Startseite Firmenprofil Consulting Beratungsprodukte Hersteller Kundenprojekte FAQ Kontakt
Payment Systems Security
Startseite
Firmenprofil
Consulting
Kryptografie
eCommerce- und eBanking-Security
Payment Systems Security
Personalisierung von Kredit- / Chipkarten
Public Key Infrastructure
Kundenspezifische Anwendungen
Projektabwicklung
Schulung
Support
Sonderberatungen
Beratungsvertrag
Beratungsprodukte
Hersteller und Distributoren
Kundenprojekte
FAQ
Kontakt

Sicherheit im elektronischen Zahlungsverkehr

Im traditionellen Zahlungsverkehr (Autorisierung von Zahlungsvorgängen im Kreditkartengeschäft, bei Debitkarten sowie bei einer Vielzahl von Chipkarten-Anwendungen) müssen geheime Kartendaten geschützt und im Rahmen der Transaktionen vertraulich und fälschungssicher übertragen werden. Da solcher Datenaustausch in der Regel über öffentliche Kommunikationsnetze abgewickelt wird, müssen die sensitiven Daten - in der Regel die PIN und die geheimen Kartenparameter - entsprechend verschlüsselt werden. Es müssen außerdem die Schlüssel in sicherer Art und Weise verteilt bzw. ausgetauscht werden.

Anders als bei diesen traditionellen Anwendungen werden bei Transaktionen, die über das Internet abgewickelt werden, alle Daten stark verschlüsselt (symmetrische Verschlüsselung, in der Regel mit 112/124 bzw. mit 168/192 Bit). Außerdem werden die über das Internet abgewickelten Zahlungs-Transaktionen in der Regel mit elektronischer Unterschrift (elektronische Signatur, digitale Signatur) signiert, um den Kartenmissbrauch weiter zu reduzieren. Wurden bei traditionellen Anwendungen nahezu ausschließlich symmetrische Verschlüsselungsmethoden (DES) benutzt, so werden bei der Sicherung des Zahlungsverkehrs über das Internet zunehmend auch asymmetrische Verschlüsselungsalgorithmen (z.B. RSA) verwendet, meist im Zusammenhang mit den sogenannten hybriden Methoden, bei denen sowohl symmetrische als auch asymmetrische Verfahren Verwendung finden.

Die elektronischen Schlüssel, die bei diesen Verfahren verwendet werden, müssen in der Regel durch spezielle Hardware ("Hardware Security Module", HSM) vor Missbrauch geschützt werden. Neben der Aufgabe von HSM als "Tresor für elektronische Schlüssel" erfordern Transaktionen die Durchführung verschiedener Operationen mit bzw. an solchen Schlüsseln. Deshalb bieten die für die Abwicklung des Zahlungsverkehrs vorgesehenen HSM in der Regel auch eine umfangreiche Funktionalität. HSM weisen außerdem einen starken Schutz gegen äußere Eingriffe auf (engl.: "tampering protection"), der die eigentliche Realisierung der "Tresorfunktion" darstellt, meist in Form konstruktiver Maßnahmen, die durch spezielle Sensoren ergänzt werden.

In der Regel bieten die im Bereich des Zahlungsverkehrs eingesetzten HSM alle für das internationale Kartengeschäft erforderlichen Funktionen. Der Einsatz von HSM für den speziellen, durch deutsche Bankinstitute bzw. durch den "Zentralen Kreditausschuss (ZKA) definierten Zahlungsverkehr im Zusammenhang mit der ec - Debit bzw. -Geldkarte, setzt eine besondere Funktionalität ("PAC/MAC-Verfahren") voraus, für die eine entsprechende Zulassung erforderlich ist.

In diesem Bereich übernehme ich z.B. folgende Beratungen:

  • Anwendungsspezifische Auswahl von HSM, Einsatzberatung
  • Definition anwendungsspezifischer Funktionen, Anfertigung von Pflichenheften und Funktionsspezifikationen
  • Umsetzen vorhandener ("legacy") HSM-Infrastrukturen auf moderne HSM-Infrastruktur
  • Erweiterung von HSM-Funktionalität durch ZKA-spezifische Anforderungen
  • Anpassung von HSM an die jeweilige Transaktionssoftware.

Letzte Änderung: 26.01.2005