E-Commerce – Sicherheit
Ein Who’s Who für Online-Shopper?

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Die Verwendung von Chip-und-PIN-Authentifizierungsmethoden könnte sich im Online-Bereich als unzureichend erweisen.

E-Commerce – Sicherheit

Bei eBay kann man alles kaufen, Hochwertiges und Lächerliches. Gehörnte Ehemänenr verkaufen die Unterwäsche ihrer Ehefrauen; Scherzbolde verkaufen Papierflugzeuge; man kann sogar für einen Papierbecher bieten, der nach einem amerikanischen Basketballstar geworfen wurde. Aber natürlich gibt es auch Probleme, vor allem wenn es um einfallsreiche Verbrechen geht.

Ich habe unlängst von einem Hacker gehört, der es geschafft haben soll, einen Käufer für einen Gegenstand bezahlen zu lassen, den jemand anders verkaufte. Caveat emptor, natürlich: Käufer, aufgepasst! In anderen Fällen stammten die verkauften Waren aus Raubüberfällen; die Diebe benutzen eBay als High-tech-Methode, um die Gegenstände so anonym wie möglich zu Bargeld zu machen. Es ist für den Käufer jedoch schwer, Vorsicht zu bewahren – so wie auch eine Internet-Bank ihre Kunden nicht wirklich kennt – in einer Umgebung, wo “niemand weiß, dass man in Wahrheit ein Hund ist” und wo ein hohes Maß an Anonymität möglich ist.

Das Problem ist natürlich Identifikation und Autorisierung – die Identifikation von Menschen durch eine Form von Prozessblock und die Autorisierung dieses Prozessblocks, um Zugang zu Informationen zu erhalten.

Es gibt drei Ebenen von Authentifikation, die allgemein anerkannt werden. Typ 1 ist etwas, das man kennt, ein Passwort zum Beispiel. Typ 2 ist etwas, das man hat, ein Token oder eine Smartcard. Und Typ 3 ist etwas, das man ist, ein biometrischer Wert. Und dann gibt es zwei gemeinsame “Faktoren” der Authentifizierung: Ein Faktor verwendet nur einen dieser Typen; Zwei-Faktor-User nutzen zwei von ihnen, vorzugsweise unterschiedliche Typen. Leider handelt es sich bei fast allen Authentifizierungen im Internet oder besser in fast allen Umgebungen, abgesehen von den sicherheitsrelevantesten, um Ein-Faktor-Authentifizierung (ein Passwort) oder bestenfalls um eine schwache Zwei-Faktoren-Authentifizierung (zwei Passwörter; ein Passwort und so etwas wie der Mädchenname Ihrer Mutter).

In jedem Sicherheitsplan würde das als schwach gelten, aber bei fast allen Finanztransaktionen im Internet ist das die Regel.

Es gibt seit langem bessere Methoden, diese Authentifizierung zu erreichen. Chip- und PIN-Karten unterstützen beispielsweise die Zwei-Faktoren-Authentifizierung: etwas, das man hat – die Karte selbst – , und etwas, das man kennt, die PIN. Warum werden solche Systeme nicht routinemäßig im Internet verwendet, und sei es nur fürs Online-Banking?

Es gibt zwei Gründe. Erstens würden die Kosten die Profite der Banken schmälern. Nun, angesichts der großen Kostendifferenzen zwischen Transaktionen am Schalter und online – irgendetwas in der Höhe von 20 Prozent – erscheint dieses Profitelement weniger wichtiger. Aber es gibt einen weiteren Grund, und der ist, dass der User in Wahrheit weniger gut geschützt wäre.

Eine Internet-Transaktion per Kreditkarte ist eine “Kartenbesitzer-nicht-anwesend”-Transaktion, was bedeutet, dass die Beweislast für die Transaktion beim Händler liegt und der Kunde eine Rückerstattung erwarten kann, wenn etwas schief geht.

Bei einer effizienteren Authentifizierung – oder sogar bei einer Form von digitaler Signatur – würde dieser Schutz entfallen; es wäre nun eine “Kartenbesitzer-anwesend”-Transaktion, und die Beweisläst würde sich verschieben.

Die Kunden wären also verblüffenderweise durch schwächere Sicherheitsversionen besser geschützt. Lohnt es sich nicht, darüber beim nächsten Online-Einkauf bei eBay nachzudenken?