Die Prognosen für den Online Handel sind sehr vielversprechend. Um wirklich zu einem Cybermarkt zu werden, braucht das Internet jedoch noch ein schnelles, einfaches und vor allem sicheres Bezahlsystem. Wie die funktioniert CyberCash und welche Chancen und Risiken ergeben sich?
Schon 1999 sollen weltweit Geschäfte im Wert von mehr als 36 Milliarden US-Dollar über das Internet abgewickelt werden, wie eine Studie im Auftrag von Shop.org prognostiziert. Für die kommenden fünf Jahre geht VISA von einer jährlichen Wachstumsrate von etwa 67% beim Internet-Handel aus - entsprechend könnte im Jahr 2002 die Gesamtsumme der weltweit über das Internet erfolgten Verkäufe die 100 Milliarden US-Dollar-Marke überschritten haben. Optimistische Prognosen z.B. von Deloitte Consulting gehen sogar von 1,1 Billionen US-Dollar im Jahr 2002 aus. Doch damit das Internet zu einem wirklichen Cybermarkt wird, benötigen Anbieter wie Verbraucher ein schnelles, einfaches und vor allem sicheres Bezahlsystem, das die Problemlosigkeit des Bareinkaufs auf den Cyberkauf von Waren und Dienstleistungen überträgt.
Bei den Überlegungen für ein Zahlungsverkehrssystem in elektronischen Märkten stehen Kosten und Nutzen für alle Teilnehmer am Electronic Commerce im Vordergrund. Dennoch sind die Interessen der einzelnen Beteiligten sehr unterschiedlich:
Der Endverbraucher erwartet ein Höchstmaß an Komfortabilität. Dazu gehört, daß er alle Zahlungsarten mit einer Software bedienen kann. Eine verstärkte Akzeptanz finden mit Sicherheit die Zahlungsmittel, welche aus der realen Welt vertraut sind, wie z.B. Bargeld, ec-Karte, GeldKarte, Kundenkarte und Kreditkarte.
Der Händler legt Kriterien, wie z.B. Anzahl der potentiellen Kunden, Kosten der Softwarelösung, Erweiterbarkeit um weitere Zahlungsarten und Integrationsmöglichkeit in sein Warenwirtschaftssystem sowie in seine Organisation bei der Entscheidung für ein Internet-Bezahlsystem zugrunde.
Der Dienstleister (die CyberCash GmbH) muß wegen der notwendigen Online-Autorisierung - z.B. bei Kreditkarten - die Anbindung seines Gateways an die Gateways der verschiedenen Kreditinstitute und Kreditkartenorganisationen bereitstellen.
Wie der Zahlungsverkehr mit dem CyberCash System abläuft, erläutern die Punkte:
• Komponenten und Bezahlverfahren • Wallet und Registrierungsvorgang für den Kunden • CashRegister und Registrierungsvorgang für den Händler • CyberCash-Payment-Gateway-Server und Transaktionsverschlüsselung • Bezahlvorgänge mit Cybercoins • Bezahlvorgänge mit Electronic Direct Debit • Bezahlvorgänge mit Kreditkarte • Sicherheitsaspekte und Kosten • Cyber Cash Inc. - über das Unternehmen
Komponenten und Bezahlverfahren Kernkomponenten des Verfahrens sind die elektronische Ladenkasse (CashRegister), die elektronische Geldbörse (Wallet) und das CyberCash-Gateway (CyberCash-Payment-Gateway-Server).
Die Komponenten des CyberCash-Systems sind multizahlungsfähig, d.h., sie sind auf alle bekannten Zahlungssysteme - elektronische Münzen, Abbuchung und Kreditkarte - ausgerichtet. In Zukunft wird es neben hardwarebasierten Lösungen (GeldKarte) auch Kundenkarten geben.
Abbuchung und Kreditkarte sind bereits bewährte Zahlungsmöglichkeiten an der Ladenkasse. Die nur für die Benutzung im Internet geschaffenen CyberCoins - elektronische Münzen - sind wie Buchgeld und es findet im Gegensatz zum ecashTM-System der Deutschen Bank (entwickelt von der holländischen DigiCash) keine Geldschöpfung statt. Die rechtlichen Bedenken der Deutschen Bundesbank bezüglich der Ausdehnung der Geldmenge spielen hier keine Rolle.
Wallet und Registrierungsvorgang für den Kunden Das Wallet entspricht in den Funktionen einer elektronischen Geldbörse. Technisch betrachtet ist es eine Helper-Applikation für Netscape- oder Microsoft-Browser und kann ab WINDOWS 3.x betrieben werden. Jeder Kunde kann sich die Wallet-Software von der WWW-Seite der WestLB oder von den Webseiten der teilnehmenden Kreditinstitute (Übersicht: www.cybercash.de/ccbanken) kostenlos downloaden.
Zusätzlich lädt sich der Endanwender den Teilnahmeantrag (Kundenvereinbarung) von der WWW-Seite der WestLB - oder von den Webseiten der anderen am CyberCash-System beteiligten Banken. Nach der Installation der Software geht er persönlich zu seiner Sparkasse bzw. Hausbank und lässt sich dort gemäß §154 AO legitimieren. Er legt dazu seinen Personalausweis oder Reisepaß vor und unterschreibt den Antrag sowie die Einzugsermächtigung für das CyberCoin- und EDD-Verfahren. Im Kundenvertrag werden Name, Anschrift, E-Mail-Adresse, Bankverbindung, Kreditkartennummer und die Wallet-ID angegeben.
Die Kundendaten werden über die das Wallet ausgebende Bank ausschließlich an die CyberCash GmbH zwecks Einrichtung des Teilnehmers übermittelt. Diese nimmt dann die Freischaltung des Wallet auf dem Gateway vor. Die Registrierung ist ein einmaliger Vorgang. Installation und Benutzung eines Wallet im PC sind einfach, komfortabel und sicher. Eine Reihe von Assistenten stehen dabei zur Verfügung, die den Anwender bei allen Vorgängen unterstützen.
Beim ersten Start der Wallet-Software wird der Nutzer aufgefordert, einen Wallet-Namen, seine Anschrift, seine E-Mail-Adresse, einen Sperrcode sowie seine Konten- bzw. Kreditkartendaten einzugeben. Anschließend wird der Nutzer gebeten, ein Paßwort festzulegen. Mit diesem Paßwort wird das Wallet vor unberechtigtem Zugriff geschützt. Außerdem werden mit Hilfe des Paßworts alle zuvor eingegebenen Wallet-Daten sowie das Transaktionslogbuch verschlüsselt. Mit dem Sperrcode kann sich der Nutzer beim Operator der CyberCash GmbH authentifizieren, um z.B. im Falle einer Zerstörung des Wallet auf seiner Festplatte, das Wallet sperren zu lassen. Zur eigenen Sicherheit kann der Nutzer zusätzlich festlegen, daß Transaktionen mit einem bestimmten Bezahlverfahren oder Transaktionen, die einen bestimmten Betrag übersteigen, mit dem Paßwort zu bestätigen sind.
CashRegister und Registrierungsvorgang für den Händler Das CashRegister entspricht in seinen Funktionen einer elektronischen Ladenkasse und stellt die Verbindung zum Shopping-System des Händlers dar. Die CashRegister-Software ist für WINDOWS-NT, SUN SOLARIS und LINUX verfügbar. Sie wird dem Händler kostenlos zur Verfügung gestellt und kann ebenfalls über die WWW-Seite der WestLB oder von den Webseiten der anderen am CyberCash-System beteiligten Banken (Übersicht: www.cybercash.de/ccbanken) heruntergeladen werden. Nach einer vollständigen Installation und Konfiguration wird das CashRegister durch die CyberCash GmbH freigeschaltet. Vorher muß der Händler eine Servicevereinbarung (Händlervertrag) mit einer CyberCash-Bank abschließen. Für Sparkassen-Händler bietet die WestLB die Möglichkeit, das Girokonto der Händler bei Sparkassen, die CyberCash selbst (noch) nicht nutzen, für die Teilnahme freizuschalten.
CyberCash-Payment-Gateway-Server und Transaktionsverschlüsselung Der CyberCash-Payment-Gateway-Server gewährleistet sichere Verbindungen zwischen den Händlern und ihren Käufern im Internet und den Banken bzw. Kreditkartenorganisationen mit ihren bestehenden Netzwerken. Für die Banken bzw. Kreditkartenorganisationen sehen CyberCash-Transaktionen genau wie traditionelle ELV - bzw. Kreditkartenzahlungsvorgänge aus.
Der Payment-Gateway-Server bietet einen Firewall-Schutz, die Übersetzung von Nachrichten zwischen Internetprotokollen und Protokollen der Finanzwelt, die Pflege und Authentizität der CyberCash-Wallet-ID's, die Möglichkeit, individuelle Gebühren für Händler einzurichten und vieles mehr. Die an der CyberCash GmbH beteiligten Kreditinstitute haben keinen Zugriff auf die Daten des Payment-Gateways. Im Lizenzvertrag zwischen der CyberCash GmbH und den Banken ist der Datenschutz geregelt.
Wenn Informationen zum Händler und von dort zum CyberCash-Gateway übertragen werden, wird automatisch eine Verschlüsselung der Daten durch die Wallet des Kunden durchgeführt - die Verschlüsselung erfolgt auf der Übertragungsebene. Dazu wird die Verschlüsselungstechnologie DES (Data Encryption Standard, symmetrisches Verfahren) mit 56-Bit-Schlüssel eingesetzt. Der Schlüssel ist für jede Transaktion einzigartig ("Sessionkey") und wird vor dem Transport mittels RSA-Verfahren (asymmetrisches Verschlüsselungsverfahren) unter Verwendung von 1024-Bit-Schlüsseln kodiert. Diese Verschlüsselungstechnologie stellt zur Zeit eine Methode dar, die von der US-Regierung für den Export freigegeben ist.
Die Transaktionsdaten des Kunden werden mit DES verschlüsselt, die MD5-Prüfsumme wird mit dem privaten RSA-Schlüssel ("Private Key") signiert und an den Händler übertragen. Im CashRegister werden die Daten des Kunden und des Händlers mit derselben Methode verschlüsselt und an das Gateway übertragen. Dieses dechiffriert beide Teile des Paketes mit den jeweiligen "öffentlichen" RSA-Schlüsseln ("Public Key") und verifiziert die Daten des Kunden und des Händlers.
Während einer Transaktionssitzung müssen keine Schlüssel zwischen der Wallet des Kunden und dem CyberCash-Gateway ausgetauscht werden. Beide verfügen über alle notwendigen Informationen. Sensitive Informationen, die vom Kunden zum Händler gesendet werden, sind mit dem sitzungsabhängigen DES-Schlüssel (Transactionkey) abgesichert. Diese Daten können beim Händler nicht dekodiert werden. Dem Händler sind nur die für ihn relevanten Bestellinformationen des Kunden zugänglich. Die CashRegister-Software des Händlers ergänzt die Nachricht lediglich um eigene, wiederum verschlüsselte Zahlungsinformationen und sendet das Paket zum CyberCash-Gateway.
Teil 1 CyberCash - Sicheres Bezahlen im Internet
