Das E-Payment-Verfahren. Probleme und Vorteile auf Kunden- und Händlerseite

Inhaltsverzeichnis

Danksagung

Abstract

1 Einleitung

2 Anforderungen an Zahlungsverfahren im E-Commerce
2.1 Allgemeine Anforderungen
2.2 Anforderungen der Kunden
2.3 Anforderungen der Händler

3 Eingesetzte Zahlungssysteme im E-Shop
3.1 Klassifikation
3.1.1 Macropayment
3.1.2 Micropayment
3.1.3 Picopayment
3.2 Systeme
3.2.1 Onlineverfahren
3.2.2 Offlineverfahren
3.3 Herrschende und zukünftige Standards und Systeme

4 Technische und rechtliche Aspekte
4.1 Steuern und Zölle
4.2 Elektronische Unterschrift
4.2.1 RSA - Signatur
4.2.2 Digital-Signatur-Algorithmus (DSA)
4.2.3 Message Authentication Code und One-Time-Key
4.2.4 Certification Authority (CA)
4.3 Datenschutz
4.4 Technische Sicherheit
4.4.1 Aspekte des Sicherheitsniveaus
4.4.2 Verschlüsselung von Daten
4.4.2.1 Secure Socket Layer Protocol (SSL)
4.4.2.2 Secure/Multipurpose Internet Mail Extensions (S/MIME)
4.4.2.3 Secure Electronic Transaction (SET)
4.4.3 Speicherung von Daten
4.5 Verfügbarkeit

5 Literaturverzeichnis
5.1 Internetquellen
5.2 Weitere Quellen

6 Abbildungsverzeichnis

7 Tabellenverzeichnis

Danksagung

Wir danken Herrn Joachim Graf (HighText Verlag, München) und Frau Kathrin Lassnig (Fa. Online/Marketing Redaktion, sms.at mobile internet services GmbH Graz) für ihre Hilfe.

Abstract

This workout gives you an overview about problems and challenges to the E-Payment topic. E-Payment systems have to be up to certain standards to be accepted by the traders and customers. Which standards that are and which systems have already become accepted will be illustrated in this document.

1 Einleitung

E-Payment gewinnt mit der steigenden Anzahl an E-Shops immer mehr an Bedeutung. In den folgenden Kapiteln wird auf Hersausforderungen und Probleme rund um das Thema E-Payment eingegangen. Es werden Anforderungen behandelt die seitens der Kunden als auch seitens der Händler an ein E-Payment-Verfahren gestellt werden. Weiters werden bestehende E-Payment-Verfahren erläutert und klassifiziert. Wobei auf die Vorauskasse über die Kreditkarte bis hin zum Micro-Payment eingegangen wird. Besonders wichtige Punkte bei E-Payment-Lösungen sind auch Sicherheit, technische und rechtliche Aspekte. Nur wenn diese Punkte zufrieden stellend erfüllt werden können, kann sich ein E-Paymentsystem auch durchsetzen.

2 Anforderungen an Zahlungsverfahren im E-Commerce

Jeder Händler der im Bereich E-Commerce tätig wird, muss sich zu Beginn entscheiden, welches Zahlungsverfahren er einsetzen möchte. Je nachdem welche Anforderungen erfüllt werden sollen, wird sich der Händler für ein entsprechendes E-Payment-Verfahren entscheiden. Wichtige Voraussetzung für die Akzeptanz elektronischer Zahlungssysteme ist die Berücksichtigung der Anforderungen möglichst aller Teilnehmer (vgl. Henkel, 2001, S. 103).

Die untenstehende Tabelle soll einen Überblick darüber geben auf welche Anforderungen im Folgenden genauer eingegangen wird.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2.1 Anforderungsübersicht

2.1 Allgemeine Anforderungen

Die Grundanforderungen können nach ihren Anfangsbuchstaben unter der Abkürzung ACID zusammengefasst werden (vgl. Henkel, 2001, S. 106).

Atomicity (Totalität): Bei Zahlungstransaktionen ist es besonders wichtig, dass eine Transaktion entweder vollständig oder gar nicht durchgeführt wird. Damit soll ein konsistenter Zustand bei den Teilnehmern bestehen bleiben.

Kein Kunde wäre glücklich, wenn das Geld von seinem Konto abgebucht wird, es jedoch nicht beim Händler aufgebucht wird und es somit den Anschein hat, dass der Kunde noch nicht bezahlt hat. Es muss also immer sichergestellt werden, dass die Transaktion komplett, ohne technische Unterbrechungen, abgeschlossen werden konnte. Kein Teilnehmer akzeptiert einen Geldverlust auf Grund technischer Defekte (vgl. Henkel, 2001, S. 106).

Consistency (Konsistenz): Alle Teilnehmer einer Transaktion müssen übereinstimmende Informationen haben. Diese Informationen betreffen:

- Höhe des Betrags der Transaktion
- Grund für die Zahlung,
- ob und wann die Zahlung stattgefunden hat

Voraussetzung dafür ist die Integrität der Daten. Unter Integrität versteht man Datenunversehrtheit, d.h. dass gesendete Daten mit den empfangenen Daten übereinstimmen. Besonders im Hinblick auf Zahlungstransaktionen muss die Unversehrtheit der übertragenen Zahlungsdaten gewährleistet werden, um zu verhindern, dass Dritte die Daten oder digitalen Münzen (Kapitel 3.1.2 eCash) bei der Übermittlung abändern, einfügen oder löschen (vgl. Henkel, 2001, S. 106).

Independence (Unabhängigkeit): Voneinander unabhängige Zahlungen dürfen sich nicht untereinander beeinflussen. Die Reihenfolge der Zahlungen und der zeitliche Abstand dürfen nicht relevant sein für eine erfolgreiche Abwicklung der Transaktion (vgl. Henkel, 2001, S. 106).

Durability (Dauerhaftigkeit): Im Falle eines Defekts muss die Möglichkeit bestehen, den letzten gültigen Zustand des Systems vor dem Defekt wiederherstellen zu können. Es wird von allen Parteien einer Transaktion eine hohe Verfügbarkeit und Zuverlässigkeit des Systems erwartet (vgl. Henkel, 2001, S. 106).

Reputation und Verlässlichkeit des Zahlungsverfahrens: Bekannte Banken und Kreditkartenunternehmen haben bereits das Vertrauen der Kunden auf ihrer Seite. Nicht so leicht ist es jedoch für junge Unternehmen, die neue innovative Zahlungsverfahren entwickeln und auf den Markt bringen. Sowohl der Kunde als auch der Händler möchten im Bezug auf ihre Zahlungsabwicklung keine Risiken eingehen und brauchen Gewissheit, dass der Betreiber des Verfahrens verlässlich und fehlerfrei arbeitet. Vor allem dürfen Forderungen die gegen den Betreiber eines Zahlungsverfahrens bestehen, nicht plötzlich durch einen Konkurs wertlos werden. Das ist vor allem auch für Kunden im Bezug auf Vorauszahlungssysteme relevant. Die Betreiber solcher Zahlungsverfahren müssen dafür sorgen, solche Risiken zu minimieren und dadurch zu einem guten Ruf zu gelangen (vgl. Henkel, 2001, S. 106-107).

Internationalität : Auch wenn grenzüberschreitender E-Commerce weit geringere Ausmaße hat als inländischer, zieht die zunehmende Internationalisierung wirtschaftlicher Aktivitäten die Forderung der internationalen Anwendbarkeit von Zahlungssystemen nach sich. Eine grenzüberschreitende Anwendbarkeit von Zahlungssystemen spielt eine wichtige Rolle und ist somit ein Indikator für das hohe Entwicklungspotential (vgl. Himmelsbach et al, 1996, S. 8).

2.2 Anforderungen der Kunden

Bevor ein Kunde etwas einkauft und bezahlt, möchte er sicher sein, dass es sich um einen seriösen Händler handelt und er die Zahlung ohne Bedenken abwickeln kann. Im Folgenden wird speziell auf die Anforderungen der Kunden an ein Zahlungssystem eingegangen.

Sicherheit gegenüber dem Händler: Der Kunde braucht Gewissheit über die Identität des Händlers. Das heißt, der Kunde möchte sicher sein, dass sein Gegenüber auch wirklich der ist, der er vorgibt zu sein. Um die Identität sicher zu stellen, kann der Kunde das digitale Zertifikat des Händlers überprüfen, vorausgesetzt der Händler verfügt über ein solches.

Ein Zertifikat entspricht einem digitalen Ausweis und dient zur Identifikation des Händlers beim Kunden, wie auch umgekehrt. Der Händler weist sich dem Kunden gegenüber mit seinem Zertifikat aus. Somit ist für beide Geschäftspartner die Gewährleistung gegeben, dass er mit dem gewünschten Transaktionspartner kommuniziert. Ein Zertifikat wird von einer anerkannten Autorität, der so genannten Zertifizierungsstelle (Certification Authority – CA siehe Kapitel 4.2.4) ausgestellt (vgl. Schneppe, 1998).

Zusätzlich zur Identität des Händlers möchte der Kunde sicher sein, dass er nur dann zahlt, wenn der Händler die Ware korrekt liefert. Durch Zahlung nach Rechnungserhalt ist diese Absicherung seitens des Kunden leicht möglich. Jedoch ist der Händler von dieser Zahlungsmethode weniger begeistert, da dies ein hohes Risiko für den Händler bedeutet. Diese Zahlungsmethode wird meist Stammkunden angeboten, die der Händler bereits kennt. Bei Bezahlungen per Nachname wird das Risiko gleichmäßig auf Kunde und Händler verteilt (vgl. Henkel, 2001, S. 107-108).

Es gibt zum Beispiel Shops bei denen grundsätzlich eine Zahlung per Nachname oder eine Vorauszahlung möglich ist. Kunden die jedoch dreimal oder öfter einen Einkauf ohne Probleme bei demselben Shop getätigt haben, haben dann zusätzlich auch die Möglichkeit auf Rechnung zu bezahlen.

Sicherheit gegenüber Dritten: Ein Kunde, der eine Zahlungstransaktion abwickelt, möchte nicht nur Sicherheit gegenüber dem Händler haben, sondern auch sicher sein, dass seine Daten nicht von Dritten abgefangen und missbraucht werden. Um dies auszuschließen ist eine verschlüsselte Übertragung der Daten wichtig. Sollte es jedoch zu missbräuchlichen Verwendungen der Daten wie zum Beispiel von Kreditkartendaten kommen, können nicht autorisierte Zahlungen jederzeit rückgängig gemacht werden (vgl. Henkel, 2001, S. 108).

Bequeme, einfache Handhabung: Die Verwendung von E-Payment-Verfahren verursacht für den Kunden einen bestimmen Aufwand. Beim Einstieg in ein Verfahren muss sich der Kunde zuerst beim Betreiber des Verfahrens registrieren. Weiters benötigt er ein digitales Zertifikat, eine persönliche Identifikation, eventuell wird auch ein Kartenleser oder sonstige Hardware benötigt und schließlich muss auch noch eine spezielle Software installiert werden. Bei Laien kommt dann auch noch ein nicht zu unterschätzender Aufwand des Einlesens und Verstehens des Systems hinzu. Damit der Kunde einen solchen Einstiegsaufwand überhaupt in Kauf nimmt, muss auch ein entsprechend hoher Nutzen und breite Anwendbarkeit damit verbunden sein. Zusätzlich zum fixen Einstiegsaufwand entsteht dann bei jeder Zahlung ein variabler Aufwand. Es müssen persönliche Daten und PINs nachgesehen und eingegeben werden. Bei Prepaid-Verfahren kommt das regelmäßige Aufladen des Zahlungsmittels hinzu (vgl. Henkel, 2001, S. 108-109).

Breite Akzeptanz: Eine breite Akzeptanz ist für den Kunden sehr wichtig, da ihm ein Zahlungsverfahren nichts nützt wenn es von den Händlern nicht akzeptiert wird. Gerade auch auf Grund des meist hohen Einstiegsaufwand, wird der Kunde, bevor er sich bei einem Betreiber registriert, zuerst erkunden ob das Verfahren von den Händlern auch akzeptiert wird.

Niedrige Kosten: „Alle Marktteilnehmer fordern günstige Kosten für eine Zahlungsabwicklung im Internet.“ (Himmelsbach et al, 1996, S. 18)

Kosten die bei E-Payment-Verfahren anfallen können, sind regelmäßig (jährlich, monatlich, …) zu zahlende Gebühren, Transaktionskosten, Online-Verbindungskosten oder auch Anschaffungskosten für spezielle Hardware wie Kartenlesegeräte.

Wie eine Umfrage der Universität Karlsruhe zeigt (siehe Abb. 2.1), sind die Kosten das wichtigste Kriterium für die Kunden bei der Wahl eines Zahlungsverfahrens (vgl. UNI Karlsruhe, 2003a).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.1 Prioritätenskala der Kriterien bei der Verfahrensauswahl aus Sicht der Kunden

Nachvollziehbarkeit: Einen wichtigen Schutz vor Missbrauch bildet die Nachvollziehbarkeit aller Zahlungen. Dadurch kann der Kunde die Zahlungen prüfen und gegebenenfalls reklamieren. „Dies ist allerdings nur dann möglich wenn die Zahlungen nachvollziehbar sind, das heißt mit Informationen über Betrag, Empfänger, Datum und Verwendungszweck gespeichert werden.“ (Henkel, 2001, S. 110) Bei den meisten Macropayments sind diese Informationen ohnedies gegeben.

Anonymität: Für den Kunden ist im Vergleich zum Anbieter Anonymität wichtig, da er seine Kaufgewohnheiten nicht preisgeben möchte. „Maximale Anonymität gegenüber dem Händler ist dann gewährleistet, wenn dieser außer der (unvermeidlichen) IP-Adresse keinerlei Informationen über den Kunden erhält und darüber hinaus auch nicht verschiedene Zahlungen desselben Kunden einander zuordnen kann (also keine Verfolgbarkeit oder traceability besteht).“ (Henkel, 2001, S. 110) Diese Anforderung widerspricht sich jedoch mit dem vorhergehenden Punkt „Nachvollziehbarkeit“. Wenn absolute Anonymität gegeben ist, können die Transaktionen nicht nachvollzogen werden.

Maximale Anonymität ist auch nur dann möglich wenn es sich nicht um physische oder materielle Güter handelt, da ansonsten eine Lieferadresse erforderlich ist. Die meisten Zahlungssysteme wie Kreditkartensysteme sind nicht anonym, weder im Internet noch im klassischen Zahlungssystem. „Nur Zahlungssysteme auf Basis elektronischer Münzen und SmartCards können die Anonymität des Kunden wahren.“ (Himmelsbach et al, 2003, S. 23)

Wie im nächsten Kapitel 2.3 erläutert wird, sind Händler nicht sehr begeistert von der Anonymität der Kunden, da sie dann keine Benutzerprofile der einzelnen Teilnehmer anlegen können.

Portabilität: Eine weitere Anforderung an Zahlungssysteme ist die Portabilität. Das bedeutet, dass das System unabhängig von einem Rechner lauffähig ist. Setzt das Zahlungsverfahren jedoch ein digitales Zertifikat das auf dem PC gespeichert ist voraus, ist die Benutzung nur mehr auf diesem einem PC möglich. Möchte man es trotzdem auf einem anderen Rechner verwenden, muss das digitale Zertifikat zuerst exportiert und danach am entsprechenden Rechner wieder importiert werden. Dieses Verfahren ist dadurch nicht sehr flexibel. Auch bei Abrechnungen, die über die Telefonrechnung abgewickelt werden, ist man sehr eingeschränkt, da der Internetzugang über ein Modem laufen muss. Handy-gestützte Verfahren hingegen sind sehr flexibel (vgl. Henkel, 2001, S. 111).

2.3 Anforderungen der Händler

Bei der Einführung eines Zahlungssystems muss sich der Händler sehr gut überlegen für welches er sich entscheidet. Er muss dabei berücksichtigen, dass er bei der Wahl eines bestimmten Systems mögliche Kunden, die ein anderes Zahlungssystem nutzen, dabei ausschließt. Folglich werden sich Händler meist für weit verbreitete Systeme entscheiden. Neu entwickelte Systeme haben es, wie bereits im Punkt „Reputation und Verlässlichkeit des Zahlungsverfahrens“ unter den allgemeinen Anforderungen erwähnt wurde, nicht leicht sich durchzusetzen.

Zahlungssicherheit: Um eine gewisse Zahlungssicherheit zu erreichen, ist es für den Händler wichtig, dass es für den Kunden nicht möglich ist einen von ihm ausgelösten Zahlungsauftrag abzustreiten und es muss verhindert werden, dass Dritte im Namen eines Kunden Zahlungen auslösen. Dies ist für den Händler vor allem deshalb wichtig, da für ihn hohe Kosten anfallen können, wenn Transaktionen rückgängig gemacht werden müssen wie zum Beispiel bei Kreditkartentransaktionen. Da bei Kreditkartentransaktionen für den Händler immer drei Prozent des Zahlungsbetrages an Gebühren anfallen, erhält er eine Zahlungsgarantie vom Kreditkartenunternehmen, wenn er einen unterschriebenen Zahlungsbeleg vorweisen kann. Da dies bei Online-Bezahlungen nicht der Fall ist, hat der Händler keine Zahlungsgarantie und muss trotzdem die drei Prozent Gebühren bezahlen. Somit gibt es immer ein gewisses Sicherheitsproblem bei Zahlungen. Dieses Problem stellt sich jedoch den Händlern und nicht den Kunden. Es gibt jedoch schon Verfahren, bei denen der Kunde sich eindeutig identifizieren muss und somit nichts mehr abstreiten kann. Ein solches Verfahren ist das SET-Verfahren welches in Kapitel 4.4.2.3 näher erläutert wird (vgl. Henkel, 2001, S. 112).

Wie aus einer Umfrage der Universität Karlsruhe hervorgeht, stehen Sicherheit gegenüber Zahlungsausfällen und Angriffen an oberster Stelle (siehe Abb. 2.2). (vlg. UNI Karlsruhe, 2003b)

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.2 Prioritätenskala aus Sicht der Händler

[...]