Glengamoi (Forum) · AspHeute · .NET Heute (RSS-Suche) · AspxFiles (Wiki) · .NET Blogs
ASP German Homepage Homepage
 

Liste

.NET 2.0 (1)
.NET Allgemein (16)
.NET Fu (5)
ADO.NET (11)
Aprilscherz (3)
ASP Grundlagen (44)
ASP Tricks (83)
ASP.NET (44)
ASPIntranet.de (5)
C# (28)
Datenbank (44)
Dokumentation (4)
IIS 6.0 (1)
Komponenten (29)
Optimierung (10)
Server (21)
Sicherheit (34)
Tee Off (6)
VB.NET (6)
WAP (8)
Web Services (11)
XML (9)

RSS 2.0 - Die neuesten fünf Artikel auf AspHeute.com


 

Suchen





 

English Articles
Chinese Articles
Unsere Autoren
 
Link zu AspHeute
Impressum
Werben
Anfragen

Sichere Zahlungen im Internet mit SET

Geschrieben von: Christian Weissengruber
Kategorie: Sicherheit

Die Abwicklung geschäftlicher Transaktionen im Internet funktioniert nur, wenn auch der Zahlungsverkehr für den Kunden wie für den Händler sichergestellt ist und er darauf vertrauen kann, daß Mißbrauch ausgeschlossen ist. Niemand wirft gerne seine Kreditkartendaten in ein schwarzes Loch.

Das Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe, muß ich (leider) damit rechnen, daß er verloren gehen kann oder daß er von Unbefugten geöffnet wird. Wenn ich denselben Brief eingeschrieben versende, habe ich zumindest die Garantie, daß er ankommt. Wenn ich zusätzlich den Brief noch verschlüssle, habe ich weiters die Gewissheit daß er nur von Befugten - mit einem Schlüssel - gelesen werden kann. Es kommt also immer darauf an, wie man mit einem Medium umgeht.

Zahlungsarten

Im Internet spielt natürlich auch die physikalische Distanz zwischen Kunde und Händler eine nicht wegzuleugnende Rolle. Hinzu kommt die Anonymität des Kunden, der alles kaufen kann, was er im realen Leben nicht tun würde. Die Verfügbarkeit wirklich aller Art von Waren und Dienstleistungen spielt natürlich die wesentlichste Rolle.

Es gibt generell zwei Arten des Warenangebotes im Internet:

  • der klassische Warenversand (Bücher)
  • virtuelle Waren und Dienstleistungen wie Downloads ( Software, Musik, Video) und Informationen.

Die Bezahlung im Internet kann auch auf verschiedene Arten erfolgen:

  • Nachnahme
  • Bankeinzug
  • Vorauskasse
  • Elektronische Zahlungsmittel
  • Kreditkarte

Nachnahme ist jedoch nur für physikalische Waren möglich.Bankeinzug und einige proprietäre Zahlungsysteme wie e-cash, cybercash oder ähnliche, haben eines gemeinsam: sie verlangen nach einer lokalen (nationalen) Clearingstelle zur Abwicklung der Finanztransaktionen. Vorauskasse ist sicher nicht für viele Geschäftsfälle praktikabel - Internet ist, wie der Name schon sagt, ist international.

Somit bleibt nur eine Art der Bezahlung die (zur Zeit) weltweit funktionieren kann - die Kreditkarte, und zwar weil die Verwendung den meisten Menschen vertraut ist und der Komfort für den Karteninhaber dabei gegeben ist. Für den Händler sind die Kosten im Vergleich zu Nachnahme oder Rechnung in den meisten Fällen geringer. Es sind hier natürlich einige wesentliche Aspekte zu beachten:

  • die technische Sicherheit
  • die Rechtsverbindlichkeit
  • die Geschwindigkeit der Karten-Autorisierung

Zahlreiche Web Shops bieten die Möglichkeit, Kreditkartenzahlungen per SSL (Secure Socket Layer) zu akzeptieren. SSL ist der zur Zeit gebräuchlichste Standard für die Übertragung von vertraulichen Daten. Dieser bietet einen meist ausreichenden Schutz gegen das Abfangen von Kreditkartendaten oder das Verändern von Daten durch Dritte.

SSL stellt lediglich ein Verschlüsselungsverfahren dar, das die Datensicherheit zum Ziel hat. Die eigentliche Autorisierung und Verrechnung von Kreditkartenumsätzen ist dabei noch nicht inkludiert.

Die wichtigste Komponente für sichere Zahlungen im Internet ist aber die Gewißheit über die Berechtigung von Händler und Kunde, Zahlungen mit einer Kreditkarte durchführen zu dürfen, sowie über eine rechtsverbindliche Bestätigung einer Bestellung.

Um dieses zu erreichen, wurde SETTM geschaffen.

Secure Electronic TransactionTM

SET ist ein Sicherheitsstandard für Transaktionen per Kreditkarte über das Internet. SET wurde hauptsächlich von Mastercard, Visa und technologisch führenden Unternehmen entwickelt.

Bei der Abwicklung der Transaktionsdaten schreibt das SET Protokoll zweierlei vor. Einerseits bekommt in der virtuellen Welt niemand Informationen zu Einsicht, die nicht für ihn bestimmt sind, anderseits werden alle übermittelten Informationen mittels Verschlüsselung für Dritte unlesbar gemacht. Das heißt, daß der Händler keinerlei Kontodaten des Kunden im Klartext für das Zustandekommen eines Geschäfts benötigt, er sieht nur die Bestellinformationen und erhält eine Benachrichtigung des Kartenausstellers (VISA, MC, etc), ob das Kundenkonto für die Höhe des zu erwartenden Betrag "gut" ist, bzw. ob der Kartenstatus einen Umsatz zuläßt. Die Bank wiederum erhält keine Informationen über die Bestellung des Karteninhabers, für sie ist nur die kontoseitige Information vonnöten.

Die wesentlichen SET Komponenten

Das Wesen von SET besteht darin, daß sowohl Karteninhaber als auch der Händler ein SET Zertifikat erhalten. Die Zertifikate werden von den jeweiligen Banken, im Falle des Karteninhabers von der kartenausgebenden Bank (Issuer), im Falle des Händlers von der Händlerbank (Acquirer), ausgegeben.

Karteninhaber erhalten zur Abwicklung von SET Transaktionen eine sog. Wallet, also eine elektronische Brieftasche, deren Inhalt aus zertifizierten Kreditkarten besteht.

Der Händler muß einen SET fähigen Server installieren, der es ermöglicht, SET Transaktionen aufzunehmen, um diese an seine Händlerbank weiterzugeben.

Das Payment Gateway. Dieses nimmt SET Transaktionen von Händlern auf und setzt diese in die derzeit gängigen ISO Formate um, die in den Netzen der Kartenorganisationen benutzt werden:

  • Visa: VisaNet
  • Mastercard: Banknetz

Das Payment Gateway erhält ein Zertifikat direkt von SETCO.

SETCO: Um eine einheitliche und flächendeckende Verbreitung des Standards zu gewährleisten, wurde von Visa und Mastercard die Zertifizierungs-Instanz SETCO gegründet. Aufgabe der SETCO ist es, sämtliche eingereichten Softwareprodukte auf SET-Konformität zu prüfen. Erst mit der offiziellen Vergabe des SET-Logos bestätigt die Instanz, daß das eingereichte Produkt zu 100% der aktuellen Spezifikation des SET-Protokolls entspricht. Somit ist auch sichergestellt, daß ein Händler, der das SET-Logo in seinem Shop verwendet, von einer Kreditkartengesellschaft dazu autorisiert ist.

Der Zahlungsverkehr zwischen Händlerbank und kartenausgebender Bank läuft wie bisher in internen Netzwerken, also nicht über offene Netze ab. Zur gegenseitigen Kenntlichmachung der SET Fähigkeit wurde ein SET Warenzeichen entwickelt, welches der Händler nach entsprechender Zertifizierung auf seiner Web Seite zeigen darf - das sogenannte SET Mark

Unter SET-Transaktion versteht man standardmäßig eine 3KP (Key Pair) Transaktion, daneben gibt es 2KP Transaktionen, im Sprachgebrauch auch als SET-MIA (Merchant Initiated Authorization) oder MO-SET (Merchant Originated) bekannt. In der Terminologie der Software-Hersteller sind die o.g. Begriffe einfach unter SSL benannt.

Die Bedeutung der Key Pairs ist folgende: (1 Key Pair, also Schlüsselpaar entspricht einem Zertifikat)

2KP bedeutet:

  • 1 Zertifikat liegt beim Händler
  • 1 Zertifikat liegt beim Paymentgateway

Der Karteninhaber hat in dem Fall kein Zertifikat zur Verfügung und gibt seine Kartendaten wie von anderen Seiten gewohnt über eine https-Verbindung ein (Kartennummer, Ablaufdatum; Name auf Karte)

3KP bedeutet:

  • 1 Zertifikat liegt beim Händler
  • 1 Zertifikat liegt beim Paymentgateway
  • 1 Zertifikat liegt beim Karteninhaber

Der wesentliche Unterschied zwischen 3KP und 2KP Transaktionen liegt in der Zahlungsgarantie seitens der Kartenorganisationen gegenüber dem Händler bei Verwendung von SET.

Wir können derzeit davon ausgehen, daß die Verbreitung von SET-Wallets nicht flächendeckend ist, und daher von Online-Shops beide Lösungen angeboten werden sollten.

Ablauf einer SET-Transaktion:

Während des Verkaufsdialoges wählt der Käufer auf den Angebotsseiten des Händlers die gewünschten Waren oder Dienstleistungen aus. Bei der Bestellung wird er eine Wahlmöglichkeit für die Bezahlung mit SET finden und auswählen. Daraufhin wird am PC des Käufers automatisch das SET-Wallet gestartet.

Der Käufer muß das Wallet mit seinem Benutzernamen und einem Passwort freigeben. Der Käufer wählt eine der im Wallet verfügbaren Kreditkarten aus, es wird ihm im SET-Wallet die Rechnung nochmals angezeigt und er bestätigt die Zahlung. Nun werden zuerst die Zertifikate des Händlers und des SET-Payment-Gateways überprüft. Dies gibt dem Käufer die Gewissheit, daß es sich um offizielle Vertragspartner handelt. Danach wird eine Meldung mit einer "Prüfsumme" über die Rechnung, die Währung und den Betrag erstellt. Diese Meldung wird mit dem geheimen Schlüssel des Karteninhabers unterschrieben, verschlüsselt und zusammen mit dem Zertifikat des Karteninhabers an den Händler geschickt.

Der Händler prüft als erstes das Zertifikat des Kunden, um sicherzugehen, daß er die Daten vom echten Karteninhaber erhalten hat. Danach erstellt die Händler-Software eine Autorisierungsanfrage an das SET-Payment-Gateway mit folgendem Inhalt:

  1. Die Meldung des Käufers mit dessen Zertifikat
  2. Eine Meldung des Händlers, welche dieselben Informationen (Prüfsumme, Währung, Betrag) aus der Sicht des Händlers enthält. Diese Meldung hat der Händler mit seinem privaten SET-Schlüssel unterschrieben, verschlüsselt und mit seinem Zertifikat ergänzt.

Das SET-Payment-Gateway prüft die Unterschrift des Karteninhabers, die Unterschrift des Händlers sowie Übereinstimmung von Rechnungs-Prüfsumme, Währung und Betrag aus den beiden Meldungen. Sofern diese Prüfungen erfolgreich sind, ist sowohl die Echtheit von Karteninhaber und Händler als auch die Übereinstimmung der Kaufabsichten von Käufer und Händler erwiesen. Das SET-Payment-Gateway leitet nun die Währung, den Betrag und die Kartennummer an den Autorisierungshost weiter.

Der Autorisierungshost der Kreditkartenorganisation prüft, ob ein gültiger Vertrag mit dem Händler vorliegt, die Karte des Kunden nicht gesperrt ist und das Limit der Karte nicht überschritten ist.

Das Ergebnis der Autorisierung wird wieder an das SET-Payment-Gateway zurückgesandt, das seinerseits den Händler-Server über das Resultat informiert. Wenn der Kauf vom SET-Payment-Gateway freigegeben wurde, wird die erfolgreiche Abwicklung des Kaufes dem Käufer bestätigt. Andernfalls wird der Karteninhaber über den Grund der Ablehnung informiert.

Nach Abschluß der Autorisierung erfolgt außerhalb von SET die Auslieferung der bestellten Waren oder Dienstleistungen durch den Händler.

Dieser relativ kompliziert wirkende Vorgang läuft innerhalb weniger Sekunden ab, so daß sich der Kunde nahezu verzugslos weiteren Aktivitäten im Internet widmen kann. Die abschließende Sektion des heutigen Artikels gibt detailliert Aufschluß wann und wie welcher Schritt des SET Einkaufsvorgangs abläuft.

Der Nachrichtenverlauf im Detail

  1. Der Karteninhaber füllt den Warenkorb und leitet den Kaufvorgang ein (kein Zertifikat notwendig).
  2. Der Server des Händlers sendet eine Initialisierungsnachricht an die Payware (kein Zertifikat notwendig).
  3. Die Payware sendet eine Wakeup-Nachricht an den Händler-Server (kein Zertifikat notwendig).
  4. Der Händler-Server leitet die Wakeup-Nachricht an den Browser weiter (kein Zertifikat notwendig).
  5. Der Browser erhält die Wakeup-Nachricht und aktiviert das Wallet (kein Zertifikat notwendig).
  6. Das Wallet sendet eine Anforderung der Kaufinitialisierung (PInitReq) an die Payware (Zertifikat notwendig).
  7. Die Payware sendet eine Antwort wegen Kaufinitialisierung (PInitRes) an das Wallet mit der Frage nach Bestelldetails (Zertifikat notwendig).
  8. Das Wallet sendet eine Kaufanforderung mit Bestelldetails (PReq) an die Payware (Zertifikat notwendig).
  9. Die Payware sendet eine Anforderung der Kaufautorisierung (AuthReq) an das Payment Gateway (Zertifikat notwendig).
  10. Das Payment Gateway sendet eine Anforderung (AuthReq) der Kaufgenehmigung an die abwickelnde Bank (Zertifikat notwendig).
  11. Die abwickelnde Bank sendet eine Antwort (AuthRes) auf die Genehmigungsanforderung an das Payment Gateway (Zertifikat notwendig).
  12. Das Payment Gateway sendet eine Antwort wegen Kaufautorisierung (AuthRes) an die Payware (Zertifikat notwendig).
  13. Die Payware sendet die Autorisierungsantwort an den Händler-Server (kein Zertifikat notwendig).
  14. Die Payware sendet eine Transaktionsbestätigung (PRes) an das Wallet (Zertifikat notwendig).
  15. Das Wallet veranlasst den Browser zur Anzeige einer Ausgabeseite (Erfolgs-/Fehlermeldung) (kein Zertifikat notwendig).

Schlußbemerkung

In diesem Artikel habe ich Ihnen die Grundlagen von SET, und wie die einzelnen Schritte (Kunde, Händler, Gateway, Kreditkartenfirmen) ablaufen im Überblick präsentiert. Details zu den Einzelkomponenten (Gateway, Wallet, Händlersoftware) folgen im nächsten Artikel.

Verwandte Artikel

Beteiligte Komponenten bei SET Transaktionen (Teil 1)
Beteiligte Komponenten bei SET Transaktionen (Teil 2)
Keine gefakten Bestellungen mehr!
Verwendung von SSL Test-Certificates

Links zu anderen Sites

Ecin
Mastercard.at
Mastercard.de
SETCO
Visa.at
Visa.de

Wenn Sie jetzt Fragen haben...

Wenn Sie Fragen rund um die in diesem Artikel vorgestellte Technologie haben, dann schauen Sie einfach bei uns in den Community Foren der deutschen .NET Community vorbei. Die Teilnehmer helfen Ihnen gerne, wenn Sie sich zur im Artikel vorgestellten Technologie weiterbilden möchten.

Haben Sie Fragen die sich direkt auf den Inhalt des Artikels beziehen, dann schreiben Sie dem Autor! Unsere Autoren freuen sich über Feedback zu ihren Artikeln. Ein einfacher Klick auf die Autor kontaktieren Schaltfläche (weiter unten) und schon haben Sie ein für diesen Artikel personalisiertes Anfrageformular.

 

Und zu guter Letzt möchten wir Sie bitten, den Artikel zu bewerten. Damit helfen Sie uns, die Qualität der Artikel zu verbessern - und anderen Lesern bei der Auswahl der Artikel, die sie lesen sollten.

Bewerten Sie diesen Artikel
 Sehr gut   Nicht genügend  
   1  2  3  4  5  
 

  
   Für Ausdruck optimierte Seite

©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.