Sicherheit bei elektronischer Kommunikation – neue Wege

Sicherheit spielt beim Austausch von elektronischen Dokumenten und digitalen Zahlungsvorgängen eine zentrale Rolle. Dass das Bezahlen per Smartphone immer noch nicht so richtig in die Gänge kommt, liegt vor allem daran, dass viele Risiken wie Datenklau oder Fehlbuchungen fürchten. Einheitliche Sicherheitsstandards sollen hier für Verbesserung sorgen. Bei der digitalen Kommunikation und dem Versenden von Dateien stellt die neue EU-Verordnung eIDAS (Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) eine zielsetzende Verbesserung dar.

Mobile Payment ist in vielen Ländern weitaus verbreiteter als in Deutschland. Die Hemmschwelle, auch nur kleine Beträge bargeldlos mit dem Smartphone zu begleichen, ist noch sehr hoch. Unzählige verschiedene Bezahlsysteme und Anbieter machen es nicht leichter, hier Vertrauen zu schaffen. Die neue Richtlinie eIDAS soll im gesamten EU-Gebiet gelten und elektronische Transaktionen auch länderübergreifend sicherer machen.

Risiko beim Mobile Payment? Einheitliche Standardssollen in der gesamten EU für mehr Sicherheit sorgen (Bildquelle: Fotalia, Davizro Phtography)

Digitale Signatur

Die elektronische Signatur dient dazu, beim Versenden von digitalen Dokumenten oder auch bei Bezahlvorgängen die Identität einer Person zu verifizieren. Für die Verwendung der Unterschrift haben sich verschiedene Verfahren etabliert. Bestimmte Sicherheitskriterien wurden im Juli 2016 in der EUVerordnung eIDAS festgelegt. Neben einem elektronischen Siegel und einem Zeitstempel sind dabei auch Signaturverfahren für das Mobiltelefon berücksichtigt. Zur Erzeugung einer sicheren Unterschrift ist der Vorgang in mehrere Schritte unterteilt:

• Hashing: Mit der Hashfunktion, einem Streuwert-Algorithmus, werden größere Mengen an eingegebenen Daten auf einen kleineren Wert reduziert. So kann ein umfangreiches Dokument oder eine größere Datenmenge auf eine bestimmte Zeichenlänge codiert und minimiert werden.
• Padding: Um Toleranzen bei verschiedenen Signaturverfahren auszugleichen, wird der Hashwert bei diesem Schritt auf die entsprechend geforderte Länge gebracht.
• Signatur: Mit Hilfe des individuell eingesetzten Signaturschlüssels wird aus dem oben entstandenen Codestück die digitale Signatur generiert.

Die unterschiedlichen Bausteine, wie das elektronische Siegel oder der Zeitstempel, lassen auch digital übermittelte Unterlagen in Zukunft zu rechtssicheren Dokumenten werden. Die Verschlüsselung erfolgt über einen eigenen Server (z.B. digiSeal Server oder secrypt GmbH).

Signatur per Smartphone

Durch die neue Verordnung ist es zukünftig auch möglich, per Smartphone zu unterschreiben. Dafür sind dann auch keine besonderen Peripheriegeräte wie ein Lesegerät für eine Signaturkarte mehr notwendig. Die Abwicklung über den zentralen Vertrauensdienstanbieter (VDA), der die Signaturserver zur Verfügung stellt, speichert die Daten dazu in einzelnen Hardware Security Modulen (HSM).

Eine Verifizierung per Identitätskarte und speziellem Lesegerät gehört bald der Vergangenheit an. Neue Technologien machen Peripheriegeräte überflüssig (Bildquelle: Fotalia, glisic albina)

Weitere Kriterien zur Fern- oder Serversignatur werden derzeit auf EU-Ebene diskutiert. Verschiedene Punkte sollen die Sicherheit des Systems dabei garantieren. Zwei Faktoren sind dann notwendig, um eine Authentifizierung zu ermöglichen:

• Besitz: Eine bestimmte Signatursoftware, die zur Verschlüsselung eingesetzt wird.
• Wissen oder Biometrische Daten: Zur Identifikation ist die Eingabe eines Passwortes, einer PIN, einer TAN oder eines Fingerabdrucks nötig.

Das zu unterschreibende Dokument wird dazu in der entsprechenden Signatursoftware geöffnet. Dafür ist ein Passwort notwendig. Dem externen Server wird dann eine Anfrage zur Authentifizierung übermittelt. Der Unterzeichner wird über das Smartphone zu einer Eingabe der PIN, TAN oder auch eines Fingerabdrucks aufgefordert. Dieser Code wird wiederum an die erste Person weitergeleitet und an passender Stelle in die Software übertragen. Der Server überprüft die Angaben und die digitale Signatur wird im Dokument erzeugt.

Vorteile der digitalen Signatur

Bei der Verifizierung von Korrespondenz, die online stattfindet, bietet die digitale Unterschrift vor allem die Zeitersparnis. Wo früher Unterlagen umständlich zwischen Vertrags- oder Geschäftspartnern per Post versendet werden mussten, können nun in wenigen Minuten Dokumente ausgetauscht und unterschrieben werden. Für die meisten Dateien schafft eine solche Signatur die ausreichende Rechtssicherheit. Für welche Unterlagen und in welchen Fällen sie eingesetzt werden kann, ist im Paragraph 127 des BGBs festgelegt.   
Aufgrund des Wegfalls von zusätzlichen Geräten kann das System nahezu überall eingesetzt werden. Die passende Software und ein vertrauenswürdiger Anbieter der notwendigen Servertechnologie genügen dafür.

Digitales Bezahlen 

Wie eine aktuelle Studie zeigt, werden im gesamten europäischen Raum zahlreiche verschiedene Lösungen zum bargeldlosen Bezahlen verwendet. Auch in Deutschland hat sich kein einheitliches System auf dem Markt als alleinige Methode durchsetzen können. Deshalb ist es auch für Shopinhaber schwierig, sich entsprechend auszurüsten. Jede Technik benötigt ihre ganz eigene Infrastruktur und bestimmte Geräte zur Authentifizierung und Datenübertragung. Dies kann schnell teuer werden, wenn dem Kunden mehrere Möglichkeiten offen gehalten werden sollen.

Sind die Kreditkartendaten bei einer Transaktion ausreichend gesichert? Das PCI Security Standards Council erarbeitet dazu entsprechende Standards. (Bildquelle: Fotalia, Ivan Kruk)

Großes Potential sehen Experten im neuen Bezahldienst aus dem Hause Payback. Das Unternehmen hat bereits tausende Kunden mit seinem bisherigen Angebot überzeugt. Die zusätzliche Möglichkeit, nun mit Hilfe einer erweiterten Karte und einer ausgebauten App bezahlen zu können, wird sicher auch einige der Nutzer überzeugen. Vor allem die Zeitersparnis beim zeitgleichen Buchen von Punkten und dem Zahlvorgang ist hier ein Vorteil.

Sicherheit bei den mobilen Applikationen

Für die Sicherheit und den Datenschutz bei allen möglichen digitalen Anwendungen erarbeitet das PCI Security Standards Council entsprechende Richtlinien. Neben dem Beobachten von aktuellen Bedrohungen und der Ausarbeitung an Lösungen werden von dem internationalen Forum auch Sicherheitsfachkräfte geschult. In vielen Bereichen fliest die Arbeit des Rats mit ein:

• Datensicherheit: Sichere Unterbringung von Kundendaten auf Servern. Verschlüsselte Übertragung auch über öffentliche Netzwerke.
• Sicherheitssoftware: Eigene Entwicklung entsprechender Lösungen. Regelmäßige Aktualisierungen von Firewall- und Anti-Virus-Software.  
• Zugriffssicherung: Verteilung verbindlicher IDs und der notwendigen Authentifizierung bei einem Zugriff auf Kundendaten.
• Überwachung: Regelmäßige Prüfung der Sicherheitssysteme. Überwachung und Aufzeichnung von Zugriffen.
• Information: Austausch der aktuellen Regularien mit den Kooperationspartnern und intensive Information über die verschiedenen Möglichkeiten. 

Sicherheit in der Praxis

Die Verbraucherzentrale rät auf Kundenseite, beim mobilen Bezahlen regelmäßig die Kontobewegungen zu überprüfen. Da die Zahlmethode hauptsächlich für Klein- und Kleinstbeträge Verwendung findet, kommt dies meist zu kurz oder wird als nervige Pflicht liebend gerne unter den Tisch fallen gelassen. Einige Unternehmen haben dafür eine eigene Funktion in ihre App integriert, über die die getätigten Zahlungen übersichtlich aufgelistet werden. So fällt der Überblick zunächst leichter. Dennoch sollte bei Ungereimtheiten direkt der jeweilige Anbieter kontaktiert werden.

Zudem sollte bei der Entscheidung für ein Bezahlsystem auf die Datenschutzrichtlinien und eine sichere Verschlüsselung per SSL-Verbindung geachtet werden. Dies gilt auch für die jeweiligen Shop-Inhaber und e-Commerce Dienstleister. Ein entsprechendes Wissen über die geltenden Datenschutzbestimmungen und Sicherheit bei digitalen Zahlvorgängen sollte vorhanden sein.
Wer hier selbst wenig bewandert ist, sollte sich die notwendigen Informationen bei einer Schulung (beispielsweise bei der IHK) aneignen. Häufig wird sich auch vertrauensvoll an externe Anbieter gewendet, welche sich um die Installation der technischen Ausrüstung kümmern.

Zukunftsaussichten

Solange die Skepsis vor den neuen Bezahlmethoden nicht in großem Umfang beim Kunden beseitigt werden kann, wird sich auf dem Feld des Mobile Payment auch in Zukunft wenig ändern. Rund 50 Prozent der Umsätze werden derzeit noch bar abgewickelt. Es gilt, durch einfache, kundenfreundliche und sichere Systeme das Vertrauen zu gewinnen.
Die Entwicklung der digitalen Möglichkeiten geht in der Zwischenzeit in einem rasanten Tempo weiter. Vor allem durch das Internet of Things (IoT) und der damit eingehenden zunehmenden Vernetzung von allen möglichen Geräten, ergeben sich neue Möglichkeiten. Neben dem Smartphone wird es dann noch viel mehr technische Anwendungen geben, welche mit den Voraussetzungen für das mobile Bezahlen ausgestattet sind.

Die Sicherstellung eines ausreichenden Datenschutzes bei der Übertragung von prekären Informationen steht auch dabei an oberster Stelle. Wenn es gelingt, hier Vertrauen aufzubauen, wird es gelingen, eine breitere Akzeptanz aufzubauen.

(jm)