Sicherheitsstandard bei Mobile Commerce
Elektronischer Schlüssel ins Handy integriert

Per Handy kann man schon heute den Kontostand nachsehen und Aktien ordern, ohne Angst vor Datenklau haben zu müssen: Das ermöglichen digitale Signaturen auf den Karten des Mobiltelefons. Die Zukunft der Datensicherheit ist der individuelle Fingerabdruck.

HANDELSBLATT, 21.3.2001

Mobiltelefone oder andere mobile Endgeräte werden verstärkt als zentrales Informations- und Kommunikationsmedium genutzt. Das Wireless Application Protocol (Wap), der General Packet Radio Service (GPRS) und Universal Mobile Telecommunications System (UMTS) leisten dieser Entwicklung Vorschub. Denn die Verbindung des Mobilfunks und des Internets eröffnet völlig neue Anwendungsfelder. So gestatten zum Beispiel Wap-Banking- und Wap-Brokerage-Anwendungen die Erledigung von Bank- und Aktiengeschäften unabhängig von Zeitpunkt und Ort.

Rund 21,5 Millionen Bankkunden in Europa werden laut einer aktuellen Studie des Marktanalysten Datamonitor bis zum Jahr 2005 ihre Bankgeschäfte via Handy abwickeln. Und auch in anderen Bereichen nimmt die Bedeutung von M-Commerce-Applikationen zu.

Sicherheitstechnologien, wie PKI (Public Key Infrastructure), bieten bei digitalen Transaktionen via Handy oder PDA (Personal Digital Assistent) dabei das Maß an Sicherheit, das auch der Gesetzgeber für die Rechtsverbindlichkeit der Geschäftsabwicklung im World Wide Web einfordert.

Die Hauptanforderungen für leistungsfähige Sicherheitstechnologien beziehen sich dabei auf die Identifikation und Authentifizierung, Berechtigungsautorisierung und-kontrolle sowie Datenschutz und Integrität.

Sicherheitstechnologien wie PKI entsprechen diesen Forderungen durch den Einsatz von digitalen Signaturen auf Smart Cards und Sim-Cards. Derartige PKI-Technologien auf der Basis von Chipkarten ermöglichen manipulationsfreie und abhörsichere Transaktionen sensibler, personifizierter und damit zu schützender Informationen. Die übermittelten Daten werden bei der PKI-Technik mit Hilfe eines asymmetrischen Schlüsselpaares verschlüsselt und darüber hinaus mit einer digitalen Signatur versehen.

Das Schlüsselpaar besteht aus einem geheimen Schlüssel (Private Key) und einem öffentlichen elektronischen Schlüssel (Public Key). Die Ver- und Entschlüsselung der Daten geschieht mit jeweils unterschiedlichen Schlüsseln. Die Verschlüsselung der Daten wird mit komplexen kryptografischen Verfahren realisiert. So ist sichergestellt, dass nicht-autorisierte Personen die Daten weder lesen noch manipulieren können.

Der private Schlüssel ist dabei ausschließlich dem Sender der Informationen zugänglich. Mit ihm signiert er die Daten. Der private Schlüssel kann zum Beispiel auf der Smart Card seines Handys integriert sein. Darüber hinaus wird die digitale Signatur mit einem elektronischen Zertifikat versehen. Es weist den Sender eindeutig als berechtigten Nutzer des verwendeten privaten Schlüssels aus. Der Empfänger der Informationen wiederum kann über dieses elektronische Zertifikat den Urheber der Nachricht zweifelsfrei identifizieren. Ein weiterer Vorzug dieses Verfahrens besteht darin, dass exakt überprüft werden kann, ob die Daten während des Transfers manipuliert worden sind.

Spezielle Trust-Center, wie das der Informatik Kooperation der Sparkassen, ordnen die digitalen öffentlichen Schlüssel zu und registrieren die Vertragspartner. Sie gewährleisten die Datenintegrität, eine abhörsichere Kommunikation und eine Benutzer-Authentifizierung.

Beim PC-Banking mit digitalen Signaturen sind für diese Funktionen Kartenlesegeräte notwendig. Bei Wap- PKI-Anwendungen übernimmt sie das Handy und wird so selbst zum Kartenlesegerät. Über eine spezielle PIN-Nummer wird der auf der Smart- oder Sim-Card des Handys integrierte private elektronische Schlüssel aktiviert. Der Besitzer des Mobiltelefons weist sich damit als berechtigter Nutzer aus. Das jeweilige Trust-Center übernimmt die Authentifizierung des privaten Schlüssels.

Anwendungen des Wap-Brokerage oder Wap-Bankings können dank dieser Funktionalitäten nach höchsten Sicherheitsstandards realisiert werden. Auf der Basis der PKI-Technologie erfolgt der Zugang zu diesen Anwendungen an Stelle des PIN/TAN-Verfahrens. Die Ausführung der Aktien- und Bankgeschäfte erfolgt also nicht nur nach höchsten Sicherheitsstandards; sie wird auch deutlich komfortabler. Die Zeiten, in denen der Nutzer seine TAN-Nummern ständig griffbereit und in ausreichender Anzahl bei sich führen musste, sind damit endgültig vorüber.

Doch die Entwicklung von eindeutigen Autorisierungsverfahren geht weiter. PIN gelten als übertragbare Autorisierungsmerkmale, die - einmal einem nicht-autorisierten Nutzer bekannt - dem Missbrauch Tür und Tor öffnen.

Als nicht-übertragbare Autorisierungsmerkmale gelten hingegen biometrische Daten wie Fingerprint oder die Iris des Menschen. Wenn die Nutzung biometrischer Daten des Kunden als Passwort an Stelle der speziellen PIN-Nummer für den Zugang zur Chipkarte des Handys möglich ist, steigen Sicherheit und Nutzerfreundlichkeit nochmals an. Sensoren nehmen die unveränderbaren, personenbezogenen Merkmale auf, die dann mit den auf dem Chip gespeicherten Werten abgeglichen werden.

Ulrike Korte, Senior Consultant für Neue Technologien der Informatik, Kooperation GmbH, Münster.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%