Analyse offline erzeugter virtueller Kreditkartennummern als mögliche sichere Form des bargeldlosen Zahlungsverkehrs im E-Commerce

Diplomarbeit von Marco Verch

Einleitung:

Der Handel im Internet ist heute ein alltäglicher Vorgang. Er befindet sich weiterhin im Wachstum und gewinnt Anteile im Vergleich zu dem klassischen Einzelhandel. Die Zahlungsabwicklung ist ein notwendiger Bestandteil des Handels mit Waren und Gütern. In diesem Zusammenhang hat sich die Kreditkarte weltweit als das am häufigsten verwendete Zahlungssystem etabliert. Die Kartenorganisationen entwickeln ihre Netzwerke permanent weiter. Dennoch ist die Zahlung mit Kreditkarte ein missbrauchsanfälliges Verfahren. Für einen Einkauf reicht die Kenntnis von Karten- und Prüfnummer aus. Auf die Identifizierung des rechtmäßigen Karteninhabers wird weitgehend verzichtet. Missbräuche verursachen Kosten, die alle Beteiligten tragen müssen. Dies führt zu einem unattraktiveren Kreditkartensystem. Die Erforschung und Förderung von sicheren Verfahren zur Kreditkartenabwicklung stellt daher eine besondere Herausforderung dar.

Die Universität Purdue stellte auf der Konferenz Financial Cryptography 2007 die Idee virtueller Kreditkartennummern vor. Sie werden offline generiert und sind durch Parameter beschränkt. Durch den Einsatz kryptographischer Hashfunktionen entstehen auf diese Weise transaktionsabhängige, virtuelle Kreditkartennummern. Der reale Account des Karteninhabers bleibt verborgen. Mithilfe dieses Verfahrens soll das Ausmaß missbräuchlicher Kartenverwendung reduziert werden.

Problemstellung:

Ziel dieser Arbeit ist eine Analyse des vorgestellten Systems unter Berücksichtigung sicherheitsrelevanter und pragmatischer Aspekte. Kapitel zwei zeigt eine Auswahl von Zahlungssystemen, die für E-Commerce-Anwendungen eingesetzt werden. Das dritte Kapitel beschäftigt sich mit Prüfziffernberechnungen. Es wird dargestellt, wofür diese dienen und wo ihre Grenzen liegen. Kapitel vier beschreibt das derzeitige Kreditkartensystem. Zunächst wird der Ablauf von Transaktionen erläutert. Im folgenden Teil findet eine nähere Betrachtung von Kreditkartenbetrug statt. Schließlich werden vorhandene Maßnahmen zum Risikomanagement vorgestellt. Sie geben den aktuellen Stand der Forschung wieder. In Kapitel fünf wird das Schema virtueller Kreditkartennummern näher beschrieben. Außerdem werden Anreize für den realen Einsatz genannt, und untersucht, welche Restriktionen durch das vorhandene Kreditkartensystem vorgegeben sind. Dazu zählen Kollisionen mit realen Kreditkartennummern, die wegen des geteilten Nummernraums auftreten. Im Anschluss wird die Realisierbarkeit diskutiert; zudem werden Erweiterungen vorgeschlagen. Eine Implementierung des Konzepts demonstriert schließlich, wie Karteninhaber virtuelle Kreditkartennummern erzeugen und einsetzen.

Inhaltsverzeichnis:

Textprobe:

Kapitel 4.6, Kreditkartenbetrug:

Kapitel 4.6.1, Einleitung: ‚Seit dem Bestehen des Kreditkartenverfahrens werden von Dritten Sicherheitslücken bei der Abwicklung einer Kreditkartenzahlung gesucht, um diese in missbräuchlicher Weise auszunutzen und sich zu bereichern’. Im Wesentlichen wird zwischen drei Betrugsformen (engl. credit card fraud) unterschieden Fälschungen: Geldautomaten oder Terminals werden mithilfe eines Lesegeräts manipuliert, um Kopien der Kreditkarte anzufertigen (engl. skimming). Außerdem kann der Magnetstreifen echter Kreditkarten verwendet werden, um neue Daten aufzuspielen.

Verlorene und gestohlene Karten: Bis zur Verlustmeldung durch den Karteninhaber kann die Karte mit einer gefälschten Unterschrift missbräuchlich verwendet werden.

Einsatz im Mailorder und E-Commerce: Die Kenntnis von Kartennummer, Gültigkeitsdatum und Kartenprüfnummern ist ausreichend, um missbräuchliche Bestellungen auszulösen. Eine eindeutige Identifizierung des Karteninhabers findet dabei in den meisten Fällen nicht statt.

Hinter dem gewerbsmäßigen Ausspähen von Kartendaten und der Anfertigung von Fälschungen steckt eine organisierte Kriminalität mit Rollenverteilung und hohem technischem Know-how.

Es ist ein Unterschied zwischen Transaktionen im Präsenzgeschäft und CNP-Transaktionen erkennbar. Im Jahr 2001 waren 1,14 Prozent aller Interneteinkäufe mit Kreditkarte missbräuchlich. Demgegenüber stehen 0,09 Prozent im stationären Geschäft. Die Ursachen hierfür liegen vor allem in der durch die Anonymität bedingten geringeren ‚Hemmschwelle’, den eingeschränkten ‚Legitimationsmöglichkeiten’ und neuen ‚Möglichkeiten der Tatbegehung’. Die folgende Betrachtung differenziert den Kreditkartenbetrug nach Rolle und Ziel des Angreifers.

Kapitel 4.6.2, Rolle des Angreifers:

Karteninhaber: Bei dem sogenannten friendly fraud nutzt der Karteninhaber seine Kreditkarte für einen Einkauf im Internet und bestreitet später, dass ein Vertrag zwischen ihm und dem Händler zustande gekommen sei. Unter Ausnutzung der ‚weitreichenden Rechte des Karteninhabers’ kann er den Kartenherausgeber um eine Rückbuchung (engl. chargeback) bitten. Für den Händler wird es schwierig, den Vertrag nachzuweisen. Anhaltspunkte sind hier der Ablieferungsnachweis des Zustellers und die IP-Adresse des Bestellers. In der Literatur findet man Abschätzungen, dass diese Form des Betrugs einen erheblichen Teil des Kreditkartenmissbrauchs ausmacht.

Vertragsunternehmen: Auch das Vertragsunternehmen kommt für die missbräuchliche Verwendung von Kartendaten infrage. Es kann im Präsenzgeschäft beispielsweise an Skimming-Attacken beteiligt sein. Im E-Commerce erhalten die Händler vollständige Kartendaten auf Vertrauensbasis übermittelt. Der Händler kann versuchen eine zusätzliche Rechnung mit einem unterschiedlichen Betrag über die Karte abzurechnen. Es ist außerdem denkbar, dass nicht der Verkäufer als Ganzes, sondern einzelne Mitarbeiter gezielt Kartendaten oder Geheimnummern ausspähen. Diese werden bei anderen Akzeptanzstellen eingesetzt oder veräußert.

Akquisitionsunternehmen und Herausgeberbank: Auch hier kann man annehmen, dass die gesamte Organisation nicht bewusst kriminell handeln wird. Bei den Unternehmen handelt es sich um Banken, die wie in 4.4 beschrieben von den Kartenorganisationen für ihre Tätigkeit legitimiert sind. Mitarbeiter können analog zu dem Vertragsunternehmen als potenzielle Gefahrenquelle gesehen werden.

Unbefugte Dritte: Die missbräuchliche Nutzung durch unbefugte Dritte wird im Folgenden als Hauptszenario gesehen. Es handelt sich um das ‚statistisch bedeutendste Risiko der Kreditkartenverwendung’. Daher zielen die meisten Bestrebungen der Akquisitionsunternehmen (vgl. Kapitel 4.8) zur Risikominimierung auf diese Form ab.

Kapitel 4.6.3, Ziele des Angreifers:

Karteninhaber: Eine Möglichkeit, an Kreditkartendaten zu gelangen, ist der unmittelbare Kontakt mit dem Karteninhaber. Dabei sind verschiedene Szenarien möglich. Bei kompromittierten Computersystemen können Tastatureingaben noch vor dem Versand abgegriffen werden. Das Ausspähen von Kreditkartendaten ist möglich. Moderne Betriebssysteme verfügen über integrierte Firewalls und melden, falls der Virenscanner nicht aktuell ist. Das verhindert allerdings nicht, dass Benutzer die Kreditkartendaten beabsichtigt in Webformulare eintragen. Zum einen können sie auf Phishing-Versuche hereinfallen. Dabei tätigt der Karteninhaber Eingaben während er glaubt, dass es sich um einen bereits bekannten und vertrauenswürdigen Händler handelt. Tatsächlich befindet er sich auf einer Webseite, die der echten lediglich nachempfunden ist. Zum anderen kann es sich um eine eigenständige Webseite mit angebotenen Produkten handeln, die zum Sammeln von Datensätzen dient und tatsächlich keine Produkte ausliefert. Weiterhin können Benutzer zur Eingabe ihrer Kreditkartendaten zum Altersnachweis aufgefordert werden.

Vertragsunternehmen: Es existieren rechtliche Vorgaben für das Vertragsunternehmen, die insbesondere für die Datenverarbeitung und den Datenschutz gelten. Weiterhin geben die Kartenorganisationen eigene Richtlinien vor (vgl. Kapitel 4.8.7). Dies stellt zunächst eine Hürde für den Angreifer dar. Gleichzeitig steigt der Nutzen im Erfolgsfall jedoch deutlich an, da in einem Schadensfall Kreditkartendaten von Tausenden Kunden zugänglich werden. Vergangene Vorfälle zeigen, dass Vertragsunternehmen kein theoretisches Ziel sind. Tatsächlich kam bei einem von MasterCard und Visa beauftragten Audit heraus, dass zwei Drittel der untersuchten Firmen Sicherheitsmängel aufweisen. So speicherten einige Firmen die Kartenprüfnummern, obwohl dies ausdrücklich untersagt und für die Prozessabwicklung nicht notwendig ist. Weiterhin wurde regelmäßig eine zu geringe Verschlüsselung gewählt und innerhalb der Firma besitzen zu viele Mitarbeiter Zugriff auf sensible Daten.

Verbindung zwischen den Parteien: Die Übertragungskanäle zwischen Karteninhaber, Vertragsunternehmen und Zahlungsintermediären sind zwar nicht abhörsicher, aber der Einsatz von Verschlüsselungsverfahren und Zertifikaten stellt sicher, dass Informationen nur an die legitimierte Partei gelangen. Ein Angriff auf die Verbindungen zwischen den Parteien ist daher praktisch auszuschließen.