Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.03.2002 - 

Security/Privacy/Alternative Zahlungsmethoden im Internet

Auf Nummer Sicher gehen mit Pseudonym

Die Zeiten, in denen Web-Angebote kostenlos waren, sind vorbei. Jetzt bieten viele Content Provider kostenpflichtige Inhalte an. Dabei stellt sich die Frage nach alternativen Zahlungsmethoden, die Risiken minimieren und Kleinstbeträge verbuchen können. Neben Banken stehen Telcos und Nischenanbieter in den Startlöchern, um ihre Kunden mit entsprechenden Zahlungssystemen zu versorgen.Von Markus Schäffter*

"Premium-Inhalte gegen Cash", so lautet die neue Devise der Informationsanbieter. Das Internet wartet schon längst nicht mehr ausschließlich mit nicht-kommerziellen Inhalten auf. Dabei geht die Zeit des Experimentierens zu Ende, immer mehr Anbieter von Content beginnen, neben kostenfreien auch kostenpflichtige Inhalte ins Netz zu stellen.

Vieles spricht dafür, dass sich das Erscheinungsbild des World Wide Web in Zukunft weiter in Richtung Kommerzialisierung verändern wird. Content Provider legen zusehends Wert darauf zu wissen, wer ihre Kunden sind, und passen ihr Informationsangebot fortschreitend den Interessen des einzelnen Nutzers an, verbunden mit der Möglichkeit, diese Dienstleistung auch in Rechnung zu stellen.

Dies erfordert neue Techniken zur Authentisierung (Nachweis über die Identität) des Nutzers sowie des Micropayment (Bezahlung auch kleinster Geldbeträge).

Die Mär von der Anonymität im InternetSchon heute bewegt sich der Nutzer nicht vollständig anonym im Internet. Spätestens der Internet Service Provider (ISP) weiß um die reale Identität seiner Kunden, stellt er ihm doch seine Dienstleistung in Rechnung. Dies gilt für alle Arten der Einwahl, seien es ISDN, DSL oder mobile Protokolle wie GPRS und UMTS.

Darüber hinaus sammeln Content Provider fleißig Hintergrundinformationen über die Nutzer, vorzugsweise, um Werbebotschaften zielgerichtet und damit lukrativer an den Mann und die Frau bringen zu können. Dabei spielt die reale Identität meist eine noch untergeordnete Rolle. Die Zuordnung erfolgt meist noch über einfache Cookies, die auf dem Computer des Kunden gespeichert werden und eine vom Namen des Nutzers unabhängige Registrierungsnummer enthalten. Diese Cookies können vom Nutzer problemlos gelöscht werden. Darüber hinaus interessieren sich Anbieter zunehmend nicht nur für die Interessen, sondern auch für die Verortung des Nutzers als reale Person, zum Beispiel um Werbebotschaften auch lokal zielgerichtet verbreiten zu können.

Anonymisierung und PseudonymeDavid Chaum hat 1981 mit seinem MIX-Modell eine Möglichkeit der Anonymisierung von Kommunikationsverbindungen aufgezeigt. Als Einsatzgebiet schlug Chaum den Austausch anonymisierter E-Mails sowie anonyme Wahlen vor.

Das Verfahren setzt einen vertrauenswürdigen Vermittler voraus, der E-Mails vom Empfänger annimmt und an den Adressaten unter eigenem Namen weiterleitet. Da die vom Empfänger an den Vermittlungs-Server gesendete Nachricht sämtliche Informationen über Inhalt, Absender und Empfänger enthält, ist die E-Mail vor den Absendern zu verschlüsseln.

Das MIX-System ermöglicht nun, Inhalt und Empfängeradresse getrennt für verschiedene Vermittlungs-Server zu verschlüsseln, sodass beim Vermittler kein System über alle relevanten Informationen verfügt. Allerdings bleibt die strikt anonymisierte Kommunikation zwangsläufig einseitig, was nicht immer erwünscht ist. Hier kommt die pseudonyme Nutzung ins Spiel.

Die einfachste Lösung ist, über einen Freemail-Service eine "Micky Maus"-E-Mail Adresse zu beantragen. Der Zugang zum Postfach erfolgt dann über einen einfachen Passwortschutz, ohne Zugriff auf die tatsächliche Identität des Nutzers.

Ein solches Pseudonym aufzulösen ist nicht einfach, aber auch nicht unmöglich. Es bedarf dazu der Ermittlung der aktuellen IP-Adresse des Nutzers zum Zeitpunkt seiner Einwahl ins Internet sowie der Auflösung der entsprechenden Zugangsnummer durch ISP beziehungsweise Telekommunikationsanbieter.

Initiativen wie Microsoft Passport oder das breiter aufgestellte Liberty von AOL Time Warner und Sun Microsystems zeigen auf, in welche Richtung die Entwicklung geht. Ziel ist es, dem Nutzer quasi ein "Single-Sign-on" für das Internet mit auf den Weg zu geben, das ihm erlaubt, seine Daten komfortabel verwalten und an die einzelnen Informationsanbieter weitergeben zu können.

Jedoch erfüllen diese Verfahren den Bedarf nur mit Einschränkungen:-Die Angaben werden nur bedingt auf Korrektheit geprüft.

-SSL-Nutzerzertifikate werden derzeit nicht unterstützt.

-Die Anbieter von Authentisierungsdiensten übernehmen nicht das Inkasso, sondern geben lediglich Informationen über die Bankverbindung des Nutzers weiter.

-Bankverfahren wie Überweisung, Lastschrifteinzug oder Kreditkartennutzung erfordern einen hohen administrativen Aufwand und sind mit hohen Gebühren verbunden. Diese Verfahren eignen sich nicht für das Inkasso von Kleinstbeträgen (Micropayment).

-Die Autorisierung über User-ID und Passwort, gegebenenfalls ergänzt um zusätzliche Transaktionsnummern, stößt beim Kunden nur auf mäßige Akzeptanz und ist für den Anbieter mit Verwaltungsaufwand verbunden.

-Rechtlich ausreichend verbindliche Transaktionen erfordern starke Authentisierungsverfahren, die neben Wissen auch den Besitz einer Smart Card, eines Authentisierungs-Tokens oder zumindest einer (sicher übermittelten und verwahrten) Transaktionsnummer erfordern.

-Der Anbieter sieht sich einem vergleichsweise hohen Ausfallrisiko durch Missbrauch bei Online-Buchungen konfrontiert, bedingt durch die mangelnde Authentisierung des Kunden.

Darüber hinaus stellt sich die Frage, inwieweit der Online-Kunde überhaupt daran interessiert ist, seine Identität preiszugeben. Prinzipiell ist eine Trennung des Online-Geschäftes von der finanziellen Transaktion möglich. Sofern keine Lieferung frei Haus erfolgt, ist die Feststellung der Identität durch den Händler nicht erforderlich.

Dass dies eine realistische Annahme ist, zeigt unter anderem eine Untersuchung der Gartner Group: Einer Befragung von 160 US-Unternehmen zufolge gibt es beim elektronischen Handel über das Internet zwölfmal häufiger Betrug mit Kreditkartentransaktionen als im herkömmlichen Geschäft. Laut Angaben der Gesellschaft Euro-Kartensysteme sind fast zehn Prozent der mit der marktführenden Kreditkarte Eurocard getätigten Internet-Transaktionen illegal, im Vergleich zu 0,1 Prozent im klassischen Kreditkartengeschäft.

Hier besteht eine Nische für alternative Authentisierungs- und Zahlungsverfahren. Insbesondere im Consumer-Bereich sind komfortable und zugleich sichere Lösungen gefragt, denn der Kunde darf weder mit aufwändigen Authentisierungsprozeduren verprellt werden noch bieten die geringen Transaktionshöhen einen Spielraum für eventuelle Investitionen in Zusatzgeräte für den Kunden wie Smart Card und Lesegerät.

Daneben sind auch die Banken nicht untätig geblieben. SET und HBCI bieten sichere Transaktionen auch über das Internet an, inklusive Bonitätsprüfung und eventueller Zahlungsgarantien. Mit Identrus steht darüber hinaus eine bankenübergreifende B-to-B-Transaktionsplattform zur Verfügung.

Der Kunde wird seine Wahl von den folgenden Überlegungen abhängig machen:-Über wie viele Akzeptanzstellen verfügt das System? Hier haben solche Verfahren die Nase vorn, die klassische Bankdienste mit mobiler Autorisierung versehen.

-Welches Risiko verbleibt beim Kunden?

-Widerspruchsrecht des Kunden. Hotline-Funktion rund um die Uhr.

-Risikobegrenzung: Festlegung eines maximalen Verfügungsrahmens durch den Kunden - monatlich oder total, sowie per Transaktion.

Neben diesen klassischen Merkmalen könnte demnächst die Möglichkeit der pseudonymen Bezahlung an Bedeutung gewinnen:

-Welche Informationen erhält der Anbieter?

-Agiert der Serviceanbieter als Stellvertreter des Kunden, das heißt überweist er Gelder pseudonym, oder agiert er lediglich als Vermittler zwischen den Handelspartnern?

-Ist es für den Kunden möglich, unter Pseu-donym einzukaufen?

-Ist es für den Händler möglich, unter Pseu-donym aufzutreten?

Fazit: Wichtig ist, dass auch bei alternativen Zahlungsverfahren das Risiko eines Zahlungsausfalls beim Händler verbleibt. Daher ist es entscheidend, dass die Anbieter alternativer Zahlungsverfahren eine enge Beziehung zum Kunden unterhalten sowie dessen Bonität einschätzen können.

Dies prädestiniert Banken und Mobilfunkanbieter in besonderer Weise, als Vermittler zwischen ihren Kunden und Online-Händlern aufzutreten. Banken sollten über ein guthabenorientiertes Angebot nachdenken, analog zur Prepaid-Karte der Mobilfunkanbieter. Dies würde den Verwaltungsaufwand reduzieren und ein Micropayment ermöglichen. (bi)

*Markus Schäffter ist Mitbegründer der Secaron AG in Starnberg bei München.

E-Money vor dem Aus?Den elektronischen Geldbörsen geht es nicht besser als den öffentlichen Zertifizierungsstellen: Sie stoßen weiterhin auf Skepsis beim Kunden. So betrug der Umsatz von auf Smart Card oder Festplatte gespeicherten Guthaben im Juni 2001 in Deutschland 62 Millionen Euro, Mitte 2000 waren es in der gesamten EU 140 Millionen Euro, das sind lediglich 0,04 Prozent des Bargeldumlaufs. Cybercash stellte seine Cyber Coins zur Jahreswende ein, das von der Deutschen Bank unterstützte E-Cash fristet ein Schattendasein.

Gleichzeitig bekommt Pay Box Konkurrenz. Während Pay Box einen klassischen Lastschrifteinzug initiiert, ausgeführt durch die Deutsche Bank AG, dem Hauptaktionär der paybox.net AG, hat SMS-Gateway-Anbieter Materna auf der CeBIT ein ähnliches System gezeigt, das Geldbeträge über die Telefonrechnung ein-treibt. Daneben haben verschiedene in- und ausländische Firmen auf der weltgrößten Computermesse eigene Zahlungsautorisierungen per Handy vorgestellt, unter anderem die GZS und Telecash.

"Lasset die Kassen klingeln!"Schon Dagobert Duck konnte sich dem Reiz des melodischen Klingelns einer vollen Registrierkasse nicht entziehen. Für die Content Provider steht ein Paradigmenwechsel an. Glaubten sie bis vor kurzem noch, Informationen im Internet aus Marketingbudgets zur Kundenbindung oder gezielt gestreuter Werbebotschaften bezahlen zu können, so gilt es nun, den Kunden direkt zur Kasse zu bitten.

Dabei geht es um mehr als nur ums Geldverdienen. Es stehen Überlegungen zum Wert von Informationen und zum Urheberrecht im Mittelpunkt. Die erste Frage kann am besten über einen Informationsmarkt geklärt werden, der es Anbietern und Käufern erlaubt, die Preise für Informationen frei auszuhandeln. Dazu sind Bezahlungssysteme erforderlich, die eine transparente und nutzungsabhängige Preisgestaltung und zugleich sichere finanzielle Transaktionen ermöglichen. Micropayment lautet das Stichwort hierzu und in Zukunft vielleicht auch pseudonyme Bezahlung.

Die Frage nach dem Urheberrecht bleibt heiß umkämpft. Eine leidvolle Erfahrung, wie die Tonträgerindustrie nicht müde wird zu bezeugen: Musikstücke können in digitaler Form ohne Qualitätsverlust über das Internet ausgetauscht werden, lokale CD-Brenner machen den Medienunternehmen ernsthafte Konkurrenz.

Dies ist jedoch erst die Spitze des Eisbergs. Die zunehmende Bandbreite und immer effektivere Komprimierungsverfahren lassen es möglich erscheinen, dass in Zukunft Kinofilme in bester Qualität über das Internet ausgetauscht werden und vielleicht sogar Fernsehprogramme in Echtzeit über das Internet "ausgestrahlt" werden könnten. Harte Zeiten könnten bald auch den Pay-TV-Anbietern sowie den großen Filmrechtevermarktern drohen.

Gegenmaßnahmen blieben bislang auf eher klägliche Versuche beschränkt. Mit proprietären Verfahren zum Kopierschutz und Gerichtsbeschlüssen gegen allzu offensichtliche Tauschbörsen ist langfristig kein Blumentopf zu gewinnen. Vielleicht sollte stattdessen einmal darüber nachgedacht werden, was Informationen tatsächlich wert sind. Der Kunde jedenfalls wird in Zukunft nicht mehr über das Monopol des Informationsträgers zur Kasse gebeten werden können, sei es in Papierform, als CD oder als DVD.

Zahlungssysteme im Überblick-Kreditkarten ermöglichen Finanztransaktionen, allerdings bieten sie von sich aus wenig Sicherheit gegen Missbrauch.

-Elektronische Geldbörsen speichern Guthaben vorzugsweise auf dem Chip einer Smart Card. Sie ermöglichen anonyme Geldtransaktionen analog zum Austausch von Bargeld. Allerdings ist man auf physikalische Akzeptanzstellen mit entsprechenden Terminals angewiesen.

-Handy-basierende Zahlungssysteme ermöglichen es, Banktransaktionen über das Handy zu autorisieren, entweder per Rückruf oder über den SMS-Service der Mobilfunkanbieter.

-Click & Buy von Firstgate ermöglicht es, Kleinstbeträge per Rechnung zu begleichen.

-Darüber hinaus planen Mobilfunkanbieter, auch kleinste Geldbeträge komfortabel über Telefonrechnung abzubuchen. Dabei dient das Handy als Authentisierungs-Token.

-Internet Service Provider (ISP) wie T-Online oder Web.de statten ihre Kunden zunehmend mit elektronischen Zertifikaten aus und bieten, ähnlich wie die Mobilfunkanbieter, Micropayment über die ISP-Rechnung an.