CyberCash - Sicheres Bezahlen im Internet

Autor: Michael Bock  veröffentlicht am 21 Oktober 1999  

WestLBDie Prognosen für den Online Handel sind sehr vielversprechend. Um wirklich zu einem Cybermarkt zu werden, braucht das Internet jedoch noch ein schnelles, einfaches und vor allem sicheres Bezahlsystem. Wie die funktioniert CyberCash und welche Chancen und Risiken ergeben sich?

Schon 1999 sollen weltweit Geschäfte im Wert von mehr als 36 Milliarden US-Dollar über das Internet abgewickelt werden, wie eine Studie im Auftrag von Shop.org prognostiziert. Für die kommenden fünf Jahre geht VISA von einer jährlichen Wachstumsrate von etwa 67% beim Internet-Handel aus - entsprechend könnte im Jahr 2002 die Gesamtsumme der weltweit über das Internet erfolgten Verkäufe die 100 Milliarden US-Dollar-Marke überschritten haben. Optimistische Prognosen z.B. von Deloitte Consulting gehen sogar von 1,1 Billionen US-Dollar im Jahr 2002 aus. Doch damit das Internet zu einem wirklichen Cybermarkt wird, benötigen Anbieter wie Verbraucher ein schnelles, einfaches und vor allem sicheres Bezahlsystem, das die Problemlosigkeit des Bareinkaufs auf den Cyberkauf von Waren und Dienstleistungen überträgt.

Bei den Überlegungen für ein Zahlungsverkehrssystem in elektronischen Märkten stehen Kosten und Nutzen für alle Teilnehmer am Electronic Commerce im Vordergrund. Dennoch sind die Interessen der einzelnen Beteiligten sehr unterschiedlich:

Der Endverbraucher erwartet ein Höchstmaß an Komfortabilität. Dazu gehört, daß er alle Zahlungsarten mit einer Software bedienen kann. Eine verstärkte Akzeptanz finden mit Sicherheit die Zahlungsmittel, welche aus der realen Welt vertraut sind, wie z.B. Bargeld, ec-Karte, GeldKarte, Kundenkarte und Kreditkarte.

Der Händler legt Kriterien, wie z.B. Anzahl der potentiellen Kunden, Kosten der Softwarelösung, Erweiterbarkeit um weitere Zahlungsarten und Integrationsmöglichkeit in sein Warenwirtschaftssystem sowie in seine Organisation bei der Entscheidung für ein Internet-Bezahlsystem zugrunde.

Der Dienstleister (die CyberCash GmbH) muß wegen der notwendigen Online-Autorisierung - z.B. bei Kreditkarten - die Anbindung seines Gateways an die Gateways der verschiedenen Kreditinstitute und Kreditkartenorganisationen bereitstellen.

Wie der Zahlungsverkehr mit dem CyberCash System abläuft, erläutern die Punkte:

 • Komponenten und Bezahlverfahren
 • Wallet und Registrierungsvorgang für den Kunden
 • CashRegister und Registrierungsvorgang für den Händler
 • CyberCash-Payment-Gateway-Server und Transaktionsverschlüsselung
 • Bezahlvorgänge mit Cybercoins
 • Bezahlvorgänge mit Electronic Direct Debit
 • Bezahlvorgänge mit Kreditkarte
 • Sicherheitsaspekte und Kosten
 • Cyber Cash Inc. - über das Unternehmen

Komponenten und Bezahlverfahren
Kernkomponenten des Verfahrens sind die elektronische Ladenkasse (CashRegister), die elektronische Geldbörse (Wallet) und das CyberCash-Gateway (CyberCash-Payment-Gateway-Server).

Die Komponenten des CyberCash-Systems sind multizahlungsfähig, d.h., sie sind auf alle bekannten Zahlungssysteme - elektronische Münzen, Abbuchung und Kreditkarte - ausgerichtet. In Zukunft wird es neben hardwarebasierten Lösungen (GeldKarte) auch Kundenkarten geben.

Abbuchung und Kreditkarte sind bereits bewährte Zahlungsmöglichkeiten an der Ladenkasse. Die nur für die Benutzung im Internet geschaffenen CyberCoins - elektronische Münzen - sind wie Buchgeld und es findet im Gegensatz zum ecashTM-System der Deutschen Bank (entwickelt von der holländischen DigiCash) keine Geldschöpfung statt. Die rechtlichen Bedenken der Deutschen Bundesbank bezüglich der Ausdehnung der Geldmenge spielen hier keine Rolle.

Wallet und Registrierungsvorgang für den Kunden
Das Wallet entspricht in den Funktionen einer elektronischen Geldbörse. Technisch betrachtet ist es eine Helper-Applikation für Netscape- oder Microsoft-Browser und kann ab WINDOWS 3.x betrieben werden. Jeder Kunde kann sich die Wallet-Software von der WWW-Seite der WestLB oder von den Webseiten der teilnehmenden Kreditinstitute (Übersicht: www.cybercash.de/ccbanken) kostenlos downloaden.

Zusätzlich lädt sich der Endanwender den Teilnahmeantrag (Kundenvereinbarung) von der WWW-Seite der WestLB - oder von den Webseiten der anderen am CyberCash-System beteiligten Banken. Nach der Installation der Software geht er persönlich zu seiner Sparkasse bzw. Hausbank und lässt sich dort gemäß §154 AO legitimieren. Er legt dazu seinen Personalausweis oder Reisepaß vor und unterschreibt den Antrag sowie die Einzugsermächtigung für das CyberCoin- und EDD-Verfahren. Im Kundenvertrag werden Name, Anschrift, E-Mail-Adresse, Bankverbindung, Kreditkartennummer und die Wallet-ID angegeben.

Die Kundendaten werden über die das Wallet ausgebende Bank ausschließlich an die CyberCash GmbH zwecks Einrichtung des Teilnehmers übermittelt. Diese nimmt dann die Freischaltung des Wallet auf dem Gateway vor. Die Registrierung ist ein einmaliger Vorgang. Installation und Benutzung eines Wallet im PC sind einfach, komfortabel und sicher. Eine Reihe von Assistenten stehen dabei zur Verfügung, die den Anwender bei allen Vorgängen unterstützen.

Beim ersten Start der Wallet-Software wird der Nutzer aufgefordert, einen Wallet-Namen, seine Anschrift, seine E-Mail-Adresse, einen Sperrcode sowie seine Konten- bzw. Kreditkartendaten einzugeben. Anschließend wird der Nutzer gebeten, ein Paßwort festzulegen. Mit diesem Paßwort wird das Wallet vor unberechtigtem Zugriff geschützt. Außerdem werden mit Hilfe des Paßworts alle zuvor eingegebenen Wallet-Daten sowie das Transaktionslogbuch verschlüsselt. Mit dem Sperrcode kann sich der Nutzer beim Operator der CyberCash GmbH authentifizieren, um z.B. im Falle einer Zerstörung des Wallet auf seiner Festplatte, das Wallet sperren zu lassen. Zur eigenen Sicherheit kann der Nutzer zusätzlich festlegen, daß Transaktionen mit einem bestimmten Bezahlverfahren oder Transaktionen, die einen bestimmten Betrag übersteigen, mit dem Paßwort zu bestätigen sind.

CashRegister und Registrierungsvorgang für den Händler
Das CashRegister entspricht in seinen Funktionen einer elektronischen Ladenkasse und stellt die Verbindung zum Shopping-System des Händlers dar. Die CashRegister-Software ist für WINDOWS-NT, SUN SOLARIS und LINUX verfügbar. Sie wird dem Händler kostenlos zur Verfügung gestellt und kann ebenfalls über die WWW-Seite der WestLB oder von den Webseiten der anderen am CyberCash-System beteiligten Banken (Übersicht: www.cybercash.de/ccbanken) heruntergeladen werden. Nach einer vollständigen Installation und Konfiguration wird das CashRegister durch die CyberCash GmbH freigeschaltet. Vorher muß der Händler eine Servicevereinbarung (Händlervertrag) mit einer CyberCash-Bank abschließen. Für Sparkassen-Händler bietet die WestLB die Möglichkeit, das Girokonto der Händler bei Sparkassen, die CyberCash selbst (noch) nicht nutzen, für die Teilnahme freizuschalten.

CyberCash-Payment-Gateway-Server und Transaktionsverschlüsselung
Der CyberCash-Payment-Gateway-Server gewährleistet sichere Verbindungen zwischen den Händlern und ihren Käufern im Internet und den Banken bzw. Kreditkartenorganisationen mit ihren bestehenden Netzwerken. Für die Banken bzw. Kreditkartenorganisationen sehen CyberCash-Transaktionen genau wie traditionelle ELV - bzw. Kreditkartenzahlungsvorgänge aus.

Der Payment-Gateway-Server bietet einen Firewall-Schutz, die Übersetzung von Nachrichten zwischen Internetprotokollen und Protokollen der Finanzwelt, die Pflege und Authentizität der CyberCash-Wallet-ID's, die Möglichkeit, individuelle Gebühren für Händler einzurichten und vieles mehr. Die an der CyberCash GmbH beteiligten Kreditinstitute haben keinen Zugriff auf die Daten des Payment-Gateways. Im Lizenzvertrag zwischen der CyberCash GmbH und den Banken ist der Datenschutz geregelt.

Wenn Informationen zum Händler und von dort zum CyberCash-Gateway übertragen werden, wird automatisch eine Verschlüsselung der Daten durch die Wallet des Kunden durchgeführt - die Verschlüsselung erfolgt auf der Übertragungsebene. Dazu wird die Verschlüsselungstechnologie DES (Data Encryption Standard, symmetrisches Verfahren) mit 56-Bit-Schlüssel eingesetzt. Der Schlüssel ist für jede Transaktion einzigartig ("Sessionkey") und wird vor dem Transport mittels RSA-Verfahren (asymmetrisches Verschlüsselungsverfahren) unter Verwendung von 1024-Bit-Schlüsseln kodiert. Diese Verschlüsselungstechnologie stellt zur Zeit eine Methode dar, die von der US-Regierung für den Export freigegeben ist.

Die Transaktionsdaten des Kunden werden mit DES verschlüsselt, die MD5-Prüfsumme wird mit dem privaten RSA-Schlüssel ("Private Key") signiert und an den Händler übertragen. Im CashRegister werden die Daten des Kunden und des Händlers mit derselben Methode verschlüsselt und an das Gateway übertragen. Dieses dechiffriert beide Teile des Paketes mit den jeweiligen "öffentlichen" RSA-Schlüsseln ("Public Key") und verifiziert die Daten des Kunden und des Händlers.

Während einer Transaktionssitzung müssen keine Schlüssel zwischen der Wallet des Kunden und dem CyberCash-Gateway ausgetauscht werden. Beide verfügen über alle notwendigen Informationen. Sensitive Informationen, die vom Kunden zum Händler gesendet werden, sind mit dem sitzungsabhängigen DES-Schlüssel (Transactionkey) abgesichert. Diese Daten können beim Händler nicht dekodiert werden. Dem Händler sind nur die für ihn relevanten Bestellinformationen des Kunden zugänglich. Die CashRegister-Software des Händlers ergänzt die Nachricht lediglich um eigene, wiederum verschlüsselte Zahlungsinformationen und sendet das Paket zum CyberCash-Gateway.

CyberCoins sind das virtuelle Bargeld des CyberCash-Systems. Mit CyberCoin ist es möglich, sogenannte "Micropayments", also Kleinstbeträge, zu bezahlen. Der Käufer im Netz kann mit seiner virtuellen Geldbörse (Wallet) über CyberCoins verfügen. Dafür muß er die Wallet zunächst mit dem von ihm gewünschten Geldbetrag aufladen. Dieses Geld befindet sich jedoch nicht tatsächlich im Wallet. Vielmehr erfolgt eine Buchung vom Girokonto des Kunden auf ein spezielles Schattenkonto bzw. auf ein Verrechnungskonto (Agency Account) eines der am CyberCash-Verfahren beteiligten Kreditinstitute. Die im Wallet befindlichen CyberCoins können somit als eine Art Kontostand verstanden werden. In diesem System ist der Kunde jederzeit vor einem Verlust seines Guthabens geschützt, denn bei Zerstörung des Wallet können die CyberCoins am CyberCash-Gateway reaktiviert werden. Benötigt der Kunde seine CyberCoins nicht mehr in seinem Wallet, können diese durch einfaches Entladen wieder seinem Girokonto gutgeschrieben werden.

Der Ladevorgang: Nach Öffnung des Wallet (1) gibt der Kunde an, welchen DM-Betrag er von seinem Girokonto in sein Wallet (eigentlich auf sein CyberCoin-Schattenkonto) übertragen möchte(2). Zusammen mit den bereits bei der Initialisierung eingegebenen erforderlichen Angaben wird das Datenpaket über das Internet verschlüsselt zum CyberCash-Gateway übertragen (3).

Die durch die Sicherungsmechanismen geschleusten Daten werden vom Gateway entschlüsselt und auf Korrektheit überprüft. Bei erfolgreicher Prüfung wird ein DTAUS (Datenträgeraustausch) -Datensatz für die Belastung des Girokontos sowie für die Gutschrift auf dem Agency Account erstellt und die CyberCoins werden dem Kunden in seinem Wallet angezeigt. Abhängig davon, ob der Kunde sein laufendes Konto bei einer an CyberCash angeschlossenen Bank unterhält oder nicht, erfolgt eine direkte Belastung seines Girokontos mit dem gewünschten Ladebetrag und eine Gutschrift auf das entsprechende Verrechnungskonto (Agency Account) oder ein Einzug des Geldbetrages im banküblichen Lastschriftverfahren (4).

Nach Freischaltung seines Wallet erhält der Kunde von der CyberCash GmbH eine E-Mail, in der u.a. alle Händler genannt werden, bei denen die Bezahlung mittels CyberCash möglich ist. Bei CyberCoins handelt es sich - wie bei der GeldKarte - um ein "Pay-before"-Verfahren.

Sehen Sie hier den typischen Ablauf einer CyberCoin-Transaktion am Beispiel eines Software-Kaufs.

Bezahlvorgänge mit Electronic Direct Debit
Electronic Direct Debit (EDD) ist den aus der realen Einkaufswelt bekannten Zahlungssystemen nachempfunden, bei denen der Kunde statt mit Bargeld mittels einer maschinenlesbaren Karte - zumeist mit der ec-Karte - Bezahlvorgänge tätigen kann und der Rechnungsbetrag automatisch von seinem Konto abgebucht wird. Mit dem CyberCash-Wallet können Kunden bequem im Internet einkaufen gehen und den Kaufpreis von ihrem Girokonto abbuchen lassen. Bei der elektronischen Lastschrift handelt es sich - wie beim ELV - um ein "Pay-now"-Verfahren.

Sehen Sie hier den typischen Ablauf einer Electronic Direct Debit-Transaktion.

Bezahlvorgänge mit Kreditkarte
Der Einkauf mittels Kreditkarte per CyberCash-Wallet ist seit März 1999 für die EUROCARD und seit September 1999 für die VISA-Card möglich. Die Einbindung der anderen Kreditkarten in CyberCash wird später folgen. Die Abwicklung erfolgt innerhalb des CyberCash-Systems mit dem speziellen C5-Protokoll.

Bei Kreditkartenzahlungen liegt das Zahlungsrisiko beim Händler, da diese Zahlungen von den Kreditkartengesellschaften derzeit wie MOTO-Zahlungen (Mail-Order Telephone-Order) behandelt werden. Es wird angestrebt, Kreditkartenzahlungen auf Basis von SETTM (Secure Electronic Transaction) in 2000 anbieten zu können. Der Vorteil für den Händler ist dann eine vom Kartenherausgeber gewährte Zahlungsgarantie. Bei den Kreditkartenzahlungen handelt es sich - wie im realen Handel - um "Pay-later"-Verfahren.

Sehen Sie hier den typischen Ablauf einer Kreditkarten-Transaktion.

Der Einsatz von Micropayments ist für dynamisch erzeugte digitale Güter vorgesehen, zunächst aber nur auf nationaler Ebene, ein Händlerrisiko besteht bei CyberCoins nicht. Electronic Direct Debit (EDD) und Kreditkarte stellen auf Lieferware ab, bei beiden Bezahlverfahren liegt das Zahlungsrisiko beim Händler. EDD ist ebenfalls nur national einsetzbar, während Kreditkarten international einsetzbar sind.

Beim EDD-Verfahren und bei Kreditkartenzahlungen über das C5-Protokoll ist der Kunde registriert. Die CyberCash GmbH ist berechtigt - aber nicht verpflichtet - dem Händler die Adresse des Käufers bei vermuteten Mißbrauch mitzuteilen. Auch der Käufer kann bei der CyberCash GmbH nachvollziehen lassen, wer nicht liefert. Anonymität besteht insofern, als der Händler keine Kundendaten lesen kann und umgekehrt.

Bei Erhalt der vom Kunden bestätigten Bestell- und Zahlungsinformationen fügt das Cash-Register des Händlers dessen Identifikationsmerkmale hinzu und leitet die gesamten Daten an den CyberCash-Gateway-Server weiter.

Die Verschlüsselung erfolgt analog der Übertragung vom Kunden zum Händler.

Im Unterschied zu konventionellen Kreditkartentransaktionen sieht der Händler die Kreditkartennummer nicht. Hierdurch wird der Kunde vor einem Mißbrauch der Nummer durch den Händler geschützt.

Es werden alle beim Gateway zur Verifizierung von Transaktionen benötigten Daten nach einem Hash-Algorithmus (2048-Bit-RSA-Schlüssel) kodiert. Es ist nicht möglich, aus diesen kodierten Daten wieder die ursprünglichen Informationen zu erzeugen. Um die Gültigkeit und Integrität von Daten zu ermitteln, werden diese ebenfalls verschlüsselt und mit den gespeicherten Hash-Werten verglichen.

Der Händler zahlt einen Preis für jede über das CyberCash-System abgewickelte Zahlung. Je nach Bezahlverfahren (CyberCoin, EDD, Kreditkarte) werden dem Händler volumen- oder mengenabhängige Preise berechnet. Für die Freischaltung des CashRegisters ist ein einmaliger Preis zu zahlen. Der Händler erhält monatlich eine Rechnung über die angefallenen Transaktionsgebühren von seinem Kreditinstitut. Die Rechnung weist detailliert alle Vorgänge und Gebühren aus (analog den Abrechnungen von Netzbetreibern aus dem ec-cash-System).


Cyber Cash Inc. - über das Unternehmen
Die CyberCash Inc. wurde im August 1994 in Reston, Virginia, USA von Bill Melton - dem Gründer von VeriFone - gegründet und beschäftigt ca. 315 Mitarbeiter.

Die Markteinführung von Kreditkarten fand 1995 statt, CyberCoin startete im Oktober 1996. In den USA sind über 80 % aller Banken an das CyberCash-System angeschlossen. 10 Millionen Wallet-Downloads sind bisher erfolgt; pro Woche finden über 1 Million Zahlungsverkehrs-Transaktionen bei über 17.200 Händlern statt. Monatlich werden ca. 1.100 neue Händler gewonnen. Das CyberCash-System ist weltweit Marktführer für Internet-Bezahlsysteme. Mittlerweile hat sich CyberCash global orientiert. Es wird u.a. auch in England und Japan angeboten. Für die Einführung in Deutschland wurde sogar ein neues Zahlungsverfahren - EDD (Electronic Direct Debit) - entwickelt.

Gesellschafter und Gründungsmitglieder der im Januar 1998 gegründeten CyberCash GmbH, Frankfurt am Main, sind neben der Westdeutschen Landesbank Girozentrale (10 %), auch die Dresdner Bank AG (25 %), die CyberCash Inc. (25%), die Landesbank Sachsen Girozentrale über die VirBus AG (12,5%), die Stadtsparkasse Köln (2,5 %), die Commerzbank AG (12,5%) und die Bayerische Hypo- und Vereinsbank AG (12,5%). Inzwischen ist auch die Landesbank Baden-Württemberg der Gesellschaft beigetreten. Die CyberCash GmbH ist offen, jedes deutsche Kreditinstitut kann eine Lizenz zum Vertrieb des CyberCash-Systems erwerben.

Lizenzbanken sind bereits die Postbank, die Sparkasse Aachen, die Sparkasse Gelsenkirchen, die Stadtsparkasse Düsseldorf und zukünftig die Stadtsparkasse Wuppertal.

Ziel des CyberCash Konsortiums ist die Schaffung eines Internetbezahlstandards für Deutschland. Die Kundengruppen der WestLB, Landesbank für Nordrhein-Westfalen und Brandenburg mit den angeschlossenen Sparkassen, repräsentieren rund ein Viertel der Bevölkerung in Deutschland. Für eine ausreichende Verbreitung kann also gesorgt werden.

Thema des Eintrags (Marketing, eCommerce)
  • E-Commerce
  • E-Payment