E-Commerce: Wettlauf mit Hackern

Zu lange haben Online-Händler auf die bequeme Kreditkarte gesetzt und sichere Alternativen ignoriert. Jetzt macht der Markt Druck.

 

Der Angriff aus dem Netz traf den Online-Händler E-Universe mitten im Weihnachtsgeschäft. Ein Hacker namens Maxus behauptete, er habe die zentrale Kundendatei des Musik-Shops CD Universe in Wallingford (Connecticut) geknackt. In Drohbriefen forderte er Schweigegeld. Wenn die Firrna nicht 100.000 Dollar zahle, werde er die Kreditkartendaten der CD-Käufer im Internet veröffentlichen und die Presse informieren.

Die erpressten Manager blieben hart. Dass Maxus nicht geblufft hatte, merkten sie, als kurz darauf 25.000 der angeblich 300.000 erbeuteten Datensätze auf einer Website namens Maxus Credit Card Datapipe auftauchten. Name, Nummer, Ablaufdatum – alles abgepumpt durch ein Leck in der Software, mit der E-Universe die Kartenzahlungen bearbeitet.

Das Debakel von Wallingford kann sich jederzeit und überall wiederholen. Im weltweiten Online-Handel ist die praktische, aber sicherheitstechnisch völlig antiquierte Kreditkarte unangefochten das Zahlungsmittel Nummer eins – ungeachtet aller Angriffe von global operierenden Ganoven wie Maxim Iwankow alias Maxus. Nach Recherchen des amerikanischen Hacker-Jägers John Vranesevich macht der 19-jährige Datenbankräuber, der sein Unwesen von Russland oder Lettland aus treibt, sein Geld nicht allein mit Erpressungen. Er soll auch zu den Lieferanten eines weltumspannenden Schwarzmarkts für gestohlene Kartendaten gehören: „Die bringen zehn bis 20 Dollar das Stück.“

Ein Unding, dass solche Gaunerstücke überhaupt noch möglich sind. Wären alle Sicherheitsvorkehrungen auf dem neuesten Stand, hätten die PC-Gangster schweres Spiel. Längst gibt es auf dem Markt hoch entwickelte Prozessor-Chipkarten und biometrische Sicherungen wie Fingerabdruckleser, die den Nummerndieb schachmatt setzen würden. Doch die Nachfrage nach solchen Verfahren war bisher verschwindend gering. Grund: Sie machen den Einkauf umständlicher und sind auch nicht kostenlos zu haben.

Für die Erfinder sicherer Zahlungsmethoden waren die Schlagzeilen der vergangenen Monate allerdings die beste Reklame. Selten zuvor bekam die Öffentlichkeit so drastisch vorgeführt, wie unsicher E-Commerce sein kann: erst der Hack bei CD Universe, dann die Yahoo-Sabotage durch Mafia-Boy, schließlich das I-Iove-You-Virus. Wenn die Web-Händler überhaupt noch Geschäfte machen wollen, dann müssen sie moderne Sicherheitsstandards etablieren. Nach einer Studie des weltweit agierenden Marktforschungsinstituts Jupiter Research würden zwei Drittel jener Web-Surfer, die immer nur schauen und nie etwas bestellen, sich dann wahrscheinlich trauen.

Die Möglichkeiten, den Internet-Einkauf zu begleichen, sind zwar zahlreich, aber schwer zu etablieren. Die Idee, eine internationale und hackersichere Spezialwährung fürs Web (Digicash, Cybercoins oder Millicent) einzuführen, ging prompt schief. 1997 präsentierten Visa und Mastercard stolz eine Software- Neuentwicklung namens Secure Electronic Transaction (SET). Der Online-Kunde schickt seine Kreditkartennummer nicht an den Händler, sondern an ein zwischengeschaltetes Trust-Center. Dort ruhen die Kundendaten, anders als bei den Händlern, in hochsicheren Spezialprogrammen, an denen sich Hacker die Zähne ausbeißen. Genutzt wird der Hacker-Schreck SET bisher kaum. Die Stadtsparkasse München macht jetzt einen neuen Versuch und will ihren Kreditkartenkunden in Kürze das beinahe totgesagte SET als Option anbieten. Die Konkurrenz ist jedoch groß. Dienstleister wie die IT-Unternehmen Emprise aus Hamburg oder Bibit aus den Niederlanden nehmen Händlern die gesamte Abwicklung des Zahlungsverkehrs ab und stehen auch für die Sicherheit gerade. Auch von Telekom&Co erwarten Experten ein stärkeres Engagement auf diesem Gebiet.

Hinzu kommen völlig neue Techniken, etwa die von der Frankfurter Paybox.net AG entwickelte Online-Bezahlungvia Handy (BIZZ 4/00). Beim Start am 11. Mai hatte die Firma, deren größter Aktionär die Deutsche Bank ist, bereits 140 Online-Shops unter Vertrag. Den Oldie SET nutzen nach offiziellen Angaben lediglich neun Händler.

Zur Gewöhnung des Surfers an derartige Zahlungsmethoden dürfte auch der Dienst Click& Pay net 900 beitragen: Seit April treibt die Telekom Geld für Unternehmen ein, die im Netz Software, Musikstücke und Zeitschriftenbeiträge aus Datenbanken verkaufen.

Angesichts der Konkurrenz aus der Mobilfunk- und Festnetzecke machen die Sparkassen einen letzten Versuch, die Geldkarte zu etablieren. Von der Technik her wäre diese mit einem goldenen Chip aufgemotzte Eurocheque-Karte ein probates Universalplastikgeld: Es eignet sich für beliebige Beträge zwischen zehn Pfennig und 400 Mark und funktioniert am Zigarettenautomaten genauso wie im Web-Shop – theoretisch jedenfalls. Obwohl die Geldkarte seit dreieinhalb Jahren in Umlauf ist, sind die erforderlichen Kartenlesegeräte noch immer nicht auf dem Markt, denn im zentralen Kreditausschuss stritten Banken und Sparkassen lange über technische Details. In diesem Sommer sollen die Apparate nun endlich in Serie gehen. Dann kann jeder Homebanker seine Geldkarte selbst aufladen.

Einzigartig wie kein Code der Welt ist die menschliche Haut. Die Siemens-Tochter Infineon hat einen Sensor-Chip entwickelt, der einen Menschen am Fingerabdruck erkennt. In die erste Generation der Chip-Kartenleser wird er jedoch noch nicht eingebaut. Das Handy mit Daumen-Scanner gibt es dagegen immerhin schon als Prototyp.

SICHER BEZAHLEN IM INTERNET
MOBILTELEFON Handynetze sind viel abhörsicherer als das Internet. Darum können Web-Einkäufe per Handy autorisiert werden – zunächst per Geheimzahl, in Zukunft per Fingerabdruck.
FINGER-SCANNER Preiswerte Sensor-Chips machen es möglich , die Geheimzahl durch einen Fingerabdruck zu ersetzen. Weil die Biodaten nicht über das Netz übertragen werden dürfen, gehört eine Chip-Karte mit privatem Schlüssel dazu – oder ein Mobiltelefon.
GELDKARTE Seit 1997 tragen deutsche EC-Karten einen fälschungssicheren Chip. Den können Homebanking-Teilnehmer künftig am PC mit 400 Mark aufladen, um online und offline einzukaufen. Dafür ist vorläufig eine Geheimzahl nötig.
WALLETS Diese aufladbaren elektronischen Geldbörsen für die Festplatte waren ein Flop: Die Nutzer hatten Angst, das virtuelle Geld könnte bei einem Computerabsturz gelöscht werden.
KREDITKARTE Die Schwachstelle beim Einkauf per Kreditkarte ist der Händler. Darum nützt verschlüsselte Verbindung zum Shop wenig. Besser: Ein Trust-Center verarbeitet die Daten für den Händler. Ein Risiko bleibt die Karte dennoch: Jeder Kellner, Verkäufer oder Tankwart sieht täglich Daten, die er im Internet missbrauchen könnte – etwa um sich auf Porno-Sites zu amüsieren.
CLlCK&PAY Bit-Ware wie Software, Musik oder ein Online-Text kann jetzt per Mausklick über Telefonrechnung bezahlt werden. Dazu wird die Internet-Verbindung kurz getrennt und über eine 0900-Nummer wiederhergestellt. Was es kostet, wird vorher angezeigt (Beträge bis zu fünf Mark pro Klick oder pro Minute).

MEHR ZUM THEMA SICHER EINKAUFEN
www.set-sites.com Wo man mit SET bezahlen kann
www.paybox.net Blechen per Handy
www.t-mart.de lnfos zu Click&Pay.
www.antiOnline.com Site des berühmt-berüchtigten Hacker-Jägers Vranesevich

Erschienen in BIZZ 6/2000.

Sie sind der oder die 1228. Leser/in dieses Beitrags.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert