Corinna Nalbach Tübingen, den 31.01.97

Seminar

Internet und andere Kommunikationsnetze -
ein rechtsfreier Raum?

zum Thema

Zahlungsverkehr

bei Prof. H. Ketz und RAss. M. Gerblinger

WS 1996/97

von
Corinna Nalbach
corinna@eskimo.bb.bawue.de(corinna@eskimo.bb.bawue.de)
Tübingen


Inhaltsverzeichnis

A. Wesen des Zahlungsverkehrs

B. Entwicklung des Zahlungsverkehrs

C. Der elektronische Zahlungsverkehr

D. Rechtliche Aspekte

E. Offene Zahlungsverkehrs-Standards

F. Spezielle Lösungen für den Zahlungsverkehr im Internet

G. Literatur


A. Wesen des Zahlungsverkehrs

Es ist das Kreditwesengesetz (KWG), das den Auftrag des Zahlungsverkehrs vorgibt. In §1 KWG, heißt es u.a. ''Kreditinstitute sind Unternehmungen, die Bankgeschäfte betreiben (...). Bankgeschäfte sind (...) die Durchführung des bargeldlosen Zahlungsverkehrs und des Abrechnungsverkehrs (Girogeschäft)''.

Der Zahlungsverkehr steht in der Aufzählung des KWG neben dem Einlagen- und Kreditgeschäft, dem Diskontgeschäft (Ankauf von Wechsel und Schecks), dem Effektengeschäft und Depotgeschäft sowie weiteren Sparten. Von diesen ist es gerade der Zahlungsverkehr, der in den letzten Jahren in technischer Hinsicht die meisten Modernisierungen über sich ergehen lassen mußte.


Zurück zum Inhaltsverzeichnis


B. Entwicklung des Zahlungsverkehrs

I. Vom baren zum bargeldlosen Zahlungsverkehr

Die Entwicklung vom baren Zahlungsverkehr zum unbaren setzte in großem Stil bereits in den sechziger Jahren ein. Das Wirtschaftswachstum der Bundesrepublik in der Nachkriegszeit sowie die gestiegene Mobilität der Bürger, in Verbindung mit steigenden Anforderungen an Komfort und Sicherheit des Zahlungsverkehrs durch die Kunden, waren der Auslöser. Die Medien des bargeldlosen Zahlungsverkehrs waren überweisung, Lastschrift und Scheck.

Mit der Trendwende him zur Informationsgesellschaft gab es Ende der achtziger Jahre einen großen Strukturwandel im Bereich des Zahlungsverkehrs. Neue Kaufgewohnheiten und ein verändertes Zahlungsverhalten der Privatkunden brachten technische Änderungen im Zahlungsverkehr. Durch die Internationalisierung der Märkte wuchs der Bedarf den Firmenkunden hierfür angemessene und schnelle Vorgehensweisen zur Verfügung zu stellen. Nicht zuletzt forderte auch ein gestiegenes Umweltbewußtsein die Abkehr vom Papier (Beleg), hin zum beleglosen Zahlungsverkehr. Diese Veränderungen brachten gleichzeitig einen Bedarf an neuen Sicherheitsaspekten des Zahlungsverkehrs hervor: z.B. Persönliche Identifikations- und Transaktions-Nummmer (PIN bzw. TAN) anstelle der Unterschrift. [Link]

II. Bedeutung des elektr. Mediums Internet für den Zahlungsverkehr

In den letzten Jahren hat das Internet als elektronisches Medium mehr und mehr an Bedeutung gewonnen. Die Anzahl der Teilnehmer in kommerziellen Online Diensten beläuft sich derzeit auf ca. 40 Mio. und wird bis Ende 1997 auf über 50 Mio. anwachsen. Nach einer Untersuchung des Instituts für Bankinformatik an der Universität Regensburg (IBI) werden im Jahr 2000 in Deutschland ca. 14% aller Haushalte an mindestens einem Online Dienst teilnehmen. Bis zum diesem Zeitpunkt wird der Anteil DFü-tauglicher PC in Haushalten bei ca. 30% liegen. Mit elektronischen Vertriebsmedien erreicht man einen großen Markt mit hohen Zuwachsraten. Killen & Associates sagen für das Jahr 2000 voraus, daß 8,5% des Einzelhandelsumsatzes in den USA über Internet getätigt werden. Zu ähnlichen Prognosen gelangt auch der britische Softwarehersteller JSB Computer Systems Ltd. Er erwartet, daß im Jahr 2000 Waren und Dienstleistungen im Wert von über 600 Milliarden Dollar im Internet umgesetzt werden. [Studie des IBI] Die zunehmende Kommerzialisierung des Internets ist offensichtlich. Der private Konsument wird mehr und mehr international tätig. Durch die Zunahme der Geschäfte über das Internet ist der Bedarf an sicheren elektronischen Zahlungsmethoden sowie der Wunsch nach Zahlungsausgleich für direkt vom Netz abgreifbare Dienste, wie z.B. Bezahlung von Datenbankdiensten, elektronische Bücher und Zeitschriften mehr denn je gewachsen.

III. Problematik eines sicheren Zahlungsystems

Exkurs: Geschichte des Geldes

Wie problematisch ein 'sicheres' Zahlungssystem ist, zeigt ein kurzer Exkurs in die Geschichte des Geldes. Zunächst hatten unsere Vorfahren den mühsamen Handel mit Naturalien durch universelle Tauschmittel wie Edelmetalle vereinfacht. Um das Abwiegen der Metalle bei jeder Transaktion zu vermeiden, gab es später einfach zählbare Portionen mit festem Gewicht und einer Prägung - die Münzen waren erfunden. Allerdings wuchs der Bedarf an Münzen rasch an, so daß man dazu überging, sie aus billigeren Metallen herzustellen, die in größeren Mengen verfügbar waren.

Damit entstand ein Anreiz für Fälscher: sie konnten mit wenig Aufwand etwas herstellen, was mehr wert war. Durch geheim gehaltene Metallegierungen und exakte Herstellung versuchten die Prägeanstalten den Fälschern das Handwerk zu legen. Dies wurde noch schwieriger, als die Münzen zunehmend durch Banknoten ersetzt wurden. Es entspann sich ein Wettkampf zwischen Staat und Fälschern, der heute noch anhält und mit technischen Mitteln, wie dem Farbkopierer ausgetragen wird.

Heute läuft praktisch jeglicher Geldverkehr zwischen Bankinstituten elektronisch ab, über das bankeneigene SWIFT-Netzwerk (Society for Worldwide Interbank Financial Telekommunication). Privatpersonen nutzen den elektronischen Geldtransfer ebenfalls zur Verrechnung von Zahlungsforderungen in Form von Überweisung, Lastschrift oder der Kreditkarte.


Zurück zum Inhaltsverzeichnis


C. Der elektronische Zahlungsverkehr

I. Anforderungen an elektronische Zahlungssysteme

Bei der Konzeption eines idealen elektronischen Zahlungsmittels orientiert man sich an den Eigenschaften des Geldes in seiner bisher existierenden Form.

II. Varianten des elektronischen Zahlungsverkehrs im Internet

Die derzeitigen Zahlungssysteme des Internets lassen sich in drei große Kategorien einteilen.

'Post-Paid' Modell

Erst kaufen, dann zahlen.

ec-Karten

Ähnlich den Entwicklungen in den USA, gewinnt auch hierzulande der kartengestützte Zahlungsverkehr immer mehr an Bedeutung. Waren es gegen Ende der achtziger Jahre die Kreditkarten, die boomten, so waren es Anfang der neunziger Jahre die Einsatzmöglichkeiten der ec-Karte im Handel. [Studie des IBI]

Für den Einsatz für Geldgeschäfte im Internet war die bisherigen Form der ec-Karte als reines 'Post-Paid Modell' jedoch nicht tauglich.

Bei der ec-Karte werden die Daten auf dem Magnetstreifen eingelesen. Dann gibt es zwei Möglichkeiten der Weiterverarbeitung:

Kreditkarten

Die Kreditkarte ist ein anderes der sog. 'Post-Paid' Modelle. Kreditkarten lassen sich vom Benutzer einfach handhaben und sind weltweit akzeptiert.

Mit zunehmender Anzahl von Geschäften, die über das Internet abgewickelt werden war nun der nächste Schritt, die Daten der Kreditkarte bei einer Online-Bestellung über WWW (World Wide Web) einfach mitzuschicken. Trotz vielfältiger Warnungen von Sicherheits-Fachleuten, ist dies immer noch üblich. Dabei liegen die Kreditkarteninformationen auf ihrem Weg zum Empfänger bei fehlender Verschlüsselung im Klartext vor und lassen sich mit Hilfe von spezieller Software, sog. Paketsniffer (Packetschnüffler), unterwegs gezielt abhören.

Um die Kartendaten über das Internet zu verschicken werden diese zu 'Paketen' zusammengestellt und mit Kopfzeilen versehen, die die WWW-Adresse des Empfängers enthalten. Aufgrund dieser Kopfzeilen wird dann das Paket auf den Weg geschickt und passiert dabei fremde Rechnersysteme. Auf einem solchen System kann nun ein Programm installiert werden, das Pakete nach bestimmten Merkmalen 'durchschnüffelt', z.B. nach bestimmten Stichworten wie 'Kreditkarte'. Findet es ein solches Paket, werden die zugehörigen Daten einfach abgespeichert. Mit diesen Daten können dann weitere Transaktionen erfolgen.

Zwar gab es schon vorher einen Mißbrauch von Kreditkarten, so beispielsweise durch 'dumpster diving', dem Durchsuchen von Papierkörben in der Nähe von Restaurants nach weggeworfenen Zahlungsbelegen mit Kreditkartendaten, oder durch betrügerische Angestellte, die bei der Bezahlung die Kartendaten einfach kopieren.

Das Ausspähen dieser Informationen im Internet stellt, wie oben aufgezeigt, jedoch eine neue Dimension dar. Denn jetzt können die notwendigen Daten automatisch gesammelt werden. Eine nachträgliche Rekonstruktion des Datenweges ist in aller Regel nicht möglich. Die Anforderungen an die Sicherheit der Datenübertragung von Kreditkartendaten im Internet erfordern zusätzliche Sicherheitsmaßnahmen.

Pretty Good Privacy (PGP)

PGP benutzt zur sicheren Übertragung zwei zueinander passende 'Schlüssel', einem öffentlichen und einem privaten, basierend auf einem komplizierten mathematischen Algoritmus. Der öffentliche Schlüessel wird bekannt gegeben und vom Absender benutzt um eine Mitteilung zu verschlüsseln. Mit dem privaten Schlüssel, der nur dem Empfänger bekannt ist, wird sie wieder entschlüsselt.

Ein Beispiel:

Secure Socket Layer - Protocoll (SSL)

Der Firma Netscape Communications gebührt der Verdienst, solche Kreditkartendatenübertragungen im Internet sicherer gemacht zu haben. Mit ihrem SSL-Protokoll hat sie einen Standard für die Verschlüsselung von Daten auf ihrem Weg durchs Internet geschaffen. Der Netscape Navigator (WWW-Browser) ist die erste Software, die Datensicherheit während der Übertragung bietet. SSL ist ein offener Standard, der für jedermann öffentlich verfügbar ist. Es bietet Unterstützung für Server-Authentifizierung (es soll sicher gestellt werde, dass der 'angesprochene' Computer auch tatsächlich der ist, für den er sich ausgibt), Privatsphäre durch Verschlüsselung und Nachrichtenintegrität (die Daten dürfen während ihres Transports nicht verändert werden). [Link]

Durch die US-amerikanische Gesetzgebung (International Traffic in Arms Regulations ITAR) [Link 1] [Link 2] fällt (starke) Kryptographie unter dieselben Exportbeschränkungen wie Waffen und Munition. Dadurch darf Netscape seinen Navigator mit SSL-Implementierung international nur mit 'abgeschwächter' Verschlüsselungstechnologie vertreiben.

Die Software ist einfach zu bedienen und fügt sich als zusätzliches Programmmodul, um welches sich der Endnutzer nicht zu kümmern braucht, nahtlos in die gewohnte Arbeitsumgebung ein. SSL ist nicht nur für HTTP (Hypertext Transfer Protocol, ein Übertragungsprotokoll für die Seitenbeschreibungssprache des WWW) vorgesehen, sondern kann jedes Übertragungsprotokoll um ein Konzept für einen sicheren Übertragungskanal erweitern. Damit stehen die neuen Sicherheitsmerkmale allen Anwendungsprotokollen (neben HTTP auch ftp, telnet etc.) zur Verfügung.

Paketsniffer haben gegen eine SSL-Verbindung nur geringe Chancen - und die auch nur aufgrund der exportbedingt beschränkten Verschlüsselung.

Secure HTTP (S-HTTP)

Neben SSL hat noch ein weiteres Protokoll einige Bedeutung erlangt: das S-HTTP. Es ist Ergebnis eines Joint-venture zwischen RSA Data Security Inc. und EIT Enterprise Integration Technologies , das Mechanismen für die kommerzielle Nutzung des WWW entwickelt.

S-HTTP nimmt nicht nur am Übertragungsprotokoll Erweiterungen vor, sondern definiert auch neue Elemente für die HTML-Sprache (Hypertext Markup Language, Seitenbeschreibungssprache des WWW). Es stellt einen Rahmen für die Anwendung verschiedener kryptographischer Standardmethoden dar.

Secure Transaction Technology (STT)

Am 27. Oktober 1995 stellten nun auch Visa und Microsoft eine Spezifikation namens STT vor. Microsoft wollte mit seinem neuen PCT (Private Communications Technology) in direkte Konkurrenz zu Netscapes erfolgreichem SSL-Standard treten. Daraufhin veröffentlichte ein Konsortium aus Mastercard, IBM, Netscape, CyberCash und der bis dato unbekannten GTE das SEPP (Secure Electronic Payment Protocol).

Secure Electronic Transaction (SET)

Anfang 1996 führten Mastercard und Visa SET ein, dem als zukünftigem Standard zum Bezahlen mit Kreditkarten im Internet große Chancen eingeräumt werden.

Broker

Um die Sicherheit der Übermittlung der Kreditkartendaten zu gewährleisten, kann man sich der Broker (Vermittler, Makler) bedienen, die eine eigene Zahlungsvariante in Form einer sog. 'Transaktionslösung' anbieten. Bereits seit Jahren bietet beispielsweise die Firma CheckFree solche Dienste in traditioneller Form an: Ein Kunde, der eine Rechnung zu bezahlen hat, übermittelt die notwendigen Daten per Telefonanruf oder Modem an CheckFree. Dort wird dann die günstigste Zahlungsart (elektronische Überweisung, Sammelscheck, persönlicher Scheck) ausgewählt und der Betrag angewiesen. Dem Kunden erstellt CheckFree eine Sammelrechnung, die er zum Beispiel über seine Kreditkarte begleichen kann. Eine Geheimzahl schützt den Account bis zu einem gewissen Grade gegen Mißbrauch.

First Virtual (FV)

First Virtual bietet dadurch Sicherheit, dass jeder Kauf mit einer E-mail an den Kunden bestätigt wird, um die Gültigkeit der Transaktion zu überprüfen. Um dem Kreditkarten-Sniffing vorzubeugen, werden dabei statt Kartennummern spezielle FV-IDs übermittelt, die nur der FV-Server akzeptiert. FV sorgt dann dafür, daß der Händler sein Geld bekommt. Letzterer braucht keine Kreditkartenakzeptanzstelle zu sein, da First Virtual zwar die Belastung des Kunden über dessen Kreditkarte vornimmt, dem Verkäufer jedoch, der ebenfalls einen FV-Account besitzen muß, den Betrag auf beliebigem Wege gutschreibt.

CyberCash

Ein weiteres Internet-Payment-System auf Kreditkartenbasis bietet CyberCash seit April 1995 an. Bei CyberCash werden die Kreditkartendaten verschlüsselt und digital unterschrieben zum Händler übertragen. Dieser entschlüsselt sie allerdings nicht, so daß von seinem Server keine Daten entwendet werden können. Stattdessen fügt er weitere Angaben wie den Geldbetrag hinzu und sendet die Daten an den CyberCash-Server. Von dort aus werden die Daten in das Bankennetzwerk zur Verrechnung eingespeist.

'Pre-Paid' Modell

Erst zahlen, dann kaufen.

Smart Cards - elektronische Geldbörsen

Diese Lösung benötigt sichere Hardware, um Geld in Form einer Bitfolge auf den Smart Cards zu speichern. Der Geldaustausch erfolgt über eine Schnittstelle zu einem anderen Gerät, wobei gewährleistet sein muß, daß der Betrag beim Ausgeben auch tatsächlich gelöscht wird. Der Benutzer darf die Wirkungsweise durch physische Manipulationen nicht beeinträchtigen können. Erreicht wird dies zum Beispiel durch Chipkarten und taschenrechnergroße elektronische Geldbörsen, die Beträge zwischen Chipkarten transferieren. Dabei spielen kryptografische Protokolle eine große Rolle.

Gerade in jüngster Zeit stehen diese vorausbezahlten Karten im Mittelpunkt der Betrachtung. Die Elektronische Geldbörse ist für den Kunden dann attraktiver als Bargeld, wenn sie neben den positiven Eigenschaften, die Bargeld besitzt, auch noch einen erkennbaren Zusatznutzen erfüllt. Tatsächlich weist die Elektronische Geldbörse - zumindest theoretisch - einige Vorteile gegenüber Bargeld auf. U.a. vermindert sie das Risiko kriminellen Mißbrauches an kassenbasierten Zahlstellen. Desweiteren vermag sie die Kosten des Bargeldhandlings, verursacht durch den täglichen Kassenabschluß oder Botengänge zur Bank lassen, zu senken.

Mondex

Ein Beispiel für die Anwendung sog. Prepaid Cards sind die Mondex -Karten der englische National Westminster Bank. Sie speichern das Geld auf einem eingebauten Chip - im Gegensatz zu den gewöhnlichen EC- und Kreditkarten. Das Geld wird über ein Telefon mit Kartenleser bei der Bank abgehoben. Anschließend kann man mit einem taschenrechnerähnlichen Gerät namens 'Electronic Wallet' zwischen Karten hin- und herbuchen.

Diese Form des elektronischen Geldes steht den Münzen und Scheinen in nichts mehr nach. Die digitalen Geldgeschäfte beschränken sich damit nicht mehr auf Banken und speziell ausgestattete Verkaufsstellen, wie dies beispielsweise bei EC- oder Kreditkarten der Fall ist. Auch Privatpersonen können ihre Geschäfte per Karte begleichen.

Der große Vorteil von Mondex: ist das Geld erst einmal im elektronischen Kreislauf, so sind Buchungen ohne Beteiligung der Banken möglich. Auch Privatpersonen können untereinander Geld austauschen, so daß sich das elektronische Geld praktisch nicht vom Bargeld unterscheidet. Weitere Vorteile: Diskussionen über Gebühren und Datenschutz erübrigen sich durch die Anonymität. Auf der anderen Seite besteht keine Möglichkeit, kriminelle Eingriffe in das System zu lokalisieren.

Elektronische Geldbörse in Deutschland

Was diese Technologie betrifft, ist Deutschland noch Entwicklungsland. Der Zentrale Kreditausschuß (ZKA) - unter anderem für die EC-Karten zuständig - wollte mit rund zwei Millionen EC-Karten-Besitzern die Akzeptanz einer elektronischen Geldbörse testen. [Link] Die Technik des ZKA unterscheidet sich von Systemen wie Mondex: Aufgetankt werden die neuen EC-Karten an speziellen Geldautomaten. Auch die Abbuchung ist nur mit Spezialgeräten möglich. Handliche Zusatzutensilien für Umbuchungen zwischen den Karten sind nicht geplant.

Im Gegensatz zu dem Verfahren von Mondex protokolliert das Verfahren der ZKA Karten- und Buchungsnummer sowie den Betrag. Unlautere Geldvermehrung fällt beim Abgleich von Soll und Haben auf und führt zum Sperren der Karte. Das Verfahren des ZKA bietet außerdem die technischen Möglichkeiten, um Geldbeträge bei Verlust oder Defekt einer Karte zu erstatten - nicht so bei Mondex, wo der Geldbetrag einzig auf der Karte gespeichert wird.

Das Protokollieren der ZKA birgt allerdings auch Nachteile für den Verbraucher. Da die Banken über jede Buchung erfahren, können sie Buchungsgebühren beim Verbraucher erheben. Die Zahlungsabwicklung erfolgt insgesamt nicht anonym. Das Verfahren ist daher datenschutzrechtlich problematisch.

Desweiteren sammelt sich mit den Buchungen hochbrisantes Datenmaterial an. Bei dessen mißbräuchlicher Auswertung könnten die finanziellen Spuren des Anwenders der Karte nachvollzogen werden. Die Buchungsdaten erlauben komplette 'Persönlichkeitsanalysen', die sich als Entscheidungsgrundlage für Versicherungen, Kreditvergabe und Personaleinstellungen mißbrauchen ließen.

Conditional Access for Europe (CAFE)

Die EG-Kommission fördert seit 1992 ein Projekt namens CAFE , mit dem Ziel einen Ersatz für die vielen Dokumente, die ein Europäer mit sich führen muß (Personalausweis, Führerschein, Zutrittsberechtigung zu Arbeitsräumen usw.) zu schaffen und daneben auch das Bargeld zu ersetzen.

Der Benutzer bekommt eine elektronische 'Geldbörse'. Am Anfang wird das eine Chipkarte sein, die von der jeweiligen Bank mit Geld 'geladen' werden kann (an Automaten, oder auch am Terminal zu Hause). Nun kann er elektronisch bezahlen, und da geeignete kryptographische Verfahren verwendet werden, ist das System sicher genug, so daß man mit einem entsprechen Terminal auch Zahlungen über das Internet vornehmen kann.

Die Arbeiten am CAFE-Projekt wurden im November 1995 erfolgreich abgeschlossen und ein Feldversuch im Gebäude der EG-Kommission begonnen. Einige der beteiligten Projektpartner arbeiten seitdem gemeinsam an einem Nachfolgeprojekt SEMPER (Secure Electronic Marketplace for Europe), das sich mit der notwendigen Infrastruktur für elektronischen Handel insbesondere über das Internet beschäftigt.

Später soll es dann ein etwa taschenrechnergroßes Gerät mit kleiner Tastatur und Infrarotsender geben, in dem dann das 'elektronische Geld' gespeichert wird.

'Cash' Modell

Die wohl interessanteste Variante der elektronischen Bezahlung im Internet ist zweifelsohne das Geld, das alleine mit Software auskommt und auf der Festplatte des eigenen Rechners gespeichert wird.

Universal Electronic Cash (UEC)

Tatsuaki Okamoto und Kazuo Ohta ("Universal Electronic Cash", Springer-Verlag) beschreiben das 'Universal Electronic Cash', dem ihrer Meinung ersten idealen elektronischen Bezahlungssystems. UEC benutzt eine Kombination verschiedener kryptographischer Schlüsseltechniken.

Digitale Signatur

Eine digitale Signatur dient in gleicher Weise wie eine handschriftliche Signatur der Unterzeichung eines Dokumentes. Die Erzeugung einer digitalen Unterschrift geschieht mit Hilfe eines PGP-Algorithmus - ähnlich wie oben beschrieben: Eine Person A verschlüsselt ein elektronisches Dokument mit ihrem privaten Schlüssel. Das unterschriebene Dokument wird an Person B geschickt. Person B entschlüsselt das Dokument mit dem öffentlichen Schlüssel der Person A. Ist diese Entschlüsselung möglich, so ist die Signatur 'echt'. Eine Fälschung der Signatur ist nicht möglich, da der private Schlüssel einzig und allein der Person A bekannt ist. Auch kann die Signatur nicht auf andere Dokumente übertragen oder sonst in einer Weise verwendet werden, da die Signatur eine Funktion des unterschriebenen Dokumentes ist. Ebenso kann auch das unterschriebene Dokument selbst nicht verändert werden, da das Dokument dann nicht mehr mit dem öffentlichen Schlüssel entschlüsselt werden könnte.

Blinde digitale Signatur

Electronic Cash ist allerdings ein Anwendungsfall, bei dem es gerade nicht erwünscht ist, daß der Signierende das Dokument, welches er unterzeichnen soll, sieht. Die ausgebende Bank signiert einen digitalen 'Geldschein' blind. Unter Verwendung des öffentlichen Schlüssels der Bank kann der 'Geldscheinº als gültig verifiziert werden. Die Bank kat jedoch den Geldschein nie gesehen und kann somit keinen Zusammenhang zwischen dem Geldschein und der Person, an die dieser herausgegeben wurde, herstellen. Zur Erzeugung solcher blinder digitaler Signaturen [Link 1] [Link 2] [Link 3] benötigt man ein Protokoll, bei dem die Person A der Person B ein Dokument vorlegt. Die unterzeichnende Person B kann das Dokument jedoch nicht lesen, Person A erhält aber trotzdem eine gültige Signatur von Person B auf dem Dokument.

Nachfolgendes Beispiel verdeutlicht den Vorgang, dessen mathematische Grundlage der 'blinding factor' ist - worauf hier aber nicht näher eingegangen werden soll. Bei diesen Prinzipien greift die 'Papier-Analogie' nur schwerlich, weil inzwischen solche Datenmengen erzeugt werden müssen, daß niemand sie mehr auf einen Zettel schreiben kann. Nichtsdestotrotz ist bei einem so hochkomplizierten Algorithmus die 'Papier-Analogie' der beste Weg wenigstens einen ungefähren Einblick zu erlangen.

Zero-Knowledge-Authentifikation

Im Verlauf des 'Universal Electronic Cash'-Protokolls muß die Person A, die mit dem digitalen Geld bezahlen will, nachweisen, daß sie der rechtmaßige Besitzer des verwendeten Geldscheines ist - sog. Authentifikation. Dies ist zugleich eine Sicherheitsmaßnahme gegen Mehrfachverwendung des Scheines oder eines Teiles davon. Tatsuaki Okamoto und Kazuo Ohta bedienen sich dabei der sog. 'Zero-Knowledge-Authentifikation', die auf dem Prinzip beruht, daß sich A durch den Nachweis eines bestimmten geheimen Wissens, von dem nur A Kenntnis hat, gegenüber dem Verkäufer V identifiziert. 'Zero-Knowledge' bezieht sich jedoch gerade darauf, daß A den Verkäufer V überzeugt, daß er dieses Geheimnis kennt, ohne es jedoch nur ansatzweise zu verraten. 'Zero-Knowledge' bedeutet also gerade das kein Wissen ubertragen wird.

Cut-and-Choose Prinzip/Secret Splitting

Die Vorgehensweise der 'Zero-Knowledge-Authentifikation' wird um das 'Cut-and-Choose Prinzip' erweitert, mit Hilfe dessen es nun Identität von A derart einfließen zu lassen, daß auf diesem im Falle eines Betrugsversuches, wie beispielsweise der Mehrfachverwendung eines Geldscheines, zugegriffen werden kann. Dies wird wir folgt verwirklicht: Die Information, mit deren Hilfe man auf die Identität des Betrügers schließen kann, geht in jeden digitalen Geldschein mit ein. Diese Information wird jedoch in zwei Hälften geteilt (cut) . Ist man im Besitz zweier zusammengehöriger Hälften, kann die Identität von A nachvollzogen werden. Bei jedem Zahlungsvorgang stellt der Händler 'Herausforderungen' an A. Dabei entscheidet der Händler jeweils, welche der beiden Hälften an A gesendet werden soll (choose)

Auch hier soll das Papier noch einmal - trotz Unzulänglichkeiten der Analogie - der Veranschaulichung dienen:

Person A erzeugt für dieses Protokoll zunächst eine Information I, die ihre Identität verrät, z.B. 'Ich bin Person A und wohne in der A-straße 1 in 12345 Berlin'. Mit einem Secret-Splitting-Protokoll erzeugt sie hieraus 10.000 mal ein Tupel (I1, I2)x. Kennt man zwei zusammengehörige I, kann man die Original-Information lesen; sonst nicht.

Hierarchischer Strukturbaum

Das Problem der Teilbarkeit lösen Tatsuaki Okamoto und Kazuo Ohta mit Hilfe des Konzeptes des hierarchischen Strukturbaumes. Er spielt im Protokoll eine zentale Rolle, da er es erlaubt, einen Geldschein in strukturierter und konsistenter Form aufzuteilen. Ein elektronischer Geldschein kann damit in beliebig viele Untereinheiten aufgeteilt werden.

UEC - in ideales Protokoll?

Anwendungen von 'reinem' Ecash

NetCash

Der erste Versuch mit Ecash startete mit dem NetCash-System der Firma Software Agents bereits im Mai 1994. Das elektronische Geld heißt dort Kupon und besteht aus der Wertangabe und einer von der Bank herausgegebenen Seriennummer. Eine digitale Unterschrift ist nicht vorgesehen.

DigiCash

Im Oktober 1994 begann ein Internet-weiter Großversuch. Die ersten zehntausend Interessenten erhielten jeweils hundert 'Cyberbucks' geschenkt. DigiCash selbst fungierte dabei als Bank. Im Frühsommer 1995 setzte dann der große Run auf Ecash ein, so daß die angebotenen Cyberbucks ausgingen. Man konnte für die Währung, die nichts wert ist, tatsächlich etwas kaufen: Bilder, Software oder Songs. Es entstanden Spielcasinos und es gibt sogar einen Markt, wo man Cyberbucks in richtiges Geld tauschen kann und umgekehrt. [Link] Etwa 30 000 Tester haben sich an diesem Experiment beteiligt und die Machbarkeit des Systems unter Beweis gestellt. Die Deutsche Bank und die niederländische Firma DigiCash werden gemeinsam in einem weiteren Pilotversuch den Einsatz elektronischen Geldes im Internet erproben. Mit dem Pilotvorhaben verfolgt die deutsche Bank das Ziel, Einsetzbarkeiten und Akzeptanz neuartiger Zahlungsformen und -verfahren zu erproben und das Spektrum der Internet-Dienstleistungen zu erweitern.

Mark Twain Bank

Als erstes Geldinstitut gab die Mark Twain Bank am 23. Oktober 1995 Ecash in einer realen Währung, nämlich US-Dollar, aus. Die Reaktion darauf fiel zwar positiv aus, doch interessante Angebote, die man damit kaufen kann, gibt es nur wenige.


Zurück zum Inhaltsverzeichnis


D. Rechtliche Aspekte

I. Strafrechtlicher Aspekt: Geldwäscherei

Die Entwicklung des Mediums Internet macht nun Finanztransaktionen nicht mehr nur in geschlossenen Netzen möglich, sondern auch im Internet. Vor allen Dingen wird in naher Zukunft immer mehr Zahlungsverkehr über das Internet abgewickelt werden.

Die in §261 StGB beschriebenen Geldwäsche- und Verschleierungshandlungen können auch via Internet begangen werden. Vermögenswerte können unkompliziert durch das Internet von einer Bank zu einer anderen transferiert werden. Die Anwendbarkeit von §261 StGB auch auf via Internet getätigte Transaktionen steht nicht in Frage. Allerdings eröffnet gerade ein Netzwerk wie das Internet die Möglichkeit von raschen, zahlreichen und weltumspannenden Transaktionen, deren Rekonstruktion die Strafverfolgungsbehörden aufgrund der Anonymität im Internet vor erhebliche Probleme stellen wird.

Mit Durchsetzen der neuen Zahlungstechnologien wird sich die Geldwäscheproblematik verschärfen. Obwohl bislang auch auf internationaler Ebene noch keine Geldwäschereiaffären im Internet bekanntgeworden sind, wird das Gefahrenpotential von der FATF (Financial Action Task Force on Money Laundering) als sehr hoch eingeschätzt.

II. Sicherheits- und Datenschutzrechtlicher Aspekte


Zurück zum Inhaltsverzeichnis


E. Offene Zahlungsverkehrs-Standards

Nachfolgend sind Zahlungsverkehrs-Standards verschiedener Firmen im Internet aufgeführt. Die Aufzählung erhebt keinerlei Anspruch auf Vollständigkeit, vielmehr will sie aufzeigen, in welchen Umfang bereits im Internet Vorschläge bezüglich des Zahlungsverkehrs existieren.


Zurück zum Inhaltsverzeichnis


Spezielle Lösungen für den Zahlungsverkehr im Internet

Nachfolgend sind einige Beispiele spezieller Software, einzelner Händler und patentrechtlich geschützter Projekte aufgeführt, die sich mit dem elektronischen Zahlungsverkehr im Internet beschäftigen.


Zurück zum Inhaltsverzeichnis


Literaturliste:



Zurück zum Inhaltsverzeichnis


(c) Corinna Nalbach 1997




diese Seite enthält

Internet-Links



Digicash(http://www.digicash.com/home.html)