Electronic Commerce
Â
Einleitung
Definition Electronic Commerce:
"Electronic Commerce ist jede geschäftliche Transaktion, die per Telekommunikation durchgeführt wird. Das beginnt mit der Werbung und Information, reicht über Angebote, kann die Bestell - und Lieferprozesse umfassen und betrifft zunehmend auch das Bezahlen."[1]
"Alle sprechen von Electronic Commerce und jeder meint etwas anderes. Es handelt sich hierbei um Überbegriffe für Formen der elektronischen Kommunikation ("paperless") im Rahmen der Geschäftsabwicklung. Beispiele sind Elektronische Märkte, Online - Systeme, EDI, E - Mail oder Telefon - Banking. Ihnen allen gemein ist die elektronische Übertragung von Daten. Da sie keine spezifische Einsatzstrategie beinhalten, bleibt es den Anwendern überlassen, die sich ihnen bietenden Möglichkeiten sinnvoll zu nutzen."[2]
Folgende Arbeit befaßt sich in diesem Zusammenhang mit dem Thema "Sicherheit". Es wird zuerst der Begriff "Electronic Commerce" definiert, bevor dann einzelne Formen des Electronic Commerce näher betrachtet werden. Hierbei werden dann besonders die Probleme der Datensicherheit in jeder der einzelnen Formen herausgestellt und nach Lösungsmöglichkeiten gesucht. Die Abhandlung der einzelnen Anwendungsformen orientiert sich in der Reihenfolge an der Art des Informationskanals, der bei der Anwendung genutzt wird. Unterschieden werden hier
-
Bankinterne Datennetze Telefon Internet
2. Bankennetz
2.1. Geldautomat
Man steckt die EC - Karte in den Automaten, dieser liest den Magnetstreifen auf der Karte und fordert zur PIN - Eingabe auf, wenn er die Karte als Euro - Scheckkarte anerkennt. Danach tippt man die PIN (Persönliche IndentifikationsNummer) und den gewünschten Betrag ein. Der Geldautomat gibt die Daten der Karte und der Eingabe an den Rechner der Bank weiter, der diese dann prüft. Sind die Angaben richtig und der gewünschte Betrag vom Konto abbuchbar, teilt der Bankrechner dies dem Geldautomaten mit, der dann den gewünschten Betrag auszahlt und die Karte zurückgibt.Eventuelle Sicherheitsfragen, die dieses System aufwirft, sind diese:
Kann man die EC - Karte fälschen ?
Ja, für die Automatenlesbarkeit ist nur der Magnetstreifen zu kopieren. Dazu können Hacker z.B. den Türöffnungsmechanismus manipulieren, um so zeitgleich mit dem Öffnen der Tür eine Kopie der Karte zu erhalten.
Kann man beim Eingeben der PIN beobachtet werden ?
Es gibt jede Menge Tricks, um eingegebene PINs auszuspähen. Es können Spiegel oder kleine Kameras installiert, die Tasten mit - für den Benutzer unsichtbarem - Pulver bestäubt oder sogar die elektromagnetischen Wellen, die beim Eintasten der PIN erzeugt werden, abgehört werden. Abhilfe könnte nur ein System bringen, das zum einen die elektromagnetischen Strahlungen abschirmt und zum anderen den Bankkunden persönlich erkennt. Siemens - Nixdorf hat solch einen Automaten entwickelt, der das Gesicht des Kunden mit einem vorher gespeicherten Muster vergleicht. Nachteil dieser Gesichtskontrolle ist, dass man nicht mal eben seine Gattin zum Geldautomaten schicken kann, wenn man selbst z.B. krank im Bett liegt. Hier schafft jedoch eine Zweitkarte Abhilfe.
Kann man die PIN knacken ?
Die PIN ist auf dem Magnetstreifen der Karte gespeichert. Sie ist dort zwar verschlüsselt, jedoch mit vertretbarem Aufwand auch decodierbar. Laut Zimmermann[3], einem Ex - Hacker, gibt es einen noch schnelleren Zugriff auf die PINs von gestohlenen oder kopierten Karten: Geldautomaten enthalten eine, im allgemeinen gut geschützte, Black - Box, die die eingetippte PIN mit der auf der Karte vergleicht und meldet, ob die richtige PIN eingegeben wurde. In modernen Geldautomaten ist diese Box gut gegen Mißbrauch gesichert und zerstört sich bei Ausbauversuch selbst. Es ist laut Zimmermann jedoch einer Bande gelungen, eine Box aus einem älteren Automaten auszubauen und diese zum Herausbekommen der PINs zu nutzen.
Hierzu ein Urteil des Amtsgerichtes Oschatz in Sachsen vom Februar 1996: "Durch den Sachverständigen wurde dargelegt, dass es durchaus möglich ist, auch ohne Kenntnis der persönlichen Geheimzahl diese zu ermitteln. Dafür ist ein Kartenlesegerät sowie ein Laptop mit entsprechendem Programm ausreichend....."[4]Das ZDF - Magazin "Wiso" berichtete, dass in der Zeit von August bis Mitte Oktober 1996 Geldautomaten der Berliner Sparkasse jede beliebige PIN akzeptierten. In der gleichen Sendung führte ein Bankkunde seine ungewöhnliche EC - Karte vor: Mit dieser Karte konnte man ohne PIN Geld abheben. "Der Schluß liegt nahe, dass es mit der Sicherheit am Geldautomaten öfter hapert, als den Banken lieb ist."[5] Die Sendung "Explosiv" auf RTL vom 11.9.97 berichtete von einem Fall, in dem ein Bastler und Computerfreak mitten in die Fußgängerzone einen selbstgebauten Geldautomaten an eine Hauswand gehängt hatte. Dieser Automat übertrug per Funk die Daten der EC - Karte und die vom Benutzer eingetippte PIN auf den Computer des Betrügers, bevor er die Karte ohne Geldauszahlung wieder auswarf. Der Mann konnte jedoch verhaftet werden, nachdem mißtrauische Benutzer der Attrappe die Polizei informiert hatten. Unzählige Magnetstreifendaten und die dazugehörigen PINs waren schon auf dem Laptop gespeichert worden. Dies ist möglich gewesen, weil heutige Karten nicht nachprüfen, ob sie in einem echten Terminal stecken oder mit einem echten Netzwerk verkehren. Eine solche Kontrolle ist nur möglich, wenn die Karte "rechnen" kann. Eine Debit -, Bancomat - oder Kreditkarte braucht also einen Prozessor, wie dies bei Chip - Karten der Fall ist. Deshalb werden Chip - Karten die heutigen Magnetstreifen - Karten ersetzen. Neben einer höheren Sicherheit bieten sie auch eine größere Benutzerfreundlichkeit. Einige auf Chip - Karten - Technologie basierende Zahlungssysteme haben schon einen Schritt in diese Richtung getan. Erstaunlicherweise ist Europa in dieser Beziehung weiter als die USA. So offeriert das Mondex - System[6], das von der National Westminster und der Midland Bank in Zusammenarbeit mit British Telecom entwickelt wurde, eine breite Palette von Dienstleistungen, wie Aufladen mit Hilfe eines speziellen Telefongeräts, Geldtransfer von Karte zu Karte oder Zahlungen in verschiedenen Währungen. Durch Multifunktionalität wird die Attraktivität von Karten noch erhöht. Sie werden dann auch für nichtfinanzielle Dienstleistungen benutzt, wie z. B. als Identitätskarte, Führerschein oder medizinischer Datenträger. Der heute fast selbstverständlichen ständigen Erhöhung der Speicherkapazität und Rechenfähigkeit werden bald weitere technische Verbesserungen folgen. So ist die Entwicklung von Karten, welche kontaktlos mit einem Terminal kommunizieren, weit fortgeschritten. Es wird sogar die Möglichkeit untersucht, Chip - Karten mit einer rudimentären Tastatur und einem kleinen Bildschirm auszurüsten.
Gibt es sonstige Risiken ?
Ja, und zwar eines, das nicht nur das Konto oder den Geldbeutel gefährdet, sondern auch die Gesundheit des Kartenbesitzers: Wenn nämlich die Sicherheitsvorkehrungen der EC - Karten und - Automaten so hoch und unüberwindbar sind, oder derjenige, der sie überlisten will, nicht klever genug dazu ist, kann er die Bekanntgabe der Geheimnummer auch durch Androhung oder Ausübung von körperlicher Gewalt erzwingen. Hier sind die Banken gefragt, die durch Einführung einer zweiten Geheimzahl, einer sogenannten PEN (Personal Emergency Number) solche Überfälle erschweren könnten. Nach Eingabe der PEN wird dann zwar vom Geldautomaten Geld ausbezahlt, jedoch wird zeitgleich die Polizei verständigt, die dem Opfer dann evtl. zu Hilfe kommen kann.
3. Telefon
3.1. Telebanking
Beim Telebanking werden Bankgeschäfte aus der Ferne getätigt. Man muss nicht mehr zur Bankfiliale gehen, um z.B. eine Rechnung zu überweisen, sondern man kann dies mit Hilfe eines Telefons oder eines Computers veranlassen, mit dem man den Überweisungsauftrag übermittelt. Nutzt man ein Telefon, spricht man vom Telefonbanking, nutzt man einen PC, nennt man dies Homebanking. Wenn der PC seine Daten dabei über das Medium Internet an die Bank sendet, heißt das Internet Banking. Ein genereller Vorteil des Telebanking gegenüber dem herkömmlichen Bankschalter ist die meist 24 - stündige Verfügbarkeit des Computersystems. Man ist also nicht an Öffnungszeiten gebunden, um Überweisungen zu tätigen, Kontoauszüge abzuholen oder Bargeld abzuheben. Des weiteren sind die Gebühren des Telebanking oft geringer als beim herkömmlichen Bankgeschäft. Da man weder beim Telefonbanking noch beim Homebanking am PC oder beim Geldabheben am EC - Automaten einen Personalausweis vorzeigen muss und einem kein Bankangestellter ins Gesicht schauen oder die Unterschrift prüfen kann, muss man sich auf anderem Wege identifizieren und legitimieren. Beim Bankautomaten und beim Telebanking tut man dies durch eine PIN (Persönliche IdentifikationsNummer), beim Homebanking zusätzlich mit TANs (TransAktionsNummern), die nur einmal benutzt werden können, bevor sie ungültig werden. Die Bank schickt dem Benutzer im Vorfeld eine Liste mit meist 50 TANs zu.3.2. Telefonbanking
Beim Telefonbanking nutz man ein Telefon, um mit seiner Bank in Verbindung zu treten. Meist spricht man dabei gar nicht mit einem Menschen, sondern mit einem Telefoncomputer, der durch Töne gesteuert wird, die das Telefon erzeugt, wenn man die verschiedenen Zahlen auf dem Wählblock drückt. Dazu muss das Telefon mehrfrequenzwahlfähig sein und beim Drücken der Zifferntasten eben diese Töne erzeugen können. Sollte das Telefon noch eine Wählscheibe haben, kann man den Telefoncomputer der Bank meist auch durch Spracheingabe steuern. Hierbei werden die sonst zu drückenden Ziffern dann ausgesprochen, doch kommt es dabei nicht selten vor, dass man die Eingaben wiederholen muss, weil der Computer die Eingabe nicht richtig verstanden hat.Man wählt also nun die Nummer des Geldinstituts, tippt oder spricht seine Kontonummer und seine PIN ein. Nun stehen dem Benutzer eine Reihe von Möglichkeiten offen: Man kann sich Konto - oder Depotstände bzw. - umsätze ansagen lassen, Daueraufträge löschen, einrichten oder ändern, Überweisungen in Auftrag geben, usw. Angenommen, es soll eine Überweisung durchgeführt werden, so tippt man die Ziffer zum Aufgeben einer Überweisung ein, gibt dann die Kontonummer und BLZ des Empfängers und den zu überweisenden Betrag an. Anschließend schließt man die Bankanweisung in den meisten Fällen mit einer TAN ab. Soviel zur Vorgehensweise. Nun kann man sich bei diesem System über diverse Sicherheitsrisiken Gedanken machen:
Scanner
Schon die Bank gibt dem Telefonbankingkunden den Ratschlag, das Telefonbanking nicht mit einem schnurlosen Telefon zu betreiben. Ein schnurloses Telefon überträgt die Töne und Sprache per Radiowellen zur Feststation. So lässt sich mit Hilfe eines Empfängers (Scanner) jedes Gespräch und somit jede Telfonbanking - Transaktion mithören und Kontonummern und PINs auslauschen. Ein Scanner ist relativ erschwinglich und kostet ca. 200. - DM. Nicht so leicht abzuhören ist das digitale Mobilfunknetz der D - und E - Netze, absolut lauschsicher sind diese aber auch nicht.
Telefonleitung
Wenn ein Außenstehender Zugang zu einer Telefonleitung hat, kann er mit noch weniger technischem Aufwand Gespräche belauschen und sich sogar dazwischenschalten. Auf diesem Wege kann er dem Telefonbanking - Kunden sogar vortäuschen, mit seiner Bank verbunden zu sein, ohne dass dies wirklich der Fall ist. Hierbei gibt der Kunde dem Lauscher dann seine Kontonummer, PIN und aktuelle TAN, und der Lauscher braucht dann nur noch bei der Bank anzurufen und kann soviel Geld wie möglich auf ein eigenes Konto überweisen. Bei den meisten Häusern liegen die Post - bzw. Telekomverteilerkästen an den Hausaußenseiten in Gesichtshöhe, so dass sich jeder ohne großen Aufwand Anschluß zu den Telefonleitungen verschaffen kann. Manche Verteilerkästen, die übrigens nicht einmal verschlossen oder verblombt sind, liegen auch in den Kellerräumen und sind oft nach Gelangen in den Hausflur frei zugänglich. Hier kann dann noch ungestörter gelauscht werden als an der Hausaußenseite.
Wahlwiederholung
Eine noch einfachere Variante, an die Kontonummer und die PIN zu kommen, ist die Möglichkeit, die an fast allen Tastentelefonen verfügbare Option "Wahlwiederholung" zu nutzen. Denn nicht nur die Telefonnummer des Banking - Computers wird gemerkt und wiederholt, sondern auch die Kontonummern, Steuerungsbefehle und PINs. Noch komfortabler für schnüffelnde Dritte ist ein Telefon mit Display, bei dem man die zuletzt gewählte Nummer auch noch angezeigt bekommt. Man sollte nach Erledigung des Bankgeschäfts den Hörer auflegen, wieder abnehmen und eine Taste drücken, um so die Wahlwiederholung zu löschen. Aber auch das führt nicht immer zum Erfolg, denn manche Telefone können bis zu 10 der zuletzt gewählten Rufnummern speichern und wiederholen.
Dienstverweigerung
Man kann einem Telefonbankingkunden auch auf etwas indirekterem Weg Schaden zufügen, indem man ihm den Zugang zu seinem eigenen Konto sperrt. Man muss nur oft genug eine falsche PIN eingeben, um den Computer das Konto sperren zu lassen. So kann man zum Beispiel einen Konkurrenten daran hindern, in kritischen Momenten finanziell flexibel zu reagieren. Diese Masche haben schon weit vor der Zeit des Telefonbankings Zuhälter angewandt. Damals kostete ein Telefongespräch noch 20 Pfennig pro Tag. Zuhälter riefen aus abgelegenen Telefonzellen zahlungsunwillige Callgirls an und legten nach dem Gespräch den Hörer daneben. So war deren Anschluß bei Einwurf von einer Mark für mehrere Tage besetzt und für deren Kunden nicht mehr erreichbar. Dieses simple Druckmittel war oft effektvoller als körperliche Gewalt.
Der Schutz der Telefonbankingkunden ließe sich verbessern, wenn man den Informationsaustausch zwischen Kunden und Bank verschlüsseln würde. Telefoniert der Kunde nur von zu Hause mit seiner Bank, könnte ein Gerät, das in Großserie produziert nicht teuer sein müsste, zwischen Telefon und Anschlußdose gesteckt werden. Nachteil hierbei: Unterwegs in Telefonzellen oder im Büro wäre die Verschlüsselungsbox nicht dabei.
4. Internet
4.1. Homebanking mit dem PC
"Im Vergleich zum Vorjahr hat sich die Zahl der online geführten Konten nahezu verdoppelt: von 1,8 auf nunmehr rund 3,5 von insgesamt 80 Millionen Girokonten. Nach der neuesten Statistik des Bundesverbands deutscher Banken haben die privaten Banken sowie die Sparkassen daran jeweils einen Anteil von 1,2 Mio Konten; die Postbank meldet 450.000, und die Volks - und Raiffeisenbanken verzeichnen 630.000 Onlinekonten. Noch läuft das Homebanking weitgehend über T - Online; bei den privaten Banken beispielsweise gibt es nur 100.000 Internetkonten."[7]Da sowohl im Fall des Homebankings als auch des Shoppings mit dem PC meist die Paßwörter, Kontozugangsdaten, PINs, TANs, das digitale Geld und die Kreditkartennummern auf dem Computersystem gespeichert sind und über das Internet oder bestenfalls T - Online transprotiert werden, ist es an dieser Stelle angebracht, die Begriffe des Datenschutzes und der Datensicherheit zu erwähnen:
Datenschutz:
"Grundrecht, Persönlichkeitsrecht, Recht auf informationelle Selbstbestimmung [BVG - Urteil zur Volkszählung, 15.12.1983]. Geschützt werden nicht die Daten, sondern die Persönlichkeit vor Mißbrauch ihrer Daten."[8] "Es geht in erster Linie um die Einhaltung von Vorschriften, wie sie im Bundesdatenschutzgesetz festgelegt sind, aber auch in anderen Gesetzen (z.B. Betriebsverfassungsgesetz)"[9]
Im Rahmen des Electronic Commerce wird hierauf jedoch nicht weiter eingegangen.
Datensicherheit:
"Als Datensicherheit bezeichnet man den Schutz der Daten vor Zugriffen von unberechtigten Personen und den Schutz gegen zufälliges oder absichtliches Verändern oder Zerstören der Daten."[10] Auch der Schutz vor äußeren Gewalten, Sabotage oder Nichtverfügbarkeit gehört zur Datensicherheit.
Im Hinblick auf Electronic Commerce ist hier zu prüfen, inwieweit die Techniken und Übertragungswege der EC - Anwendungen Schutz vor unberechtigten Zugriffen und Manipulation der Daten bieten oder nicht. Um die Möglichkeiten, einen Informationsfluß im Internet effektiv schützen zu können, genauer zu analysieren, ist es zunächst notwendig, den Ablauf und die Schnittstellen einer Transaktion genauer zu betrachten. Dabei zeigen sich drei wesentliche Angriffspunkte, eine Information abzuhören, zu manipulieren oder zu zerstören, nämlich
-
am Zielserver während der Übertragung am PC des Kunden.
Um diese Problematik zu überwinden, wurden für jede der Schnittstellen Schutzmechanismen und Technologien entwickelt. Im folgenden werden diese näher betrachtet:
Schutz des Servers
Bei dem Schutz des Servers geht es im wesentlichen darum, fremde, unauthorisierte Zugriffe und das Eindringen von Fremdprogrammen zu verhindern. Um dies zu erreichen, werden sogenannte Software - Firewall - Systeme eingesetzt. Es ist Hackern jedoch schon des öfteren gelungen, in diverse Firewallsysteme einzudringen und erheblichen Schaden anzurichten. So ist laut Zimmermann[11] das Rechnernetz der amerikanischen Telefongesellschaft AT&T durch 6 Firewalls geschützt und es gäbe dennoch fast täglich unerwünschten Hackerbesuch. Dennoch ist ein solcher Angriff meist mit sehr hohem Aufwand verbunden.
Ãœbertragungssicherheit
Um eine Information oder Transaktion, die im Internet meist über eine Vielzahl von verschiedenen Servern läuft, vor Manipulationen zu schützen, wird diese vor dem Absenden verschlüsselt. Dabei kommen zumeist standardisierte Verfahren, wie RSA und DES zur Anwendung. Um die Information lesbar zu machen, benötigt man einen spezifischen Schlüssel zum "Entsperren" des Datenstromes. Theoretisch bestünde die Möglichkeit, entweder das Verfahren selbst anzugreifen oder aber alle Möglichkeiten für den Schlüssel auszuprobieren, bis man den richtigen gefunden hat. Die Verschlüsselungsverfahren RSA[12] (Rivest, Shamir, Adleman) und DES (Data Encryption Standard) haben sich in der Vergangenheit als Sicherheitsstandards bewährt und durch die Wahl von hinreichend hohen Schlüssellängen kann man die Möglichkeit, den Schlüssel zu errechnen, auch praktisch ausschließen. Expertenmeinungen besagen, dass der Einsatz eines Schlüssels mit einer Länge von 128 Bit ausreichen sollte, um die nächsten 20 Jahre derart verschlüsselte Datenströme nicht mit einem vertretbaren Aufwand knacken zu können. Man kann also davon ausgehen, dass die Übertragungssicherheit einer Transaktion durch den Einsatz von anerkannten Verschlüsselungsverfahren und einer Schlüssellänge über 100 Bit nicht zu umgehen ist.
Schutz des Kunden - PC
Der Kunden - PC ist eindeutig das schwächste Glied in der Kette und am schwierigsten zu schützen. Der PC ist immer genau so sicher, wie das Netz, an dem er hängt. Ein an das Internet angeschlossener PC bietet einem Hacker eine Fülle von Angriffspunkten. Man kann von einem Nutzer, der im Internet surft, nur sehr schwer verlangen, dass er einen Überblick über die Dinge behält, die sich beim Laden der verschiedenen Seiten auf seinem PC abspielen. So ist es durchaus jederzeit möglich, dass sich beim Downloaden von Shareware oder anderen Programmen gleichzeitig auch Viren oder trojanische Pferde auf dem PC ausbreiten, ohne dass der Nutzer dies zunächst bemerkt.
Computerviren: Ein Computervirus ist ein Programm, das sich in andere Programme hineinschmuggelt und dann zusammen mit diesen aufgerufen wird. Diese Vieren vervielfältigen sich über die infizierten Programme (Wirte) selbst, können aber auch noch andere Befehle ausführen. Zum Beispiel könnte es die Kontozugangsdaten unbemerkt an Dritte übertragen, z.B. über E - Mail.
Trojanische Pferde: Trojanische Pferde wirken wie ganz normale Programme, führen aber verbotene Aktionen aus, die der Nutzer des Programmes nicht ahnt. So haben Hacker in den USA Anfang des Jahres versucht, einer Bank 100 CD - Roms mit einer manipulierten Version des Betriebssystems "Windows 95" unterzujubeln. Man hatte es als Werbegeschenk für gute Microsoft - Kunden deklariert. Diese Version hätte "sensible Daten auf den betroffenen PCs sammeln und dann per Modem nach außen schicken sollen"[13], um so den Hackern "beispielsweise Codes zur Autorisierung von internationalen Überweisungen"8zu übermitteln. Ein weiteres Beispiel eines trojanischen Pferdes kommt ebenfalls aus den USA.. "Den Angaben zufolge schleuste Carlos Felipe Salgado ein Programm ins Netz ein, mit dessen Hilfe er die Kreditkartendaten der Kunden von rund einem Dutzend Firmen sammelte, die ihre Produkte über das Internet vertreiben. Hätte Salgados Plan funktioniert, wären mindestens 100.000 Kunden betroffen gewesen, die dies erst am Monatsende beim Erhalt der Kreditkartenrechnung bemerkt hätten."[14] Doch der Provider, auf dessen System er das Programm installiert hatte, entdeckte dieses und informierte das FBI...
Standardprogramme: Standardprogramme wie z.B. der Netscape - Navigator oder Internet - Explorer, die man zum Browsen im Internet gebraucht, weisen oft eine Vielzahl an Sicherheitslöchern (sog. Bugs) auf, die dann von den Herstellern Stück für Stück wieder gestopft werden müssen. So ist z.B. im Juni diesen Jahres ein Bug im Netscape - Navigator 4.0, 3.0 und 2.0 bekanntgeworden, der es ermöglicht, "Zugriff auf die Festplatte des PC - Besitzers mit Online - Anschluß zu erhalten und darauf Daten auszuspionieren".[15] Ein weiteres Sicherheitsloch, das serienmäßig in Microsoft's Internet - Explorer eingebaut ist, wurde in einem Beitrag des ARD - Wirtschaftsmagazins Plusminus von Hackern vorgeführt. Man hatte die Rechner von nichtsahnenden Usern durch ActiveX ferngesteuert. "Klickt ein Online - Banking - Kunde diese Internet - Seite an, wird ein ActiveX - Programm in seinen PC geladen, das wiederum eine Finanzverwaltungssoftware ("Quicken") aufruft. Die Manipulationssoftware füllt dann das entsprechende Überweisungsformular aus, und der Betrag wird bei der nächsten Sammelüberweisung des PC - Besitzers unbemerkt mit überwiesen."[16]
Um eine Transaktion, die ihren Ausgangspunkt auf einem Kunden - PC nimmt, ausreichend sichern zu können, müssen folgende Rahmenbedingungen erfüllt sein:
-
Sichere Identifizierung des Nutzers Gewährleistung der Authentität der Daten Sichere Verschlüsselung von Daten
Identifizierung des Nutzers
Um in einem Netz wie dem Internet Transaktionen durchführen zu können, ist es unabdingbar, dass der Absender einer Information eindeutig identifiziert werden kann. Im Homebanking - Bereich ist das verbreitetste System, um dies zu erreichen, das sogenannte PIN/TAN Verfahren. Der Nutzer erhält von seiner Bank eine persönliche PIN und eine Liste von nur einmalig gültigen Transaktionsnummern (TAN), die bei jeder Transaktion mit übermittelt werden. Die Sicherheit eines solchen Systems hängt weitestgehend vom Nutzer selbst ab. Es ist klar, dass die PIN und die TAN - Liste niemals in fremde Hände gelangen sollte, da damit jeder sich als der eigentliche Zugriffsberechtigte ausgeben könnte. Das Speichern von PIN und TAN auf dem Kunden PC, wie dies bei einigen Homebanking - Programmen bisher üblich war, ist bei Nutzung derartiger Verfahren im Internet unbedingt zu vermeiden, da beispielsweise ein Virus diese Daten auslesen und an einen beliebigen Dritten weiterleiten könnte.
Ein anderes Verfahren zur sicheren Identifizierung, welchem mit hoher Wahrscheinlichkeit die Zukunft gehören wird, ist das der digitalen Signatur. Hierbei erhält der Nutzer einen persönlichen Schlüssel, den sogenannten Private Key, mit welchem jede Transaktion verschlüsselt wird und welcher den Nutzer, gemeinsam mit einem dem Empfänger bekannten Public Key, eindeutig identifiziert. Auch bei diesem Verfahren sollte unbedingt sichergestellt werden, dass der Private Key des Nutzers nicht ausgelesen werden kann.
Gewährleistung der Authentizität der Daten
Bei der Gewährleistung der Daten - Authentizität geht es darum, zu garantieren, dass die Daten, die bei einem Empfänger ankommen, auch tatsächlich diejenigen sind, die der Absender auf den Weg über die Datenautobahn geschickt hat. Denn jeder, der Zugang zu einem Knotenrechner hat, kann die Nachrichtenbruchstücke, die durch diese Rechner hindurchlaufen, lesen und sogar verändern. Auch die Veränderung des Absenders der Datenpakete stellt keine große Herausforderung dar. Dafür gibt es sogar jede Menge leicht zu bedienende Fälschungsprogramme. Die Veränderung von Absendern nennt man "Spoofing". Dem wird zum einen durch über hinreichend sichere Verschlüsselungsverfahren vorgebeugt, andererseits werden sogenannte Hash - Verfahren angewendet. Bei diesen Verfahren wird über jede Transaktion eine Hashsumme gebildet und diese mit den Transaktionsdaten zusammen verschlüsselt und an den Empfänger gesendet. Beim Empfänger wird nach der Entschlüsselung der Daten wiederum eine Hashsumme gebildet und mit der mitgesandten verglichen. Stimmen die beiden Summen überein, kann man davon ausgehen, dass die Daten unterwegs nicht manipuliert wurden.
Sichere Verschlüsselung von Daten
Es ist notwendig, vertrauliche Daten so ausreichend sicher zu verschlüsseln, dass es bei der Übertragung zu keinen ungewünschten Zugriffen oder Manipulationen kommen kann. Es muss also auch auf der Kunden - PC - Seite gewährleistet sein, dass Verschlüsselungsverfahren mit hinreichend langen Schlüsseln eingesetzt werden. Derzeit gelten Verfahren mit Schlüssellängen größer gleich 128 Bit als den diesbezüglichen Anforderungen genügend. Die Banken und Sparkassen sind derzeit dabei, ein Homebanking Computer Interface (HBCI) zu entwickeln, um so "zeitgemäße Sicherheitsmechanismen und - methoden" zu schaffen, "welche den Mißbrauch der im Bereich des Homebanking eingesetzten Systeme verhindern."[17] Neben der Pflicht, jede Nachricht zwischen Bank und Kunde mit einer digitalen Signatur zu versehen und der Möglichkeit, die Informationen mit dem Triple - DES zu verschlüsseln, sieht das HBCI noch weitere Sicherheitsmaßnahmen vor. Auf Dauer sollen alle Sicherheitsfunktionen einer intelligenten Chipkarte übertragen werden. Dazu sollte nach Vorstellung der Banken dann ein kleines Kartenlesegerät neben dem PC stehen, das die Daten aus dem Rechner digital signiert und die digitalen Signaturen, die von der Bank kommen, prüft. Auch die Verschlüsselung übernimmt dann die Karte. Das HBCI ist somit auf jeden Fall sicherer als der Einsatz von PIN und TAN allein.
Problematik der Eingabe am PC
Diese gerade beschriebenen drei Prozesse können entweder durch reine Softwarelösungen oder durch Hardware - Implementierungen abgewickelt werden. Obwohl softwarebasierende Systeme heute für bestimmte Bereiche als ausreichend sicher betrachtet werden, muss bei einer genauen Betrachtung festgestellt werden, dass ein Höchstmaß an Sicherheit damit nicht erreicht werden kann. Das Hauptproblem besteht dabei in der Unsicherheit der Daten, bevor sie verschlüsselt oder signiert werden, sowie in der Möglichkeit, bei den Verfahren, die eine digitale Signatur anwenden, an die Private Keys der Nutzer zu gelangen. Es ist nämlich systemimmanent immer so, dass die über die Tastatur oder andere Eingabegeräte (Maus, etc.) eingegebenen Daten vor der Durchführung einer Signatur und/oder einer Verschlüsselung im Klartext in den Hauptspeicher des PC gelangen. An dieser Stelle könnte jederzeit ein Virus ansetzen, der die eingegebenen Daten, wie bei einer Überweisung bspw. Empfängerkontonummer oder Betrag, abfängt und gegen eine andere Kontonummer und/oder einen anderen Betrag austauscht. Die so manipulierten Daten werden danach signiert und verschlüsselt und an die Bank übertragen. Diese Problematik kann niemals mit den oben beschriebenen Maßnahmen gelöst werden.
Bei Einsatz des PIN/TAN Verfahren würde der Virus einfach die vom Nutzer eingegebene PIN und TAN verwenden und mit den vor der Signatur und Verschlüsselung manipulierten Daten mitsenden. Die Bank würde also eine gültige Identität (PIN/TAN) und eine gültige Authentität (Hashsumme über den manipulierten Transaktionssatz) erhalten und die Überweisung durchführen. Gleiches ist natürlich mit allen anderen denkbaren softwarebasierenden Systemen möglich. Die Sicherheitslatte kann mit Softwarelösungen somit zwar sehr hoch gelegt werden, die Garantie, dass die Daten, welche übermittelt wurden, auch wirklich diejenigen sind, die der Nutzer eingegeben hat, kann damit jedoch nicht gegeben werden. Hardwarebasierende Systeme, welche keine direkte Eingabe der Daten über beispielsweise ein Pin - Pad oder eine direkte Tastaturverbindung zulassen, versagen hier natürlich ebenfalls. Zwar kann durch Speicherung von verschlüsselten persönlichen Daten (wie Private Key) auf bspw. Chipkarten deren unbefugtes Auslesen weitestgehend verhindert werden, die Manipulation der Daten vor der Verschlüsselung in einer Smartcard kann durch einfache Smartcard - Lesegeräte jedoch nicht verhindert werden. Diese verbleibende Sicherheitslücke kann nur mit Hardware, die entweder ein völlig eigenständiges Gerät darstellt oder die direkt mit der Tastatur des PC verbunden ist, geschlossen werden. Dazu wurde der ME - Chip[18] entwickelt.
Der MeChip
Der von einer deutschen Firma entwickelte MeChip wird zwischen Tastatur und Computer plaziert und verschlüsselt alle Daten, schon bevor sie in den PC gelangen. Durch diese Verschlüsselung und Signierung der Daten außerhalb des PCs kann ein Virus oder trojanisches Pferd mit den chiffrierten Daten nichts mehr anfangen. Der Chip selbst kann nicht durch ein Virus angegriffen werden, da er eine reine Verschlüsselungsfunktion besitzt und selbst keine Daten verarbeiten kann. Als erste Bank Deutschlands führte die Hamburger Sparda - Bank das MeChip - System im Juli 1997 ein. Der MeChip scheint zur Zeit das sicherste System zu sein, doch ob der Chip nicht auch Sicherheitslöcher in sich birgt, weiß niemand.
Abb. 1: ME - Chip ver - und entschlüsselt die Daten außerhalb des PCs (Quelle:www.mechip.com)
Elektromagnetische Strahlung
100%ige Sicherheit gibt es aber auch hierbei nicht, denn nicht nur Geldautomaten strahlen elektromagnetische Signale aus, die sich aus der Ferne auffangen lassen, sondern auch alle Einzelteile des Rechners, besonders der Monitor. So konnte die Stasi Signale von DDR - PCs noch in bis zu 1000 Metern Entfernung auffangen. Man kann diese Signale natürlich abschirmen, doch dies ist nicht billig: Sicherheitsbewußte Firmen zahlen zur Zeit ca. 20000. - DM für PCs mit Sicherheitsstandards, die dem des Geheimdienstes entsprechen. Auch Störsender, die die Abstrahlung des Rechners überstrahlen, kosten noch soviel wie ein guter Mittelklasse PC. Aber die Rechner können nicht nur passiv belauscht werden, sondern es ist auch möglich, sie mit speziellen Viren oder trojanischen Pferden in Minisender zu verwandeln. Der US - Geheimdienst NSA hat solch ein Programm in eine komfortable Software eingebaut und verteilt. Das Programm hieß "Promis"[19] und wurde an Polizei und Geheimdienste in aller Welt verkauft.
4.2. Onlineshopping
"39% aller befragten Surfer haben im letzten Jahr Kaufentscheidungen auf Information, die über das Web beschafft wurde, getroffen. 1995 lag dieser Anteil noch bei 12%. Die Zahl der Surfer, die direkt über das Web gekauft haben, stieg im gleichen Zeitraum von unter 4% auf fast 15% der Befragten."[20] "Schätzungen gehen von über 800 Mrd DM Umsatz im Jahr 2000 aus."[21] Internet Shopping wird immer populärer. Neben den klassischen Vertriebswegen entwickelt sich hier ein völlig neuer Kanal. Diese Form des Einkaufs wird die klassischen Konzepte sicher nicht ablösen, wohl aber ergänzen. Die Vorteile der Geschäftstätigkeit über das Internet sind offensichtlich: schnell, effizient, kostengünstig, ständig und weltweit erreichbar, direktes und individuelles 1:1 - Marketing. Von Online - Kaufhäusern über PC - Anbietern, bei denen man sich per Mausklick den Wunschrechner zusammenstellen kann, bis hin zum Pizzabringdienst, sind Shoppingmöglichkeiten im Netz schon gegeben. Doch diese Kommerzialisierung wird noch durch das oben beschriebene Sicherheitsrisiko im Internet gehemmt. Im Hinblick auf die Bezahlung haben sich in den letzten Jahren zwei verschiedene Systeme entwickelt. Entweder sie basieren auf Kreditkarten, oder es wird mit digitalem Geld bezahlt.4.2.1. Zahlung mit Kreditkarte
Im Prinzip ist das Zahlen mit der Kreditkarte ganz einfach: Zusammen mit der Bestellung schickt der Kunde auch gleich die Daten seiner Kreditkarte (Name des Kontoinhabers, Kartennummer und Gültigkeitsdatum) über das Netz. Dies hat den Vorteil, dass es genauso schnell geht, wie man es vom Zahlen per Karte auf herkömmliche Weise her kennt. Es birgt jedoch große Sicherheitsrisiken in sich. So kann ja bekanntlich jeder die Daten an den Knotenpunkten im Netz abfangen. Zwar gehen die sensiblen Daten in der Informationsflut des Internets unter, doch lassen sie sich mit nur mäßiger krimineller Energie genauso leicht wieder herausfischen. Dem auffälligem Gelb der Quittungen, die beim Kreditkartenkauf auf herkömmlichen Weg entstehen - die ja auch einige unachtsame und arglose Mitmenschen einfach in den Müll werfen -, gleicht nämlich das typische 16 - stellige Nummernmuster der Kreditkarte. Das zweite große Risiko ist, dass man nicht absolut sicher sein kann, wem man seine Kreditkartendaten schickt. Denn nicht immer liefert das Geschäft, dem man seine Daten sendet, auch die bestellte Ware; manchmal sammelt es auch bloß Kreditkartennummern.Soll also im Netz mit der Kreditkarte gezahlt werden, müssen zwei Dinge sichergestellt sein: Zum einen müssen die Daten möglichst abhörsicher transportiert werden, und zum anderen muss sich der Kunde von der Authentizität des Anbieters vergewissern können. Im Prinzip ergibt sich hier das selbe Problem, das oben schon in Verbindung mit den verschiedenen Homebankinganwendungen gezeigt wurde. Auch beim Senden von Kreditkarteninformationen über das Internet zeigen sich die drei Angriffspunkte: Zielserver, Übertragung und Kunden - PC. Die Übertragung der Daten, an dieser Stelle die Kreditkarteninformationen, ist das Hauptproblem, denn dabei können die Kartennummern ausspioniert werden. Die Lösung des Problems sollen sogenannte Protokolle bieten, die den Datenfluß bei der Datenübertragung verschlüsseln. Die zur Zeit aussichtsreichsten Vorschläge sind das "Secure Hypertext Transfer Protocol" (S - HTTP), der "Secure Sockets Layer" (SSL) und das "Secure Encryption Transaction Protocol" (SET).
S - HTTP[22]
S - HTTP wurde von Enterprise Integration Technologies eingeführt und soll sicherstellen, das eine bestimmte Meldung sicher von A nach B kommt. Für das Protokoll spricht zwar seine Flexibilität, bislang finden sich jedoch kaum Impementationen im Netz, zumal die beiden meistgenutzten Webbrowser (Netscape Navigator und Internet Explorer) S - HTTP nicht unterstützen.
SSL[23]
SSL, das Netscape mit der Version 2.0 des Navigators einführte, ist momentan der aktuelle Standard im Netz. Bestandteil von SSL ist die Authentifizierung des Servers mittels digitaler Zertifikate.
Abb 1: Digitales Zertifikat der Bank24
Damit eignet sich SSL grundsätzlich zur Übermittlung von Kreditkarteninformationen, jedoch ist SSL in der internationalen Version nicht so sicher wie es sein könnte. Da in den USA kryptographische Methoden teilweise unter das militärische Exportverbot fallen, arbeitet die Exportversion des Navigators nur mit einer 40 - Bit - Verschlüsselung, statt, wie in den USA, mit einer 128 - Bit - Verschlüsselung. Diese 40 - Bit - Verschlüsselung ist schon mit einem normalen Pentium - Rechner in einingen wenigen Wochen zu knacken. Eine geknackte Verbindung lässt aber keine Rückschlüsse auf andere Verbindungen zu, jede müsste für sich erneut geknackt werden. Vor kurzer Zeit hat die US - Regierung zwar das Export - Verbot für Kypto - Software gelockert, allerdings ist dies nach Ansicht von Harald Summa, Chef des deutschen Electronic Commerce Forum (eco), "in Wirklichkeit nur eine Halbe Sache. Statt mehr Sicherheit in aller Welt, bringe die neue Regelung den Betreibern von Homeshopping - Angeboten in den USA einen weiteren Wettbewerbsvorteil."[24] Denn die angekündigte Lockerung der Exportvorschriften bezieht sich nur auf die in den Browsern enthaltene Client - Software, "die für die Verwendung des starken Schlüssels notwendige Server - Technologie bleibt weiterhin als Kriegswaffe unter Verschluß; lediglich Banken können im Einzelfall und auf besonderen Antrag eine Ausnahmelizenz bekommen."[2]3Somit kommt der Nutzer nur bei Onlineshops in den USA in den Genuß einer sicheren 128 - Bit - Verschlüsselung, was ein "Ungleichgewicht der Chancen"26zur Folge hat.
SET[26]
Natürlich sind auch die Kreditkartenunternehmen an sicheren Kreditkartenzahlungen im Internet interessiert. Zu diesem Zweck haben sich Visa[27] und Mastercard[28] zusammengetan und den SET - Standard kreiert. Derzeit laufen rund um den Erdball verschiedene Tests mit SET, mit einer endgültigen Freigabe rechnet man aber nicht vor 1998. Die Chancen für den Standard stehen aber nicht schlecht, denn zum einen hat SET von allen Protokollvorschlägen die mächtigste Lobby, zum anderen ist derzeit geplant, keine Lizensierungsgebühren zu verlangen. Solange es SET noch nicht gibt, warnen Kreditkartenunternehmen wie Mastercard eindringlich davor, Kreditkartennummern dem Internet anzuvertrauen. Hier setzen Broker wie "First Virtual" an.
First Virtual[29]
First Virtual umgeht das Problem, indem erst gar keine Kreditkarteninformationen durch das Netz geschickt werden. Statt dessen arbeitet man mit einem Bestätigungsverfahren. Die Kontoeröffnung läuft in drei Schritten ab: Zuerst teilt man dem Unternehmen Namen, Adresse, E - Mail - Adresse und ein mindestens achtstelliges Paßwort mit. Danach erhält der potentielle Kunde eine E - Mail mit einer Telefonnummer und einem zwölfstelligen Code. Über die Nummer erreicht man einen Telefoncomputer, der dann nach erfolgreicher Legitimation durch den zwölfstelligen Code die Kreditkarteninformationen entgegennimmt. Schließlich bekommt man wieder per E - Mail eine Virtual - PIN. Beim Kauf im Internet gibt man dann den Vertragspartnern von First Virtual die Virtual - PIN an. Die Anbieter wenden sich mit der PIN und dem Rechnungsbetrag an First Virtual, welche darauf per E - Mail beim Kunden nachfragen, ob der Betrag akzeptiert wird. Nur wenn der Kunde diesen Betrag explizit bestätigt, weist First Virtual ihn an. Dieses kreditkartenbasierte Zahlungsverfahren ist zwar ziemlich sicher, doch hat es auch einige Nachteile: Zum einen können mit First Virtual nur digitale Produkte, die auch über das Internet geliefert werden können (Software, Informationen, Musik, u.ä.) gekauft werden, und zum zweiten eignen sich Kreditkarten nicht für kleine und kleinste Beträge. Außerdem ist es nicht wünschenswert, wenn irgendwelche Stellen alle Transaktionen verfolgen können, wie das im Fall der Zahlung mit Kreditkarten der Fall ist. Hier lassen sich Käuferprofile erstellen und der Kunde wird zum gläsernen Kunden. Besser ist es, wenn der Zahlungsvorgang anonym erfolgen kann. Dafür eignet sich digitales Geld.
4.2.2. Zahlung mit digitalem Geld
Besondere Anforderungen gelten beim elektronischen Geld, dem ECash, Cybermoney - wie immer es heißt. Wer elektronisch bezahlt, will nicht auf die Vorzüge verzichten, die Bargeld auszeichnen: es wird von Jedermann akzeptiert, und man sieht der Banknote nicht an, durch welche Hände sie gegangen ist. Zur Verbindlichkeit kommt die Anforderung nach Anonymität hinzu.Digitales Geld (Ecash, Cybercash[30], Digicash[31],...) wird auf der Festplatte des Computers gespeichert und kann verwendet werden wie Geldscheine im Portemonnaie. Will man im Internet bezahlen, schickt man dem Händler einfach den Betrag in Form von Digicash durchs Datennetz zu. Um von diesen digitalen Geldscheinen auf der Festplatte nicht einfach Kopien erzeugen zu können, haben sich die Entwickler von Digicash einiges einfallen lassen: Jede digitale Banknote enthält eine Seriennummer, welche das Geldinstitut bei der Einlösung speichert. So kann die Bank verhindern, das ein digitaler Geldschein mehrfach eingelöst wird. Als weiteren Schutz enthält Digicash eine digitale Unterschrift des ausgebenden Kreditinstitutes. Der Käufer des Geldes bleibt durch die sogenannte blinde Signatur unbekannt. Der Händler kann die Signatur des Geldes prüfen, ohne sich mit der Bank in Verbindung setzen zu müssen. Dennoch sollte kein Kunde wagen, mit einem digitalen Schein zweimal zu bezahlen. Denn durch ein spezielles Verfahren kann die Bank bei einer zweifachen Bezahlung, und nur dann, die Daten des Kunden ermitteln. Auch einer zweifachen Einlösung durch den Händler ist ein Riegel vorschoben. Damit die Währung nicht von der Festplatte oder auf dem Weg durchs Netz zum Händler gestohlen bzw. abgehört wird, ist die Währung auf der Festplatte, genauso wie der Datenverkehr im Internet, verschlüsselt. Sofern diese Verschlüsselungen unknackbar sind, ist das System von Digicash eine sichere Art, in Zukunft im Internet zu bezahlen. Viele Unternehmen arbeiten an ähnlichen Zahlungsprotokollen, so zum Beispiel Digial Equipment. ""Millicent"[32] soll neue Formen des Handels im Web ermöglichen. Laut Hersteller Digital Equipment ist es das erste System, das es erlaubt, mit Bruchteilen eines Pfennigs zu kaufen und verkaufen. Damit lassen sich etwa Pay - Per - View für Online - Zeitschriften oder nutzungsbasierende Anwendungen auf der Basis von Java - Applets verwirklichen. Seit der Systems 97 kann jeder Content Provider am Test von Millicent teilnehmen." [33]
"Ein ähnliches Micro - Payment - Verfahren hat T - Online in Vorbereitung. Wie bereits im alten Btx soll es geringe Transaktions - Gebühren im Internet ermöglichen, die mit der Telefonrechnung eingezogen werden. Die Pilotversuche sind weitgehend abgeschlossen. Mit der Einführung für alle T - Online - Kunden ist im März zu rechnen."30
5. Ausblick
Wie sich die Entwicklung von geeigneten Zahlungsmitteln im Internet auf den Bereich des Electronic Commerce auswirken wird, ist nicht schwer vorauszusagen: Das Volumen der Online - Käufe im Netz wird sich sicherlich explosionsartig erhöhen. Informationen, die heute noch vergütungsfrei abgerufen werden können, werden nach entsprechender Entwicklung von Micro - Payment - Verfahren auch Geld kosten. Alles, was bis dahin getan werden kann, um das Business im Internet und per Telefon sicherer zu machen, ist, den Nutzer für die auf ihn lauernden Gefahren zu sensibilisieren: PINs und TANs gehören nicht auf die Festplatte. Man sollte aber auch nicht alles zu ängstlich und negativ sehen, denn Mißbrauchsmöglichkeiten werden nicht grundsätzlich ausgenutzt: Schon seit Jahren kann man telefonisch bei Versandhäusern wie z.B. "Quelle"[34] oder "Otto"[35] bestellen. Diese Bestellwege lassen auch gewisse Möglichkeiten des Mißbrauchs offen, die aber bisher offensichtlich nicht im großen Umfang "genutzt" worden sind. Letztendlich würde eine Aufhebung des amerikanischen Exportverbots für sichere Kryptosoftware dazu beitragen, dass die kommerzielle Nutzung des Internets sicherer wird, aber auch dass der einzelne, potentielle Kunde Vertrauen in das Medium Internet gewinnt; denn das ist die grundsätzliche Voraussetzung für breites Wachstum auf diesem Gebiet.6. Literaturverzeichnis, Hyperlinks
Cole, Tim: Starker Schlüssel in InternetWorld, September 1997, S. 40 - 41, insbes. S. 40
Koch, E.R.;Sperber, J.: Die Datenmafia. Computerspionage und neue Informationskartelle, Rowalt Taschenbuchverlag GmbH, Reinbeck, o.S.
Kuntze, Roland: Für eine Handvoll Dollars in PC Magazin 9/97, September 1997, S. 266 - 272, insbes. S. 266
Meyer, Ulrich in: "Akte 96/48" auf Sat1 vom 25.11.1996
Opoczynski, Michael in: Wirtschaftsmagazin "Wiso" im ZDF vom 21.11.1996
Pommerening, Prof. Dr. Klaus in: Datenschutz und Datensicherheit,
http://www.uni - mainz.de/~pommeren/DSVorlesung/Begriffe.html
Scheckenbach, Dr. Rainer, http://www/.uni - hamburg.de/~vulcan2/
Schnittstellenspezifikation des Informationszentrums der Sparkassenorganisation, Version 1.0, Kapitel VI, Seite 1
Zimmermann, C.: Der Hacker, MVG Verlag, Landsberg am Lech, 1996, o.S.
http://home.netscape.com/newsref/std/SSL.html
http://medoc.springer.de/Samples/mertensfree/autor/0162 - aut.htm
http://ourworld.compuserve.com/homepages/Burkhard_Schroeder/krypto.htm#Hacker - Seiten
http://ourworld.compuserve.com/homepages/schneemann/BDSG3.html#Gesamt
http://rhein - zeitung.de/old/97/01/29/topnews/hacker.html
http://rhein - zeitung.de/old/97/03/12/bankraub.html
http://rhein - zeitung.de/old/97/05/24/topnews/hacker.html
http://rhein - zeitung.de/old/97/06/21/index.html
http://www.americanexpress.com/
http://www.commerce.net/information/standards/drafts/shttp.txt
http://www.cybercash.com/
http://www.digicash.com/
http://www.fh - ulm.de/bvd/bvd.html
http://www.firstvirtual.com
http://www.heise.de/newsticker/data/ae - 31.10.97 - 000/
http://www.heise.de/newsticker/data/jo - 31.10.97 - 000/
http://www - hppool.cs.uni - magdeburg.de/~lutze/dsds/dsds.html
http://www.ix.de/ix/9512132/
http://www.kso.co.uk/nm/daily/Research00006.html
http://www.mastercard.com
http://www.mastercard.com/set/set.htm
http://www.mcli.dist.maricopa.edu/alan/nojava/poll/
http://www.mechip.com/
http://www.mondex.com/mondex/
http://www.rewi.hu - berlin.de/Datenschutz/Gesetze/bdsg.html
http://www.rsa.com
http://www.uni - hamburg.de/~vulcan2/
http://www.visa.com
http://www.voicenet.com/~haunted/fs.html
http://www.webcomics.com/shockwave/mail.html
[1] Kuntze, Roland: Für eine Handvoll Dollars in PC Magazin 9/97, September 1997, S. 266 - 272, insbes. S. 266
[2] Scheckenbach, Dr. Rainer, http://medoc.springer.de/Samples/mertensfree/autor/0162 - aut.htm
[3] Zimmermann, C.: Der Hacker, MVG Verlag, Landsberg am Lech, 1996, o.S.
[4] Meyer, Ulrich in: "Akte 96/48" auf Sat1 vom 25.11.1996
[5] Opoczynski, Michael in: Wirtschaftsmagazin "Wiso" im ZDF vom 21.11.1996
[6] http://www.mondex.com/mondex/
[7] http://www.heise.de/newsticker/data/ae - 31.10.97 - 000/
[8] Prof. Dr. Pommerening, Klaus in: Datenschutz und Datensicherheit, http://www.uni - mainz.de/~pommeren/DSVorlesung/Begriffe.html
[9] Stahlknecht, Peter: Einführung in die Wirtschaftsinformatik, Springer Verlag, S.201
[10] Stahlknecht, Peter: Einführung in die Wirtschaftsinformatik, Springer Verlag, S.200
[11] Zimmermann, C.: Der Hacker, MVG Verlag, Landsberg am Lech, 1996, o.S.
[12] http://www.rsa.com
[13] http://reihn - zeitung.de/old/97/03/12/bankraub.html
[14] http://rhein - zeitung.de/old/97/05/24/topnews/hacker.html
[15] http://rhein - zeitung.de/old/97/06/21/index.html
[16] http://rhein - zeitung.de/old/97/01/29/topnews/hacker.html
[17] aus: Schnittstellenspezifikation des Informationszentrums der Sparkassenorganisation, Version 1.0, Kapitel VI, Seite 1
[18] http://www.mechip.com/
[19] Koch, E.R.;Sperber, J.: Die Datenmafia. Computerspionage und neue Informationskartelle, Rowalt Taschenbuchverlag GmbH, Reinbeck, o.S.
[20] http://www.kso.co.uk/nm/daily/Research00006.html
[21] http://www.uni - hamburg.de/~vulcan2/
[22] http://www.commerce.net/information/standards/drafts/shttp.txt
[23] http://home.netscape.com/newsref/std/SSL.html
[24] Cole, Tim: Starker Schlüssel in InternetWorld, September 1997, S. 40 - 41, insbes. S. 40
[25] Cole, Tim: Starker Schlüssel in InternetWorld, September 1997, S. 40 - 41, insbes. S. 41
[26] http://www.mastercard.com/set/set.htm
[27] http://www.visa.com
[28] http://www.mastercard.com
[29] http://www.first.virtual.com
[30] http://www.cybercash.com/
[31] http://www.digicash.com/
[32] http://www.millicent.com/
[33] http://www.heise.de/newsticker/data/jo - 31.10.97 - 000/
[34] http://www.Quelle.de
[35] http://www.otto.de
6536 Worte in "deutsch" als "hilfreich" bewertet