Corinna Nalbach | Tübingen, den 31.01.97 |
Internet und andere Kommunikationsnetze -
ein rechtsfreier Raum?
zum Thema
Zahlungsverkehr
bei
Prof. H. Ketz
und
RAss. M. Gerblinger
WS 1996/97
von
Corinna Nalbach
corinna@eskimo.bb.bawue.de(corinna@eskimo.bb.bawue.de)
Tübingen
Inhaltsverzeichnis
B. Entwicklung des Zahlungsverkehrs
F. Spezielle Lösungen für den Zahlungsverkehr im Internet
G. Literatur
Es ist das Kreditwesengesetz (KWG), das den Auftrag des Zahlungsverkehrs vorgibt. In §1 KWG, heißt es u.a. ''Kreditinstitute sind Unternehmungen, die Bankgeschäfte betreiben (...). Bankgeschäfte sind (...) die Durchführung des bargeldlosen Zahlungsverkehrs und des Abrechnungsverkehrs (Girogeschäft)''.
Der Zahlungsverkehr steht in der Aufzählung des KWG neben dem Einlagen- und Kreditgeschäft, dem Diskontgeschäft (Ankauf von Wechsel und Schecks), dem Effektengeschäft und Depotgeschäft sowie weiteren Sparten. Von diesen ist es gerade der Zahlungsverkehr, der in den letzten Jahren in technischer Hinsicht die meisten Modernisierungen über sich ergehen lassen mußte.
Die Entwicklung vom baren Zahlungsverkehr zum unbaren setzte in großem Stil bereits in den sechziger Jahren ein. Das Wirtschaftswachstum der Bundesrepublik in der Nachkriegszeit sowie die gestiegene Mobilität der Bürger, in Verbindung mit steigenden Anforderungen an Komfort und Sicherheit des Zahlungsverkehrs durch die Kunden, waren der Auslöser. Die Medien des bargeldlosen Zahlungsverkehrs waren überweisung, Lastschrift und Scheck.
Mit der Trendwende him zur Informationsgesellschaft gab es Ende der achtziger Jahre einen großen Strukturwandel im Bereich des Zahlungsverkehrs. Neue Kaufgewohnheiten und ein verändertes Zahlungsverhalten der Privatkunden brachten technische Änderungen im Zahlungsverkehr. Durch die Internationalisierung der Märkte wuchs der Bedarf den Firmenkunden hierfür angemessene und schnelle Vorgehensweisen zur Verfügung zu stellen. Nicht zuletzt forderte auch ein gestiegenes Umweltbewußtsein die Abkehr vom Papier (Beleg), hin zum beleglosen Zahlungsverkehr. Diese Veränderungen brachten gleichzeitig einen Bedarf an neuen Sicherheitsaspekten des Zahlungsverkehrs hervor: z.B. Persönliche Identifikations- und Transaktions-Nummmer (PIN bzw. TAN) anstelle der Unterschrift.
[Link]
In den letzten Jahren hat das Internet als elektronisches Medium mehr und mehr an Bedeutung gewonnen. Die Anzahl der Teilnehmer in kommerziellen Online Diensten beläuft sich derzeit auf ca. 40 Mio. und wird bis Ende 1997 auf über 50 Mio. anwachsen. Nach einer Untersuchung des
Instituts für Bankinformatik an der Universität Regensburg (IBI)
werden im Jahr 2000 in Deutschland ca. 14% aller Haushalte an mindestens einem Online Dienst teilnehmen. Bis zum diesem Zeitpunkt wird der Anteil DFü-tauglicher PC in Haushalten bei ca. 30% liegen.
Mit elektronischen Vertriebsmedien erreicht man einen großen Markt mit hohen Zuwachsraten.
Killen & Associates
sagen für das Jahr 2000 voraus, daß 8,5% des Einzelhandelsumsatzes in den USA über Internet getätigt werden. Zu ähnlichen Prognosen gelangt auch der britische Softwarehersteller JSB Computer Systems Ltd. Er erwartet, daß im Jahr 2000 Waren und Dienstleistungen im Wert von über 600 Milliarden Dollar im Internet umgesetzt werden.
[Studie des IBI]
Die zunehmende Kommerzialisierung des Internets ist offensichtlich. Der private Konsument wird mehr und mehr international tätig. Durch die Zunahme der Geschäfte über das Internet ist der Bedarf an sicheren elektronischen Zahlungsmethoden sowie der Wunsch nach Zahlungsausgleich für direkt vom Netz abgreifbare Dienste, wie z.B. Bezahlung von Datenbankdiensten, elektronische Bücher und Zeitschriften mehr denn je gewachsen.
Exkurs: Geschichte des Geldes
Wie problematisch ein 'sicheres' Zahlungssystem ist, zeigt ein kurzer Exkurs in die Geschichte des Geldes. Zunächst hatten unsere Vorfahren den mühsamen Handel mit Naturalien durch universelle Tauschmittel wie Edelmetalle vereinfacht. Um das Abwiegen der Metalle bei jeder Transaktion zu vermeiden, gab es später einfach zählbare Portionen mit festem Gewicht und einer Prägung - die Münzen waren erfunden. Allerdings wuchs der Bedarf an Münzen rasch an, so daß man dazu überging, sie aus billigeren Metallen herzustellen, die in größeren Mengen verfügbar waren.
Damit entstand ein Anreiz für Fälscher: sie konnten mit wenig Aufwand etwas herstellen, was mehr wert war. Durch geheim gehaltene Metallegierungen und exakte Herstellung versuchten die Prägeanstalten den Fälschern das Handwerk zu legen. Dies wurde noch schwieriger, als die Münzen zunehmend durch Banknoten ersetzt wurden. Es entspann sich ein Wettkampf zwischen Staat und Fälschern, der heute noch anhält und mit technischen Mitteln, wie dem Farbkopierer ausgetragen wird.
Heute läuft praktisch jeglicher Geldverkehr zwischen Bankinstituten elektronisch ab, über das bankeneigene SWIFT-Netzwerk (Society for Worldwide Interbank Financial Telekommunication). Privatpersonen nutzen den elektronischen Geldtransfer ebenfalls zur Verrechnung von Zahlungsforderungen in Form von Überweisung, Lastschrift oder der Kreditkarte.
Bei der Konzeption eines idealen elektronischen Zahlungsmittels orientiert man sich an den Eigenschaften des Geldes in seiner bisher existierenden Form.
Ein flexibles Zahlungssystem, mit dem man Zahlungen ausführen und empfangen kann, ohne das ein Vermittler bei jeder Transaktion eingeschalten werden muß.
Zahlungen und Transaktionen müssen genauso leicht zu tätigen sein, wie der Benutzer dies von seinem 'Papiergeld' gewohnt ist.
Die Fähigkeit Zahlungen auszuführen oder zu empfangen, ohne dass die Zahlung mißbräuchlich umgelenkt oder 'nachgemacht' (gefälschte Transaktionen) werden kann.
Keine zusätzlichen Kosten. Auch kleinere Transaktionen müssen möglich sein.
Das Zahlungsmittel muß für eine 'Wiederverwendung' geeignet sein. Erhaltene Zahlungen müssen unproblematisch im Geschäftsverkehr an andere Geschäftspartner weitergegeben werden können.
Das elektronische Zahlungsmittel muß eine hohe Akzeptanz besitzen.
Das Zahlungsmittel darf nicht einzig und alleine im Internet zu verwenden sein. Das elektronische Geld muß auch auf andere übertragbar sein.
Geheimhaltung, Wahrung der Privatsphäre. Vermeidung der Zurückverfolgbarkeit von Transaktionen.
Die derzeitigen Zahlungssysteme des Internets lassen sich in drei große Kategorien einteilen.
Erst kaufen, dann zahlen.
Ähnlich den Entwicklungen in den USA, gewinnt auch hierzulande der kartengestützte Zahlungsverkehr immer mehr an Bedeutung. Waren es gegen Ende der achtziger Jahre die Kreditkarten, die boomten, so waren es Anfang der neunziger Jahre die Einsatzmöglichkeiten der ec-Karte im Handel.
[Studie des IBI]
Für den Einsatz für Geldgeschäfte im Internet war die bisherigen Form der ec-Karte als reines 'Post-Paid Modell' jedoch nicht tauglich.
Bei der ec-Karte werden die Daten auf dem Magnetstreifen eingelesen. Dann gibt es zwei Möglichkeiten der Weiterverarbeitung:
Die Kreditkarte ist ein anderes der sog. 'Post-Paid' Modelle. Kreditkarten lassen sich vom Benutzer einfach handhaben und sind weltweit akzeptiert.
Mit zunehmender Anzahl von Geschäften, die über das Internet abgewickelt werden war nun der nächste Schritt, die Daten der Kreditkarte bei einer Online-Bestellung über WWW (World Wide Web) einfach mitzuschicken. Trotz vielfältiger Warnungen von Sicherheits-Fachleuten, ist dies immer noch üblich. Dabei liegen die Kreditkarteninformationen auf ihrem Weg zum Empfänger bei fehlender Verschlüsselung im Klartext vor und lassen sich mit Hilfe von spezieller Software, sog. Paketsniffer (Packetschnüffler), unterwegs gezielt abhören.
Um die Kartendaten über das Internet zu verschicken werden diese zu 'Paketen' zusammengestellt und mit Kopfzeilen versehen, die die WWW-Adresse des Empfängers enthalten. Aufgrund dieser Kopfzeilen wird dann das Paket auf den Weg geschickt und passiert dabei fremde Rechnersysteme. Auf einem solchen System kann nun ein Programm installiert werden, das Pakete nach bestimmten Merkmalen 'durchschnüffelt', z.B. nach bestimmten Stichworten wie 'Kreditkarte'. Findet es ein solches Paket, werden die zugehörigen Daten einfach abgespeichert. Mit diesen Daten können dann weitere Transaktionen erfolgen.
Zwar gab es schon vorher einen Mißbrauch von Kreditkarten, so beispielsweise durch 'dumpster diving', dem Durchsuchen von Papierkörben in der Nähe von Restaurants nach weggeworfenen Zahlungsbelegen mit Kreditkartendaten, oder durch betrügerische Angestellte, die bei der Bezahlung die Kartendaten einfach kopieren.
Das Ausspähen dieser Informationen im Internet stellt, wie oben aufgezeigt, jedoch eine neue Dimension dar. Denn jetzt können die notwendigen Daten automatisch gesammelt werden. Eine nachträgliche Rekonstruktion des Datenweges ist in aller Regel nicht möglich. Die Anforderungen an die Sicherheit der Datenübertragung von Kreditkartendaten im Internet erfordern zusätzliche Sicherheitsmaßnahmen.
PGP benutzt zur sicheren Übertragung zwei zueinander passende 'Schlüssel', einem öffentlichen und einem privaten, basierend auf einem komplizierten mathematischen Algoritmus. Der öffentliche Schlüessel wird bekannt gegeben und vom Absender benutzt um eine Mitteilung zu verschlüsseln. Mit dem privaten Schlüssel, der nur dem Empfänger bekannt ist, wird sie wieder entschlüsselt.
Ein Beispiel:
Der Firma Netscape Communications gebührt der Verdienst, solche Kreditkartendatenübertragungen im Internet sicherer gemacht zu haben. Mit ihrem
SSL-Protokoll
hat sie einen Standard für die Verschlüsselung von Daten auf ihrem Weg durchs Internet geschaffen. Der Netscape Navigator (WWW-Browser) ist die erste Software, die Datensicherheit während der Übertragung bietet. SSL ist ein offener Standard, der für jedermann öffentlich verfügbar ist. Es bietet Unterstützung für Server-Authentifizierung (es soll sicher gestellt werde, dass der 'angesprochene' Computer auch tatsächlich der ist, für den er sich ausgibt), Privatsphäre durch Verschlüsselung und Nachrichtenintegrität (die Daten dürfen während ihres Transports nicht verändert werden).
[Link]
Durch die US-amerikanische Gesetzgebung (International Traffic in Arms Regulations ITAR)
[Link 1]
[Link 2]
fällt (starke) Kryptographie unter dieselben Exportbeschränkungen wie Waffen und Munition. Dadurch darf Netscape seinen Navigator mit SSL-Implementierung international nur mit 'abgeschwächter' Verschlüsselungstechnologie vertreiben.
Die Software ist einfach zu bedienen und fügt sich als zusätzliches Programmmodul, um welches sich der Endnutzer nicht zu kümmern braucht, nahtlos in die gewohnte Arbeitsumgebung ein. SSL ist nicht nur für HTTP (Hypertext Transfer Protocol, ein Übertragungsprotokoll für die Seitenbeschreibungssprache des WWW) vorgesehen, sondern kann jedes Übertragungsprotokoll um ein Konzept für einen sicheren Übertragungskanal erweitern. Damit stehen die neuen Sicherheitsmerkmale allen Anwendungsprotokollen (neben HTTP auch ftp, telnet etc.) zur Verfügung.
Paketsniffer haben gegen eine SSL-Verbindung nur geringe Chancen - und die auch nur aufgrund der exportbedingt beschränkten Verschlüsselung.
Neben SSL hat noch ein weiteres Protokoll einige Bedeutung erlangt: das S-HTTP. Es ist Ergebnis eines Joint-venture zwischen
RSA Data Security Inc.
und
EIT Enterprise Integration Technologies
, das Mechanismen für die kommerzielle Nutzung des WWW entwickelt.
S-HTTP
nimmt nicht nur am Übertragungsprotokoll Erweiterungen vor, sondern definiert auch neue Elemente für die HTML-Sprache (Hypertext Markup Language, Seitenbeschreibungssprache des WWW). Es stellt einen Rahmen für die Anwendung verschiedener kryptographischer Standardmethoden dar.
Am 27. Oktober 1995 stellten nun auch Visa und Microsoft eine Spezifikation namens
STT
vor. Microsoft wollte mit seinem neuen PCT (Private Communications Technology) in direkte Konkurrenz zu Netscapes erfolgreichem SSL-Standard treten. Daraufhin veröffentlichte ein Konsortium aus Mastercard, IBM, Netscape, CyberCash und der bis dato unbekannten GTE das
SEPP
(Secure Electronic Payment Protocol).
Anfang 1996 führten Mastercard und Visa
SET
ein, dem als zukünftigem Standard zum Bezahlen mit Kreditkarten im Internet große Chancen eingeräumt werden.
Um die Sicherheit der Übermittlung der Kreditkartendaten zu gewährleisten, kann man sich der Broker (Vermittler, Makler) bedienen, die eine eigene Zahlungsvariante in Form einer sog. 'Transaktionslösung' anbieten. Bereits seit Jahren bietet beispielsweise die Firma
CheckFree
solche Dienste in traditioneller Form an: Ein Kunde, der eine Rechnung zu bezahlen hat, übermittelt die notwendigen Daten per Telefonanruf oder Modem an CheckFree. Dort wird dann die günstigste Zahlungsart (elektronische Überweisung, Sammelscheck, persönlicher Scheck) ausgewählt und der Betrag angewiesen. Dem Kunden erstellt CheckFree eine Sammelrechnung, die er zum Beispiel über seine Kreditkarte begleichen kann. Eine Geheimzahl schützt den Account bis zu einem gewissen Grade gegen Mißbrauch.
First Virtual
bietet dadurch Sicherheit, dass jeder Kauf mit einer E-mail an den Kunden bestätigt wird, um die Gültigkeit der Transaktion zu überprüfen. Um dem Kreditkarten-Sniffing vorzubeugen, werden dabei statt Kartennummern spezielle FV-IDs übermittelt, die nur der FV-Server akzeptiert. FV sorgt dann dafür, daß der Händler sein Geld bekommt. Letzterer braucht keine Kreditkartenakzeptanzstelle zu sein, da First Virtual zwar die Belastung des Kunden über dessen Kreditkarte vornimmt, dem Verkäufer jedoch, der ebenfalls einen FV-Account besitzen muß, den Betrag auf beliebigem Wege gutschreibt.
Ein weiteres Internet-Payment-System auf Kreditkartenbasis bietet
CyberCash
seit April 1995 an. Bei CyberCash werden die Kreditkartendaten verschlüsselt und digital unterschrieben zum Händler übertragen. Dieser entschlüsselt sie allerdings nicht, so daß von seinem Server keine Daten entwendet werden können. Stattdessen fügt er weitere Angaben wie den Geldbetrag hinzu und sendet die Daten an den CyberCash-Server. Von dort aus werden die Daten in das Bankennetzwerk zur Verrechnung eingespeist.
Erst zahlen, dann kaufen.
Diese Lösung benötigt sichere Hardware, um Geld in Form einer Bitfolge auf den Smart Cards zu speichern. Der Geldaustausch erfolgt über eine Schnittstelle zu einem anderen Gerät, wobei gewährleistet sein muß, daß der Betrag beim Ausgeben auch tatsächlich gelöscht wird. Der Benutzer darf die Wirkungsweise durch physische Manipulationen nicht beeinträchtigen können. Erreicht wird dies zum Beispiel durch Chipkarten und taschenrechnergroße elektronische Geldbörsen, die Beträge zwischen Chipkarten transferieren. Dabei spielen kryptografische Protokolle eine große Rolle.
Gerade in jüngster Zeit stehen diese vorausbezahlten Karten im Mittelpunkt der Betrachtung. Die Elektronische Geldbörse ist für den Kunden dann attraktiver als Bargeld, wenn sie neben den positiven Eigenschaften, die Bargeld besitzt, auch noch einen erkennbaren Zusatznutzen erfüllt.
Tatsächlich weist die Elektronische Geldbörse - zumindest theoretisch - einige Vorteile gegenüber Bargeld auf. U.a. vermindert sie das Risiko kriminellen Mißbrauches an kassenbasierten Zahlstellen. Desweiteren vermag sie die Kosten des Bargeldhandlings, verursacht durch den täglichen Kassenabschluß oder Botengänge zur Bank lassen, zu senken.
Ein Beispiel für die Anwendung sog. Prepaid Cards sind die
Mondex
-Karten der englische National Westminster Bank. Sie speichern das Geld auf einem eingebauten Chip - im Gegensatz zu den gewöhnlichen EC- und Kreditkarten. Das Geld wird über ein Telefon mit Kartenleser bei der Bank abgehoben. Anschließend kann man mit einem taschenrechnerähnlichen Gerät namens 'Electronic Wallet' zwischen Karten hin- und herbuchen.
Diese Form des elektronischen Geldes steht den Münzen und Scheinen in nichts mehr nach. Die digitalen Geldgeschäfte beschränken sich damit nicht mehr auf Banken und speziell ausgestattete Verkaufsstellen, wie dies beispielsweise bei EC- oder Kreditkarten der Fall ist. Auch Privatpersonen können ihre Geschäfte per Karte begleichen.
Der große Vorteil von Mondex: ist das Geld erst einmal im elektronischen Kreislauf, so sind Buchungen ohne Beteiligung der Banken möglich. Auch Privatpersonen können untereinander Geld austauschen, so daß sich das elektronische Geld praktisch nicht vom Bargeld unterscheidet. Weitere Vorteile: Diskussionen über Gebühren und Datenschutz erübrigen sich durch die Anonymität. Auf der anderen Seite besteht keine Möglichkeit, kriminelle Eingriffe in das System zu lokalisieren.
Was diese Technologie betrifft, ist Deutschland noch Entwicklungsland. Der Zentrale Kreditausschuß (ZKA) - unter anderem für die EC-Karten zuständig - wollte mit rund zwei Millionen EC-Karten-Besitzern die Akzeptanz einer elektronischen Geldbörse testen.
[Link]
Die Technik des ZKA unterscheidet sich von Systemen wie Mondex: Aufgetankt werden die neuen EC-Karten an speziellen Geldautomaten. Auch die Abbuchung ist nur mit Spezialgeräten möglich. Handliche Zusatzutensilien für Umbuchungen zwischen den Karten sind nicht geplant.
Im Gegensatz zu dem Verfahren von Mondex protokolliert das Verfahren der ZKA Karten- und Buchungsnummer sowie den Betrag. Unlautere Geldvermehrung fällt beim Abgleich von Soll und Haben auf und führt zum Sperren der Karte. Das Verfahren des ZKA bietet außerdem die technischen Möglichkeiten, um Geldbeträge bei Verlust oder Defekt einer Karte zu erstatten - nicht so bei Mondex, wo der Geldbetrag einzig auf der Karte gespeichert wird.
Das Protokollieren der ZKA birgt allerdings auch Nachteile für den Verbraucher. Da die Banken über jede Buchung erfahren, können sie Buchungsgebühren beim Verbraucher erheben. Die Zahlungsabwicklung erfolgt insgesamt nicht anonym. Das Verfahren ist daher datenschutzrechtlich problematisch.
Desweiteren sammelt sich mit den Buchungen hochbrisantes Datenmaterial an. Bei dessen mißbräuchlicher Auswertung könnten die finanziellen Spuren des Anwenders der Karte nachvollzogen werden. Die Buchungsdaten erlauben komplette 'Persönlichkeitsanalysen', die sich als Entscheidungsgrundlage für Versicherungen, Kreditvergabe und Personaleinstellungen mißbrauchen ließen.
Die EG-Kommission fördert seit 1992 ein Projekt namens
CAFE
, mit dem Ziel einen Ersatz für die vielen Dokumente, die ein Europäer mit sich führen muß (Personalausweis, Führerschein, Zutrittsberechtigung zu Arbeitsräumen usw.) zu schaffen und daneben auch das Bargeld zu ersetzen.
Der Benutzer bekommt eine elektronische 'Geldbörse'. Am Anfang wird das eine Chipkarte sein, die von der jeweiligen Bank mit Geld 'geladen' werden kann (an Automaten, oder auch am Terminal zu Hause). Nun kann er elektronisch bezahlen, und da geeignete kryptographische Verfahren verwendet werden, ist das System sicher genug, so daß man mit einem entsprechen Terminal auch Zahlungen über das Internet vornehmen kann.
Die Arbeiten am CAFE-Projekt wurden im November 1995 erfolgreich abgeschlossen und ein Feldversuch im Gebäude der EG-Kommission begonnen. Einige der beteiligten Projektpartner arbeiten seitdem gemeinsam an einem Nachfolgeprojekt
SEMPER
(Secure Electronic Marketplace for Europe), das sich mit der notwendigen Infrastruktur für elektronischen Handel insbesondere über das Internet beschäftigt.
Später soll es dann ein etwa taschenrechnergroßes Gerät mit kleiner Tastatur und Infrarotsender geben, in dem dann das 'elektronische Geld' gespeichert wird.
Die wohl interessanteste Variante der elektronischen Bezahlung im Internet ist zweifelsohne das Geld, das alleine mit Software auskommt und auf der Festplatte des eigenen Rechners gespeichert wird.
Tatsuaki Okamoto und Kazuo Ohta ("Universal Electronic Cash", Springer-Verlag) beschreiben das 'Universal Electronic Cash', dem ihrer Meinung ersten idealen elektronischen Bezahlungssystems. UEC benutzt eine Kombination verschiedener kryptographischer Schlüsseltechniken.
Eine digitale Signatur dient in gleicher Weise wie eine handschriftliche Signatur der Unterzeichung eines Dokumentes. Die Erzeugung einer digitalen Unterschrift geschieht mit Hilfe eines PGP-Algorithmus - ähnlich wie oben beschrieben: Eine Person A verschlüsselt ein elektronisches Dokument mit ihrem privaten Schlüssel. Das unterschriebene Dokument wird an Person B geschickt. Person B entschlüsselt das Dokument mit dem öffentlichen Schlüssel der Person A. Ist diese Entschlüsselung möglich, so ist die Signatur 'echt'. Eine Fälschung der Signatur ist nicht möglich, da der private Schlüssel einzig und allein der Person A bekannt ist. Auch kann die Signatur nicht auf andere Dokumente übertragen oder sonst in einer Weise verwendet werden, da die Signatur eine Funktion des unterschriebenen Dokumentes ist. Ebenso kann auch das unterschriebene Dokument selbst nicht verändert werden, da das Dokument dann nicht mehr mit dem öffentlichen Schlüssel entschlüsselt werden könnte.
Electronic Cash ist allerdings ein Anwendungsfall, bei dem es gerade nicht erwünscht ist, daß der Signierende das Dokument, welches er unterzeichnen soll, sieht. Die ausgebende Bank signiert einen digitalen 'Geldschein' blind. Unter Verwendung des öffentlichen Schlüssels der Bank kann der 'Geldscheinº als gültig verifiziert werden. Die Bank kat jedoch den Geldschein nie gesehen und kann somit keinen Zusammenhang zwischen dem Geldschein und der Person, an die dieser herausgegeben wurde, herstellen.
Zur Erzeugung solcher blinder digitaler Signaturen
[Link 1]
[Link 2]
[Link 3]
benötigt man ein Protokoll, bei dem die Person A der Person B ein Dokument vorlegt. Die unterzeichnende Person B kann das Dokument jedoch nicht lesen, Person A erhält aber trotzdem eine gültige Signatur von Person B auf dem Dokument.
Nachfolgendes Beispiel verdeutlicht den Vorgang, dessen mathematische Grundlage der 'blinding factor' ist - worauf hier aber nicht näher eingegangen werden soll. Bei diesen Prinzipien greift die 'Papier-Analogie' nur schwerlich, weil inzwischen solche Datenmengen erzeugt werden müssen, daß niemand sie mehr auf einen Zettel schreiben kann. Nichtsdestotrotz ist bei einem so hochkomplizierten Algorithmus die 'Papier-Analogie' der beste Weg wenigstens einen ungefähren Einblick zu erlangen.
Im Verlauf des 'Universal Electronic Cash'-Protokolls muß die Person A, die mit dem digitalen Geld bezahlen will, nachweisen, daß sie der rechtmaßige Besitzer des verwendeten Geldscheines ist - sog. Authentifikation. Dies ist zugleich eine Sicherheitsmaßnahme gegen Mehrfachverwendung des Scheines oder eines Teiles davon. Tatsuaki Okamoto und Kazuo Ohta bedienen sich dabei der sog. 'Zero-Knowledge-Authentifikation', die auf dem Prinzip beruht, daß sich A durch den Nachweis eines bestimmten geheimen Wissens, von dem nur A Kenntnis hat, gegenüber dem Verkäufer V identifiziert. 'Zero-Knowledge' bezieht sich jedoch gerade darauf, daß A den Verkäufer V überzeugt, daß er dieses Geheimnis kennt, ohne es jedoch nur ansatzweise zu verraten. 'Zero-Knowledge' bedeutet also gerade das kein Wissen ubertragen wird.
Die Vorgehensweise der 'Zero-Knowledge-Authentifikation' wird um das 'Cut-and-Choose Prinzip' erweitert, mit Hilfe dessen es nun Identität von A derart einfließen zu lassen, daß auf diesem im Falle eines Betrugsversuches, wie beispielsweise der Mehrfachverwendung eines Geldscheines, zugegriffen werden kann. Dies wird wir folgt verwirklicht: Die Information, mit deren Hilfe man auf die Identität des Betrügers schließen kann, geht in jeden digitalen Geldschein mit ein. Diese Information wird jedoch in zwei Hälften geteilt
(cut)
. Ist man im Besitz zweier zusammengehöriger Hälften, kann die Identität von A nachvollzogen werden. Bei jedem Zahlungsvorgang stellt der Händler 'Herausforderungen' an A. Dabei entscheidet der Händler jeweils, welche der beiden Hälften an A gesendet werden soll
(choose)
Auch hier soll das Papier noch einmal - trotz Unzulänglichkeiten der Analogie - der Veranschaulichung dienen:
Person A erzeugt für dieses Protokoll zunächst eine Information I, die ihre Identität verrät, z.B. 'Ich bin Person A und wohne in der A-straße 1 in 12345 Berlin'. Mit einem Secret-Splitting-Protokoll erzeugt sie hieraus 10.000 mal ein Tupel (I1, I2)x. Kennt man zwei zusammengehörige I, kann man die Original-Information lesen; sonst nicht.
Das Problem der Teilbarkeit lösen Tatsuaki Okamoto und Kazuo Ohta mit Hilfe des Konzeptes des hierarchischen Strukturbaumes. Er spielt im Protokoll eine zentale Rolle, da er es erlaubt, einen Geldschein in strukturierter und konsistenter Form aufzuteilen. Ein elektronischer Geldschein kann damit in beliebig viele Untereinheiten aufgeteilt werden.
Sicherheit bedeutet in diesem Zusammenhang, daß das elektronische Geld weder kopiert, manipuliert noch mehrfach verwendet werden kann.
Digitales Geld nach dem Universal Electronic Cash Prinzip kann nicht kopiert werden, da alle Informationen über eine Transaktion bzw. über mehrere bei einer Bank zusammenlaufen. Das Geld kann nicht manipuliert werden, da in jedem Schritt des Zahlungsvorganges der Händler die Korrektheit der Vorgehensweise verifizieren kann.
In Zusammenhang mit dem beschriebenen Protokoll ist die Geheimhaltung bestimmter Daten ein wichtiger Aspekt. Die Privatsphäre des Benutzers ist geschützt, wenn er allen Protokolldaten genau folgt und für die Geheimhaltung der Daten sorgt.
Während des Zahlungsvorganges des Protokolls muß keine der beteiligten Parteien mit einer zentralen Stelle wie einer Bank in Verbindung treten.
Durch den Einsatz des erweiterten 'Universal Electronic Cash' Protokolls kann der elektronische Geldschein an andere Benutzer übertragen werden. Die Weitergabe kann beliebig oft durchgeführt werden.
Der elektronische Geldschein kann in beliebig viele kleinere Geldscheine geteilt werden.
Der erste Versuch mit Ecash startete mit dem
NetCash-System
der Firma Software Agents bereits im Mai 1994. Das elektronische Geld heißt dort Kupon und besteht aus der Wertangabe und einer von der Bank herausgegebenen Seriennummer. Eine digitale Unterschrift ist nicht vorgesehen.
Im Oktober 1994 begann ein Internet-weiter Großversuch. Die ersten zehntausend Interessenten erhielten jeweils hundert 'Cyberbucks' geschenkt.
DigiCash
selbst fungierte dabei als Bank. Im Frühsommer 1995 setzte dann der große Run auf Ecash ein, so daß die angebotenen Cyberbucks ausgingen. Man konnte für die Währung, die nichts wert ist, tatsächlich etwas kaufen: Bilder, Software oder Songs. Es entstanden Spielcasinos und es gibt sogar einen Markt, wo man Cyberbucks in richtiges Geld tauschen kann und umgekehrt.
[Link]
Etwa 30 000 Tester haben sich an diesem Experiment beteiligt und die Machbarkeit des Systems unter Beweis gestellt.
Die
Deutsche Bank
und die niederländische Firma DigiCash werden gemeinsam in einem weiteren Pilotversuch den Einsatz elektronischen Geldes im Internet erproben. Mit dem Pilotvorhaben verfolgt die deutsche Bank das Ziel, Einsetzbarkeiten und Akzeptanz neuartiger Zahlungsformen und -verfahren zu erproben und das Spektrum der Internet-Dienstleistungen zu erweitern.
Als erstes Geldinstitut gab die
Mark Twain Bank
am 23. Oktober 1995 Ecash in einer realen Währung, nämlich US-Dollar, aus. Die Reaktion darauf fiel zwar positiv aus, doch interessante Angebote, die man damit kaufen kann, gibt es nur wenige.
Die Entwicklung des Mediums Internet macht nun Finanztransaktionen nicht mehr nur in geschlossenen Netzen möglich, sondern auch im Internet. Vor allen Dingen wird in naher Zukunft immer mehr Zahlungsverkehr über das Internet abgewickelt werden.
Die in §261 StGB beschriebenen Geldwäsche- und Verschleierungshandlungen können auch via Internet begangen werden. Vermögenswerte können unkompliziert durch das Internet von einer Bank zu einer anderen transferiert werden. Die Anwendbarkeit von §261 StGB auch auf via Internet getätigte Transaktionen steht nicht in Frage. Allerdings eröffnet gerade ein Netzwerk wie das Internet die Möglichkeit von raschen, zahlreichen und weltumspannenden Transaktionen, deren Rekonstruktion die Strafverfolgungsbehörden aufgrund der Anonymität im Internet vor erhebliche Probleme stellen wird.
Mit Durchsetzen der neuen Zahlungstechnologien wird sich die Geldwäscheproblematik verschärfen. Obwohl bislang auch auf internationaler Ebene noch keine Geldwäschereiaffären im Internet bekanntgeworden sind, wird das Gefahrenpotential von der FATF (Financial Action Task Force on Money Laundering) als sehr hoch eingeschätzt.
Nachfolgend sind Zahlungsverkehrs-Standards verschiedener Firmen im Internet aufgeführt. Die Aufzählung erhebt keinerlei Anspruch auf Vollständigkeit, vielmehr will sie aufzeigen, in welchen Umfang bereits im Internet Vorschläge bezüglich des Zahlungsverkehrs existieren.
Nachfolgend sind einige Beispiele spezieller Software, einzelner Händler und patentrechtlich geschützter Projekte aufgeführt, die sich mit dem elektronischen Zahlungsverkehr im Internet beschäftigen.
A. Wesen des Zahlungsverkehrs
Zurück
zum Inhaltsverzeichnis
B. Entwicklung des Zahlungsverkehrs
I. Vom baren zum bargeldlosen Zahlungsverkehr
II. Bedeutung des elektr. Mediums Internet für den Zahlungsverkehr
III. Problematik eines sicheren Zahlungsystems
Zurück
zum Inhaltsverzeichnis
C. Der elektronische Zahlungsverkehr
I. Anforderungen an elektronische Zahlungssysteme
II. Varianten des elektronischen Zahlungsverkehrs im Internet
'Post-Paid' Modell
ec-Karten
Kreditkarten
Pretty Good Privacy (PGP)
Secure Socket Layer - Protocoll (SSL)
Secure HTTP (S-HTTP)
Secure Transaction Technology (STT)
Secure Electronic Transaction (SET)
Broker
First Virtual (FV)
CyberCash
'Pre-Paid' Modell
Smart Cards - elektronische Geldbörsen
Mondex
Elektronische Geldbörse in Deutschland
Conditional Access for Europe (CAFE)
'Cash' Modell
Universal Electronic Cash (UEC)
Digitale Signatur
Blinde digitale Signatur
Zero-Knowledge-Authentifikation
Cut-and-Choose Prinzip/Secret Splitting
Hierarchischer Strukturbaum
UEC - in ideales Protokoll?
Anwendungen von 'reinem' Ecash
NetCash
DigiCash
Mark Twain Bank
Zurück
zum Inhaltsverzeichnis
D. Rechtliche Aspekte
I. Strafrechtlicher Aspekt: Geldwäscherei
II. Sicherheits- und Datenschutzrechtlicher Aspekte
Zurück
zum Inhaltsverzeichnis
E. Offene Zahlungsverkehrs-Standards
Teilnehmer
Zurück
zum Inhaltsverzeichnis
Spezielle Lösungen für den Zahlungsverkehr im Internet
Zurück
zum Inhaltsverzeichnis
Zurück
zum Inhaltsverzeichnis
diese Seite enthält
Internet-Links
Digicash(http://www.digicash.com/home.html)