch ihre "Doppelunterschrift" verifiziert werden.
Während bei normalen Unterschriften der Fingerabdruck einer Nachricht (message digest) verschlüsselt wird, werden bei Dual Signature von beiden Nachrichten solche Fingerabdrücke erstellt und aneinander gehängt.
Mit Challenge Response werden Verfahren bezeichnet, die eine Authentifizierung ohne Informationspreisgabe erlauben (auch Zero Knowledge Proof genannt). Damit wird verhindert, daß ein Angriff durch Abhören und Auswertung oder einfaches Wiederholen des Abgehörten Erfolg hat.
Eine solche Authentifizierung wird mittels einer Frage und einer Antwort (challenge und response) realisiert. Die eine Partei sendet eine zufällige Zahle und erhält eine von der Gegenstelle, mit Hilfe des gemeinsamen Schlüssele berechnete, Antwortzahl. Stimmt diese überein, ist die Gegenstelle im Besitz des geheimen Schlüssels und damit authentisch.
Dieses Verfahren wird vor allen bei Chipkarten verwendet, die sich gegenüber den Kartenlesegeräten verifizieren müssen.
Bei manchen Zahlungsmitteln besteht der Bedarf nach Anonymität. Dagegen steht aber die Notwendigkeit, jede einzelne elektronische Zahlungseinheit identifizieren zu können, um Nißbrauch zu vermeiden. Da in der Praxis eine solche identifizierbare Zahlungseinheit nach jeder Transaktion eingereicht und verifiziert wird, hat die ausgegeben Bank, die Möglichkeit detaillierte Kundenprofile zu erstellen.
Für ein Verfahren, dem blinding, daß diesen scheinbaren Widerspruch zu lösen scheint sein ein Beispiel gegeben:
Will ein Benutzer (Freddy) eine elektronische Münze von seinem Konto abheben, generiert er selbst die gewünscht Münze mit einer zufälligen Seriennummer und verrechnet diese mit einem bestimmten Faktor (blinding factor), Freddy reicht nun die Münze mit der verfremdeten Seriennummer bei seiner Bank ein, welche die Münze mit der gewünschten Unterschrift versieht, ohne aber die ursprüngliche Seriennummer lesen und aufzeichnen zu können. Nachdem Freddy´s Kontostand angeglichen worden ist, sendet ihm die Bank die Münze zurück. Freddy kann aus dieser Münze nun den obigen Faktor wieder herausziehen, daß die Unterschrift der Bank gültig bleibt. Damit besitzt er nun eine anonymisierte digitale Geldmünze, die nach dem Erreichen durch einen Händler, nicht mehr mit ihm in Verbindung gebracht werden kann.
Das Hauptproblem bei diesem verfahren ist die Archivierung sämtlicher eingereichter Münzen, um mehrmaliges Einreichen erkennen und ablehnen zu können.
Die Voraussetzung für die kommerzielle Nutzung des Internets sind geeignete Zahlungsmöglichkeiten. Für solche netzorientierten Zahlungssysteme gibt es derzeit viele kleine und große Anbieter und entsprechend unübersichtlich ist dieser Markt.
In diesem Abschnitt wollen wir eine Übersicht über die unterschiedlichen Zahlungsmöglichkeiten gewähren, so daß ein Vergleich gezogen werden kann. Hierzu werden wir die wichtigsten Zahlungssysteme beleuchten.
Die im folgenden vorgestellten Zahlungssysteme basieren auf zum Teil grundverschiedenen Lösungsansätzen, so daß ein direkter Vergleich schwierig ist. Um diese übersichtlicher präsentieren zu können, nehmen wir daher eine Unterteilung in Kategorien vor.
Prinzipiell können drei Klassen von Zahlungssystemen unterschieden werden:
Kreditkartenzahlung
Zahlungen über Kundenkonten
Digitales Bargeld
Abbildung6: Zusammenhang zwischen Zahlungsbetrag, Dienstkontext und Zahlungsart
Abbildung 7: Kategorisierung elektronischer Zahlungssysteme im Internet
Die einfachste und naheliegenste Zahlungsweise über das Internet ist die direkte Verwendung bestehender Zahlungssystem. Hierbei ändert sich das Medium, über welches der Kunde seine Transaktionsinformationen dem Händler übermittelt. Alle weiteren Transaktionsschritte werden auf herkömmliche Wege abgewickelt. Das Internet hat also lediglich eine einleitende Funktion. In dieser Kategorie werden alle Arten der direkten Zahlungen per Kreditkarte und die meisten Abwandlungen davon betrachtet.
Eine einfache Möglichkeit, um Zahlungen im Internet zu tätigen, ist die Übertragung der Kreditkarteninformationen des Kunden. Der Händler kann dann über sein normales Vertragsverhältnis zu dem entsprechenden Karteninstitut abrechnen. Durch die weltweite Verbreitung der Kreditkarten werden somit auch internationale Zahlungen ohne Probleme möglich. Bei Brief bzw., Telefonbestellungen wird diese Vorgehensweise bereits praktiziert.
Für die Übertragung von vertraulichen Daten, wie Kreditkarteninformationen, wurden sichere Übertragungsprotokolle entwickelt. Aufgrund von Exportbestimmungen dürfen solche allgemein verwendbaren Kryptoprodukte aber nicht beliebig sicher sein, so daß verschlüsselte Nachrichten von staatlichen Stellen mit begrenzten Aufwand dechiffriert werden können.
Nur wenn garantiert wird, daß ein System ausschließlich zur Verschlüsselung von Finanztransaktionen eingesetzt werden kann, darf, bspw. aus den USA extrem starke Kryptotechnik eingesetzt werden. VISA und MasterCard entwickeln einen sicheren Zahlungsstandard (SET = Secure Electronic Transaction) speziell für Kreditkartenzahlung über unsichere Netzwerke, der diese Bedingung erfüllen soll. Der Standard legt nicht nur die Bezahlung fest, sondern den gesamten Kaufvorgang inklusive Bestellung und Quittung.
Während Protokolle und Standards nur eine Grundlage für Kreditkartenzahlung schaffen, gibt es auch komplette Zahlungskonzepte mit fertiger Software für Banken, Händler und Kunden, wie dies beispielsweise von CyberCash angeboten wird. (CyberCash wurde bereits zum Export aus den USA freigegeben).Es ermöglicht die Bezahlung sowohl mit Kreditkarten als auch mit digitalem Bargeld und digitalen Schecks.
CyberCash entwickelt seit 1994 komplette Zahlungsdienste für das Internet. Insbesondere das System zur gesicherten Übertragung von Kreditkarteninformationen (Secure Internet Payment Service) wird erfolgreich vermarktet. Daneben werden auch Lösungen für Zahlungen per elektronischen Scheck (electronics checks) sowie per elektronischen Bargeld (CyberCoin) angeboten, die Mikrozahlungen erlauben werden.
Abbildung 8: Zahlungsvorgang im CyberCash bei Kreditkarten
Die hier vorgestellten Verfahren nutzen die vorhandenen Infrastrukturen der Kreditkarteninstitute. Die Abrechnung zwischen den Kartenunternehmern und den Banken erfolgt unverändert und für den Kunden entstehen keine direkten Mehrkosten. Bei Zahlungen per Kreditkarte bezahlt der Kunde nur die jährliche entstehenden Gebühren, sowie den Internet-Anschluß. Der Händler muß eine Umsatzprovision von 3,5 % - 4% an die Kreditkartenunternehmer zahlen und abgesehen von neuer Software (zum Teil kostenlos) keine Inversionen tätigen. Kreditkartenunternehmer verlangen zwar keine Mindestgebühr pro Transaktion, aber dennoch entstehen dem Händler durch Buchung, Verwaltung und Kommunikation Fixkosten, welche einen Mindestbetrag für Kreditkartenzahlungen sinnvoll machen. Kreditkartenzahlungen eigenen sich daher nicht für kleine Beträge. Dies ist ein bedeutender Nachteil der Kreditkartenzahlung im Internet.
Eine weitere Möglichkeit, um Zahlungen über das Internet zu realisieren, ist das Führen von Kundenkonten durch eine vermittelnde dritte Partei (Vermittler). Der Kunde wählt sich in das Einkaufssystem ein, authentifiziert sich z.B. durch Paßwort und kann dann beliebig einkaufen. Die Zahlungsbeträge werden auf seinem Kundenkonto akkumuliert und regelmäßig von seinem Bankkonto abgebucht. Diese Zahlungsart gibt dem Vermittler einen großen Freiraum, da er keine gesetzlichen Zahlungsmittel benutzt und somit auch nicht die Anforderungen an solche erfüllen muß. Kunde und Händler gehen bei diesem Zahlungssystem ein festes Vertragsverhältnis mit dem Vermittler ein. Entscheidend bei solchen Systemen ist, daß der Kunde sich nur bei der vermittelnden Partei authentirisieren muß, so daß dieser Schritt bei verschiedenen Einkäufen bei en Händlern entfallen muß. Online-Dienste, wie z.B. CompuServe oder AOL fallen ebenso in diese Kategorie wie Internet-Marktplätze (z.B. MyWorld).
Bei Zahlungen über Kundenkonten tritt eine dritte Partei auf (Systembetreiber), die ein Konto des Kunden führt und Bestellungen bzw. Zahlungen mit dem Händler abwickelt. Der Systembetreiber hat damit ein festes Vertragsverhältnis zu Kunden und Händlern.
Auf Kundenkonten basierende Zahlungssysteme erlauben eine größere Funktionalität als andere Zahlungssysteme. Ein wesentlicher Vorteil ist die Möglichkeit, mehrere Transaktionen auf Seiten des Systembetreibers zu sammeln und regelmäßig mit dem Kunden abzurechnen. Damit fallen bei einer einzigen Transaktion fast keine Kosten an (Kommunikation, Prüfung, Buchung) mehr an, und es können auch sehr kleine Beträge wirtschaftlich abgerechnet werden (Mikrozahlungen).Darüber hinaus haben Kunden die Möglichkeit, Zahlungen von anderen Kunden für bestimmte Waren oder Dienstleistungen zu akzeptieren (Kleinhändler). Damit könnte beispielsweise ein virtueller Flohmarkt realisiert werden, der keine besonderen Vorbedingungen an die Verkäufer stellt.
Kundenkonten werden z.B. von Online-Diensten mit proprietären Netzen, wie CompuServe oder AOL, geführt. Daneben gibt es zahlreiche ähnliche Systeme, die ihre Leistungen in virtuell geschlossenen Systemen im Internet anbieten (geschlossenen elektronische Marktplätze). Zahlungssystem über Kundenkonten werden aber auch ohne zugehörige Marktplätze angeboten - als Marktplatz fungiert hierbei das gesamte Internet. Solche Systeme setzen aber umfassender Konzepte voraus. (Ein Anbieter ist bspw. First Virtuell)
Durch die Schaffung einer neuen elektronischen Währung im Internet, die ähnlich wie Bargeld benutzt werden kann, können Kunde und Händler unabhängig von Vermittlern und Banken Geschäfte tätigen können. Eine Bank muß eine solche Währung decken, ausgeben und akzeptieren, kann aber im Idealfall keine Relation zwischen Kunde und Händler herstellen. Der Kunde bleibt dadurch anonym - genauso wie er es bei "realem" Bargeld gewohnt ist.
Da elektronisches Geld leichter kopiert werden kann, ist es erforderlich digitale "Münzen" bei Einzahlung auf Gültigkeit zu prüfen. Diese Prüfung kann jedoch nur von der ausgegebenen Bank vorgenommen werden, d.h. auch hier muß Geld zwischen Banken transferiert werden (clearing). Da dieser Schritt unbemerkt von Händlern und Benutzern abläuft und auch keine Auswirkungen auf die Transaktionen sowie die Anonymität haben darf, wurde in der obigen Abbildung auf die Darstellung verzichtet.
Die folgende Abbildung zeigt, daß sich die drei Kategorien hinsichtlich des Dienstkontextes und des Zahlungsbetrages ergänzen. Während digitales Bargeld als offenes Zahlungsmittel primär für Mikrozahlungen (Zahlungen von Beträgen unter 5 DM) geeignet ist, decken Kreditkartenzahlungen alle größeren Transaktionen ab (sogenannte Makrozahlungen; Beträge über 5 DM). Im Falle eines geschlossenen Marktplatzes können Kundenkontos geführt werden, die für Zahlungen beliebiger Beträge geeignet sind. Sobald die ersten beiden Zahlungsarten etabliert sind, wird der Anteil der dritten Zahlungsart mit Sicherheit zurückgehen.
Neben diesen drei Zahlungsarten gibt es noch die Möglichkeit über das Internet zu bestellen und die Zahlungen auf herkömmlichen Weg per Rechnung, Banküberweisungen oder per Lastschriftverfahren abzuwickeln. Allerdings haben diese Zahlungsverfahren mit dem Internet recht wenig zu tun, denn das Netz ist hier lediglich Bestellmedium, wie bisher Fax oder Telefon. Sie können aber durchaus sinnvolle Alternativen darstellen.
Digitales Bargeld ist als Zahlungsmittel im Internet für die Entwicklung des Electronic Commerce von großer Bedeutung. Ziel ist, die Eigenschaften und die Funktionalität des realen Bargelds in die digitale Welt abzubilden (Anonymität, Mikrozahlungen).
Digitale Münzen haben genauso wie reales Bargeld einen inhärenten Wert. Es handelt sich nicht um Schuld- oder Gutscheine, deren realer Gegenwert von einer dritten Partei gedeckt wird. Da solches digitales Geld letztendlich nur durch eine Reihe von Bits dargestellt wird. Kann es problemlos beliebig oft kopiert werden. Kopien sind vom Original nicht zu unterscheiden.
Elektronisches Geld muß daher Mechanismen besitzen, die mehrfaches Bezahlen mit dem gleichen Geldstück entweder verhindert oder erkennen. Man setzt hier auf kryptologische und organisatorische Methoden, die das erstellen bzw. Verwenden von Falschgeld unterbinden.
Abhängig von der Realisierung des digitalen Bargeldes sind unterschiedliche Schutzmechanismen notwendig. Die Problematik wird anschaulicher, wenn man die grundsätzlichen Realisierungsmöglichkeiten von digitalem Bargeld betrachtet.
Es lassen sich grundsätzlich zwei Arten digitalen Bargeldes unterscheiden.:
Anonymes Bargeld gleicht
realem Bargeld. Durch Verwendung spezieller Kryptotechnik kann die Bank durch
einen Händler eingezahltes Geld nicht mehr mit dem Kunden in Verbindung
bringen, der es abgehoben hat. Sie kann lediglich feststellen, daß sie selbst
das Geld ausgegeben hat.
Identitätsbezogenes Geld enthält Informationen, die der Bank die Identifizierung des Kunden, der das Geld abgehoben hat, erlaubt und somit die genaue Verfolgung des Geldflusses ermöglicht.
Neben diesen beiden Arten des digitalen Bargeldes kann eine weitere Unterscheidung hinsichtlich des Bezahlungsvorgangs getroffen werden:
Erfolgt eine Zahlung online
(über eine Netzverbindung), besteht die Möglichkeit, eine Münze sofort bei der
Bank einzureichen und auf Echtheit überprüfen zu lassen. Die bedeute, daß eine
Münze nur für eine Transaktion gültig ist.
Bei offline Zahlungen wird ein digitale Münze verwendet, ohne sofort durch die Bank überprüft werden zu können. Die Münze gelangt erst nach einiger Zeit wieder in die Bank. Man hat somit die Möglichkeit im nachhinein die Bezahlung zu prüfen und einen eventuellen Betrüger zu identifizieren. Die Münze enthält Informationen über die Identität des Besitzers.
Der Einsatz von Chipkarten ist bis dato zwar noch nicht realisiert, aber wird diese eine bedeutende Rolle für den Zahlungsverkehr im Internet spielen. Der Grund dafür ist in einer enorm potentiellen Kosteneinsparung zu suchen. Da Chipkarten große Sicherheit bieten , kann bargeldloser Zahlungsverkehr nämlich zukünftig ohne sofortige Prüfung der Gültigkeit einer EC-Karte, also offline, durchgeführt werden. Die durch eine Prüfung entstehenden kosten könnten durch den Einsatz einer Chipkarte reduziert werden. Daher werden etwa 50 Millionen EC-Karten in Deutschland mit Chips und einer Geldbörsenfunktion ausgestattet.
Die weite Verbreitung und hohe Sicherheit läßt eine ungewöhnlich große Akzeptanz eines solchen Angebots erwarten.
Es gibt prinzipielle Eigenschaften eines Zahlungssystems, die unbedingt von dessen Umsetzung sind. Diese Eigenschaften eigenen sich, um die Zahlungssysteme einzuordnen und vergleichend gegenüberzustellen.
Zahlungssysteme müssen ausreichenden Schutz vor Angriffen in unsicheren Kommunikationsnetzen wie im Internet bieten und jeden Mißbrauch ausschließen. In der Regel wird diese Sicherheit durch Datenverschlüsselungen erreicht. Auch andere Verfahren können ausreichende Sicherheit bieten (bspw. Nur einmal gültige Transaktionsnummern)
Zahlungssysteme, die im begrenzten Nutzerkreis hervorragend funktionieren, können ab einer gewissen "Teilnehmerzahl" an technische Grenzen stoßen, so daß sie nicht beliebig einsetzbar sind. Ein Internet-Zahlungssystem sollte daher so konzipiert sein, daß es skaliert, d.h. problemlos erweitert werden kann, um beliebig viele Teilnehmer zu bedienen.
Es wird erwartet, daß elektronische Zahlungen gerade im Bereich sehr kleiner Beträge von weniger als 5 DM (micropayments) große Bedeutung erlangen. Nicht jedes Zahlungssystem kann so kleine Beträge wirtschaftlich abrechnen, da zum Teil hohe Fixkosten entstehen.
Ein Zahlungssystem muß für den Benutzer verständlich und transparent sein. Die Bedienung muß einfach und die Einleitung eine Zahlungsvorgangs offensichtlich sein.
Die meisten Zahlungssysteme sind für den Einkauf bei einem Händler entwickelt worden. Ein elektronisches Zahlungssysteme sollte aber idealerweise auch von Privatpersonen akzeptiert werden können (micromerchant).
Die anonyme Abwicklung von elektronischen Zahlungen ist in manchen Situationen wünschenswert. Ein Händler hat immer die (technische) Möglichkeit, ein Kundenprofil zu erstellen, aber es sollte sichergestellt sein, daß keine Partei ein übergreifendes Benutzerprofil anlegen kann (Bank oder Vermittler).
Um einen sicheren Transfer von Daten zu gewährleisten wurden Protokolle entwickelt. Beispiele hierfür sind :
SSL Secure Socket Layer (verschlüsselte Kommunikation zwischen Händler und Kunden)
S-HTTP Secure Hypertext Transfer Protocol
SET Secure Electronic Transaction
Secure Socket Layer ist ein offenes System zur verschlüsselten Kommunikation zwischen Kunde und Händler. Anfangs entwickelt von Netscape, indem es auch Anwendung fand.
Neben einer sicheren Nachrichtenübertragung durch symmetrische Schlüssel sorgt SSL außerdem für eine authentische Nachrichtenübertragung, d.h. es wird sichergestellt, daß die Daten unverändert übertragen werden. Des weiteren wird eine Authentifizierung des WWW-Servers (Händler) durchgeführt. Diese Authentifizierung über eine digitale ID ("digitaler Personalausweis"), die bei einer Zertifizierungsstelle beantragt und bezahlt werden muß. Eine Authentifizierung des WWW-Browsers (Kunde) kann durchgeführt werden, falls dieser ebenfalls eine digiotale ID besitzt.
Die meisten elektronischen Marktplätze im Internet wickeln Zahlungen ausschließlich über Kreditkartenzahlungen ab. Dabei wird ein Bestellformular mit den Kreditkarteninformationen ausgefüllt und über eine sichere SSL - Verbindung an den Anbieter geschickt.
SHTTP unterstützt wie SSL Mechanismen für Verschlüsselung, Authentifizierung, Signatur und Nachrichtenintegrität. Außerdem ist es möglich, Signaturen an Nachrichten anzuhängen, die nicht zurückgewiesen werden können, dadurch können z.B. Verträge konrolliert abgeschlossen werden.
Das protokoll schreibt zur Verschlüsselung keinen bestimmten kryptografischen Standard vor. Das Protokoll sieht vor, daß sich die kommunizierenden Rechner auf ein Verschlüsselungsverfahren einigen.
SET ist ein offener Standard für eine sichere Kreditkartenzahlung über unsichere Netzwerke, der von VISA und MasterCard entwickelt wurde.
Zielsetzung von SET ist die Schaffung einer größeren Akzeptanz für Kreditkarten im Internet. Der Standard garantiert durch die Verwendung von Kryptologie die Vertraulichkeit vin Informationen (Nachrichtenverschlüsselung), die Integrität von Zahlungen (digitale Unterschrift) sowie die Identität von Händler und Kartenhalter (digitale Unterschrift mit Zertifikat). Er soll größtmögliche Kompatibilität aller SET-Systeme auf allen Plattformen gewährleisten.
Im Unterschied zu den oben vorgestellten Übertragungsprotokollen erfaßt SET die sichere Abwicklung von kompletten Kaufvorgängen von der Bestellung bis zur Quittung. Ebenso werden Anmeldprozeduren für das Ausstellen von Zertifikaten sowie die Struktur von Zertifizierungsstellen festgelegt.
Die Commerzbank bietet, wie andere Banken bereits auch Online-Banking an. Jedoch verwendet diese Bank eine vierfache Verschlüsselung bzw. eine vierfache Sicherheit, wie bspw. ein Übertragungsprotokoll (SSL) mit einer 128 bit Verschlüsselung und ermöglicht Online-Banking im Internet (bisher nur über T-Online oder spezieller Software möglich).
Im Anhang ist ein Zeitungsartikel beigefügt in dem ein Projekt der Dresdner Bank vorgestellt wird, das CyberCash-Projekt, mit dem Firmenkunden zu einem Handel im Internet bewegt werden sollen.
Digital Cash - Zahlungssysteme im Internet, Rolf Schuster, Johannes Färber, Markus Eberl
Digital Cash - Commerce on the Net, Peter Wayner
CyberCash: www,cybercash.com
Internet WORLD Ausgabe 5/98
Internet WORLD Ausgabe 6/98
