Archiv
Bezahl-Verfahren: Einen führenden Standard gibt es nicht

Mittlerweile gibt es eine ganze Reihe von Bezahl-Lösungen für Mobiltelefone und andere mobile Endgräte, die am Markt angeboten werden. Verfahren, bei denen der Kunde seine Kreditkartennummer preis geben muss, spielen dabei allerdings so gut wie keine Rolle. Mehr zur mobilen Zukunft im Mobile Special

mr DÜSSELDORF. Während es im Internet längst anerkannt sichere Systeme wie SSL (Secure Socket Layer) und SET (Secure Electronic Transaction) gibt, sind Lösungen von ähnlicher Qualität für Handys noch nicht verfügbar.

WTSL-Standard

Das einzige existierende Verfahren bei dem der Kunde seine Kreditkartennummer eingeben muss, ist der in Anlehnung an SSL entwickelte Standard WTSL (Wireless Transport Layer Security). WTSL fehlt nach Ansicht vieler Experten allerdings die nötige End-to-End-Sicherheit. Der meistgenannte Kritikpunkt: Die Verschlüsselung erfolge nur vom Handy bis zum WAP-Gateway, also bis zum Übergang vom Mobilfunk ins Internet, und nicht bis zum Server des Anbieters. PIN-TAN-Verfahren

Als deutlich sicherer gelten andere Ansätze wie das PIN-TAN-Verfahren. Bei diesem Verfahren muss nicht nur eine festgelegte persönliche Geheimzahl (PIN) eingegeben, sondern auch jede Transaktion mit einem nur einmal verwendbaren Zahlencode, die Transationsnummer (TAN), freigegeben werden. Ein System, das nach diesem Strickmuster arbeitet, ist das der Hamburger Anthros GmbH . Gemeinsam mit dem Flensburger Telekommunikationsunternehmen KomTel hat es den Pilotbetieb für das ihr neues Bezahlverfahren "TAN.pay" gestartet, mit dem der Nutzer im Internet mit Hilfe seines Handys bezahlen kann. Nachdem sich der Kunde hat registrieren lassen, wird ihm ein Passwort per Post zugestellt. Mit diesem kann er über die Anthros-Website eine gültige TAN anfordern, die ihm per SMS auf sein Handy gesandt wird. Erst mit der TAN kann er dann in Kombination mit zuvor festgelegten persönlichen Daten eine Zahlung im Internet authorisieren.

PIN-Verfahren

Im Vergleich zu PIN-TAN-Verfahren, verzichten die PIN-Verfahren auf die Eingabe einer einmaligen Transaktionsnummer. Bekanntestes Beispiel für den Einsatz des PIN-Verfahren ist das System der Firma Paybox.net AG, die sich selbst nach den Worten ihres Vorstandsvorsitzenden Mathias Entenmann auf dem Weg zum internationalen Industriestandard sieht. Ein Handy und ein Giro-Konto - das ist alles, was der Kunde, der sich zuvor bei Paybox registrieren muss, benötigt, um in Internet-Shops oder auch in Geschäften oder im Taxi per Mobiltelefon zu bezahlen. Das Bezahlen funktioniert ähnlich wie das Lastschriftverfahren: Der Händler meldet Paybox einen Kauf sowie die berechnete Summe und gibt die Handy-Nummer des Kunden an. Das Unternehmen ruft daraufhin das Mobiltelefon des Kunden an. Dieser bestätigt den Handel mit einer speziellen PIN-Nummer und erteilt so die Erlaubnis, das Geld von seinem Konto abzubuchen. Die offene Plattform Paybox zählt derzeit in Deutschland, Österreich, Spanien und Schweden rund eine Viertelmillion Nutzer und bietet 5 000 Akzeptanzstellen, darunter rund 1 000 E- und M-Commerce-Unternehmen. Bis zum Jahresende soll es 1 Million Nutzer geben.

Digitale Signatur

Als zukunftsträchtigster Ansatz gilt die digitale Signatur, wie sie Microsoft und die Sema Group im "Mo-Sign"-Projekt oder Gemplus und seine Partner mit "Mobitrust" entwickelt haben. Bei Mo-Sign wird unabhängig vom Endgerät die Authentizität des Transaktionspartners mit Hilfe von digitalen Zertifikaten gewährleistet: Der personengebundene private Schlüssel, der zum Legitimationsserver im Rechenzentrum der Bank passen muss, ist sicher auf einer Smartcard im Mobiltelefon abgelegt, der Zugriff mit einer achtstelligen PIN geschützt. "Mo-Sign" definiert dabei bewusst keinen neuen Standard, sondern macht sich die Erfahrungen mit bestehenden zunutze: Die eingesetzten Zertifikate entsprechen dem international anerkannten Identrus-Standard. Er garantiert nach Ansicht der "Mo-Sign"-Partner - dazu gehören unter anderem auch Emagine, Ericsson, Materna, Siemens und TC Trust Center - sowohl internationalen Einsatz als auch weitreichende Kompatibilität.

Mobitrust, das gemeinsam von Smart-Card-Spezialisten Gemplus, der France Telecom Mobiles und Certplus, dem führenden französischen Anbieter für mobile Sicherheit entwickelt wurde, arbeitet sehr ähnlich. Mobitrust erzeugt mit der so genannten Public Key Infrastructure (PKI) und einer speziellen SIM/WIM-Card eine digitale Unterschrift.Sobald der Kunde ein Geschäft abschließen möchte, muss er mit dem Handy und der Mobitrust PIN den Kauf bestätigen. Diese digitale Signatur bietet sowohl dem Handynutzer als auch dem Händler ein hohes Maß an Ende-zu-Ende Sicherheit. Mobitrust wird voraussichtlich ab Sommer 2001 auf dem Markt sein.

Dual-Slot-Technologie

Gemplus bietet daneben eine weitere Lösung an, bei der die Kreditkarte nach Unternehmensangaben dann doch gefahrlos eingebunden werden kann. Das Erfolgsrezept ihrer Chipkarten-basierten Lösung ist eine Dual-Slot-Funktion: Dabei werden die Kreditkartendaten nicht über das Internet übertragen, sondern direkt aus der Kreditkarte über den zweiten im Mobiltelefon eingebauten Chipkartenleser ("Dual Slot") ausgelesen und über das Mobilfunknetz nicht an den Verkäufer, sondern direkt an die Clearingstelle übermittelt. Die Eingabe der dazugehörigen PIN sorgt für zusätzliche Sicherheit. Daneben sichert ein Verschlüsselungsverfahren die übertragenen Daten gegen Abspeichern oder Ausspionieren. Entsprechende Handys mit einem Kartenlesegerät für die "Gem-Dual"-Lösung, die seit einigen Monaten bei einem Shopping-Projekt in Frankreich im Einsatz ist und dort von fast 300 Internet-Shops eigesetzt wird, haben mittlerweile unter anderem Motorola, Sagem und Phillips im Angebot.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%