Geschrieben von: Christian Weissengruber
Kategorie: Sicherheit
This printed page brought to you by AlphaSierraPapa
Die Abwicklung geschäftlicher Transaktionen im Internet funktioniert nur, wenn auch der Zahlungsverkehr für den Kunden wie für den Händler sichergestellt ist und er darauf vertrauen kann, daß Mißbrauch ausgeschlossen ist. Niemand wirft gerne seine Kreditkartendaten in ein schwarzes Loch.
Das Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe, muß ich (leider) damit rechnen, daß er verloren gehen kann oder daß er von Unbefugten geöffnet wird. Wenn ich denselben Brief eingeschrieben versende, habe ich zumindest die Garantie, daß er ankommt. Wenn ich zusätzlich den Brief noch verschlüssle, habe ich weiters die Gewissheit daß er nur von Befugten - mit einem Schlüssel - gelesen werden kann. Es kommt also immer darauf an, wie man mit einem Medium umgeht.
Im Internet spielt natürlich auch die physikalische Distanz zwischen Kunde und Händler eine nicht wegzuleugnende Rolle. Hinzu kommt die Anonymität des Kunden, der alles kaufen kann, was er im realen Leben nicht tun würde. Die Verfügbarkeit wirklich aller Art von Waren und Dienstleistungen spielt natürlich die wesentlichste Rolle.
Es gibt generell zwei Arten des Warenangebotes im Internet:
Die Bezahlung im Internet kann auch auf verschiedene Arten erfolgen:
Nachnahme ist jedoch nur für physikalische Waren möglich.Bankeinzug und einige proprietäre Zahlungsysteme wie e-cash, cybercash oder ähnliche, haben eines gemeinsam: sie verlangen nach einer lokalen (nationalen) Clearingstelle zur Abwicklung der Finanztransaktionen. Vorauskasse ist sicher nicht für viele Geschäftsfälle praktikabel - Internet ist, wie der Name schon sagt, ist international.
Somit bleibt nur eine Art der Bezahlung die (zur Zeit) weltweit funktionieren kann - die Kreditkarte, und zwar weil die Verwendung den meisten Menschen vertraut ist und der Komfort für den Karteninhaber dabei gegeben ist. Für den Händler sind die Kosten im Vergleich zu Nachnahme oder Rechnung in den meisten Fällen geringer. Es sind hier natürlich einige wesentliche Aspekte zu beachten:
Zahlreiche Web Shops bieten die Möglichkeit, Kreditkartenzahlungen per SSL (Secure Socket Layer) zu akzeptieren. SSL ist der zur Zeit gebräuchlichste Standard für die Übertragung von vertraulichen Daten. Dieser bietet einen meist ausreichenden Schutz gegen das Abfangen von Kreditkartendaten oder das Verändern von Daten durch Dritte.
SSL stellt lediglich ein Verschlüsselungsverfahren dar, das die Datensicherheit zum Ziel hat. Die eigentliche Autorisierung und Verrechnung von Kreditkartenumsätzen ist dabei noch nicht inkludiert.
Die wichtigste Komponente für sichere Zahlungen im Internet ist aber die Gewißheit über die Berechtigung von Händler und Kunde, Zahlungen mit einer Kreditkarte durchführen zu dürfen, sowie über eine rechtsverbindliche Bestätigung einer Bestellung.
Um dieses zu erreichen, wurde SETTM geschaffen.
SET ist ein Sicherheitsstandard für Transaktionen per Kreditkarte über das Internet. SET wurde hauptsächlich von Mastercard, Visa und technologisch führenden Unternehmen entwickelt.
Bei der Abwicklung der Transaktionsdaten schreibt das SET Protokoll zweierlei vor. Einerseits bekommt in der virtuellen Welt niemand Informationen zu Einsicht, die nicht für ihn bestimmt sind, anderseits werden alle übermittelten Informationen mittels Verschlüsselung für Dritte unlesbar gemacht. Das heißt, daß der Händler keinerlei Kontodaten des Kunden im Klartext für das Zustandekommen eines Geschäfts benötigt, er sieht nur die Bestellinformationen und erhält eine Benachrichtigung des Kartenausstellers (VISA, MC, etc), ob das Kundenkonto für die Höhe des zu erwartenden Betrag "gut" ist, bzw. ob der Kartenstatus einen Umsatz zuläßt. Die Bank wiederum erhält keine Informationen über die Bestellung des Karteninhabers, für sie ist nur die kontoseitige Information vonnöten.
Das Wesen von SET besteht darin, daß sowohl Karteninhaber als auch der Händler ein SET Zertifikat erhalten. Die Zertifikate werden von den jeweiligen Banken, im Falle des Karteninhabers von der kartenausgebenden Bank (Issuer), im Falle des Händlers von der Händlerbank (Acquirer), ausgegeben.
Karteninhaber erhalten zur Abwicklung von SET Transaktionen eine sog. Wallet, also eine elektronische Brieftasche, deren Inhalt aus zertifizierten Kreditkarten besteht.
Der Händler muß einen SET fähigen Server installieren, der es ermöglicht, SET Transaktionen aufzunehmen, um diese an seine Händlerbank weiterzugeben.Das Payment Gateway. Dieses nimmt SET Transaktionen von Händlern auf und setzt diese in die derzeit gängigen ISO Formate um, die in den Netzen der Kartenorganisationen benutzt werden:
Das Payment Gateway erhält ein Zertifikat direkt von SETCO.
SETCO: Um eine einheitliche und flächendeckende Verbreitung des Standards zu gewährleisten, wurde von Visa und Mastercard die Zertifizierungs-Instanz SETCO gegründet. Aufgabe der SETCO ist es, sämtliche eingereichten Softwareprodukte auf SET-Konformität zu prüfen. Erst mit der offiziellen Vergabe des SET-Logos bestätigt die Instanz, daß das eingereichte Produkt zu 100% der aktuellen Spezifikation des SET-Protokolls entspricht. Somit ist auch sichergestellt, daß ein Händler, der das SET-Logo in seinem Shop verwendet, von einer Kreditkartengesellschaft dazu autorisiert ist.
Der Zahlungsverkehr zwischen Händlerbank und kartenausgebender Bank läuft wie bisher in internen Netzwerken, also nicht über offene Netze ab. Zur gegenseitigen Kenntlichmachung der SET Fähigkeit wurde ein SET Warenzeichen entwickelt, welches der Händler nach entsprechender Zertifizierung auf seiner Web Seite zeigen darf - das sogenannte SET Mark
Unter SET-Transaktion versteht man standardmäßig eine 3KP (Key Pair) Transaktion, daneben gibt es 2KP Transaktionen, im Sprachgebrauch auch als SET-MIA (Merchant Initiated Authorization) oder MO-SET (Merchant Originated) bekannt. In der Terminologie der Software-Hersteller sind die o.g. Begriffe einfach unter SSL benannt.
Die Bedeutung der Key Pairs ist folgende: (1 Key Pair, also Schlüsselpaar entspricht einem Zertifikat)
2KP bedeutet:
Der Karteninhaber hat in dem Fall kein Zertifikat zur Verfügung und gibt seine Kartendaten wie von anderen Seiten gewohnt über eine https-Verbindung ein (Kartennummer, Ablaufdatum; Name auf Karte)
3KP bedeutet:
Der wesentliche Unterschied zwischen 3KP und 2KP Transaktionen liegt in der Zahlungsgarantie seitens der Kartenorganisationen gegenüber dem Händler bei Verwendung von SET.
Wir können derzeit davon ausgehen, daß die Verbreitung von SET-Wallets nicht flächendeckend ist, und daher von Online-Shops beide Lösungen angeboten werden sollten.
Während des Verkaufsdialoges wählt der Käufer auf den Angebotsseiten des Händlers die gewünschten Waren oder Dienstleistungen aus. Bei der Bestellung wird er eine Wahlmöglichkeit für die Bezahlung mit SET finden und auswählen. Daraufhin wird am PC des Käufers automatisch das SET-Wallet gestartet.
Der Käufer muß das Wallet mit seinem Benutzernamen und einem Passwort freigeben. Der Käufer wählt eine der im Wallet verfügbaren Kreditkarten aus, es wird ihm im SET-Wallet die Rechnung nochmals angezeigt und er bestätigt die Zahlung. Nun werden zuerst die Zertifikate des Händlers und des SET-Payment-Gateways überprüft. Dies gibt dem Käufer die Gewissheit, daß es sich um offizielle Vertragspartner handelt. Danach wird eine Meldung mit einer "Prüfsumme" über die Rechnung, die Währung und den Betrag erstellt. Diese Meldung wird mit dem geheimen Schlüssel des Karteninhabers unterschrieben, verschlüsselt und zusammen mit dem Zertifikat des Karteninhabers an den Händler geschickt.
Der Händler prüft als erstes das Zertifikat des Kunden, um sicherzugehen, daß er die Daten vom echten Karteninhaber erhalten hat. Danach erstellt die Händler-Software eine Autorisierungsanfrage an das SET-Payment-Gateway mit folgendem Inhalt:
Das SET-Payment-Gateway prüft die Unterschrift des Karteninhabers, die Unterschrift des Händlers sowie Übereinstimmung von Rechnungs-Prüfsumme, Währung und Betrag aus den beiden Meldungen. Sofern diese Prüfungen erfolgreich sind, ist sowohl die Echtheit von Karteninhaber und Händler als auch die Übereinstimmung der Kaufabsichten von Käufer und Händler erwiesen. Das SET-Payment-Gateway leitet nun die Währung, den Betrag und die Kartennummer an den Autorisierungshost weiter.
Der Autorisierungshost der Kreditkartenorganisation prüft, ob ein gültiger Vertrag mit dem Händler vorliegt, die Karte des Kunden nicht gesperrt ist und das Limit der Karte nicht überschritten ist.
Das Ergebnis der Autorisierung wird wieder an das SET-Payment-Gateway zurückgesandt, das seinerseits den Händler-Server über das Resultat informiert. Wenn der Kauf vom SET-Payment-Gateway freigegeben wurde, wird die erfolgreiche Abwicklung des Kaufes dem Käufer bestätigt. Andernfalls wird der Karteninhaber über den Grund der Ablehnung informiert.
Nach Abschluß der Autorisierung erfolgt außerhalb von SET die Auslieferung der bestellten Waren oder Dienstleistungen durch den Händler.
Dieser relativ kompliziert wirkende Vorgang läuft innerhalb weniger Sekunden ab, so daß sich der Kunde nahezu verzugslos weiteren Aktivitäten im Internet widmen kann. Die abschließende Sektion des heutigen Artikels gibt detailliert Aufschluß wann und wie welcher Schritt des SET Einkaufsvorgangs abläuft.
In diesem Artikel habe ich Ihnen die Grundlagen von SET, und wie die einzelnen Schritte (Kunde, Händler, Gateway, Kreditkartenfirmen) ablaufen im Überblick präsentiert. Details zu den Einzelkomponenten (Gateway, Wallet, Händlersoftware) folgen im nächsten Artikel.
This printed page brought to you by AlphaSierraPapa
Beteiligte Komponenten bei SET Transaktionen (Teil 1)
http:/www.aspheute.com/artikel/20000904.htm
Beteiligte Komponenten bei SET Transaktionen (Teil 2)
http:/www.aspheute.com/artikel/20000905.htm
Keine gefakten Bestellungen mehr!
http:/www.aspheute.com/artikel/20010531.htm
Verwendung von SSL Test-Certificates
http:/www.aspheute.com/artikel/20000630.htm
Ecin
http://www.ecin.de
Mastercard.at
http://www.europay.at/htdocs/index.htm
Mastercard.de
http://www.eurocard.de/online-shopping/index.html
SETCO
http://www.setco.org
Visa.at
http://www.visa.at/set/index.html
Visa.de
http://www.visa.de/ks/service/internetshopping.htm
©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.