Freitag, 26. Januar 2007
ATM ist die vor allem in USA gebräuchliche Bezeichnung für Geldautomaten. ATM steht für "Automated Teller Machine".
Dienstag, 23. Januar 2007
Eine für den bargeldlosen Zahlungsverkehr konzipierte kontengebundene Magnetstreifen- oder Chipkarte mit Zahlungsverfahren, die ein Girokonto des Kunden direkt und zeitnah zur Bezahlung belasten. Das in Deutschland dominierende Zahlverfahren heißt -> electronic cash für Inlandstransaktionen. Bei Auslandstransaktionen mit deutschen Bankkundenkarten kommt üblicherweise das Debitverfahren -> Maestro zum Zuge.
Montag, 22. Januar 2007
Häufig benutzte, aber streng genommen fehlerhafte Bezeichnung für -> electronic cash.
Montag, 22. Januar 2007
Debitkarte der deutschen Bankwirtschaft für Bankkunden mit deutschem Konto. Die ec-Karte kann mit Magnetstreifen + Chip oder nur mit Magnetstreifen ausgerüstet sein. Sie erlaubt die folgenden Zahlungsarten:
- -> electronic cash. Im Inland genutztes Zahlverfahren, bei dem immer die PIN angegeben werden muss. Ob electronic cash möglich ist, kann an verschiedenen Symbolen auf der Karte erkannt werden, die den winzigen Schriftzug "electronic cash" aufweisen.
- -> Maestro. Nur im Ausland nutzbares Zahlverfahren, bei dem ebenfalls immer die PIN angegeben werden muss. Ob Maestro für die Karte möglich ist, kann an einem deutlich lesbaren Logo "Maestro"-Schriftzug auf der Karte erkannt werden.
- Zahlverfahren ohne PIN. Oftmals erlauben Händler die Zahlung per kartenunterstütztem Lastschriftverfahren ELV bzw. OLV. Die Kunden müssen hier einen Beleg mit einer Lastschriftvereinbarung unterschreiben. Das Verfahren ist nicht gesondert reglementiert und sein Einsatz steht im Ermessen des Händlers. Zum Beginn 2007 lief das Verfahren POZ aus, das ab einem Betrag äquivalent 60 DM eine Online-Sperrlistenabfrage vorschrieb (-> Tschüss POZ, hallo ELV!).
- GeldKarte. Eine ec-Karte mit Chip erlaubt meistens auch die Bezahlweise "GeldKarte". Es handelt sich dabei um ein Verfahren für vergleichsweise kleine Beträge, das ohne PIN und ohne Unterschrift auskommt. Die GeldKarte muss vor der Nutzung mit einem Guthaben aufgeladen werden, mit dem dann bezahlt werden kann. Anwendungsgebiete der GeldKarte sind vor allem Automaten (etwa Zigarettenautomaten) und besonders im Süden der Republik auch der Öffentliche Nahverkehr.
Montag, 22. Januar 2007
"electronic cash" ist ein 1990 eingeführtes, kartenbasiertes Debit-Bezahlverfahren der deutschen Kreditwirtschaft, das bei der -> ec-Karte zum Einsatz kommt. Eine electronic cash-Transaktion erfordert immer die Eingabe der PIN durch die Kunden.
Bei ec-Karten mit Chip können Transaktionen in einigen Fällen offline stattfinden, ansonsten ist die Abwicklung immer online.
Die Transaktionsdauern von electronic cash haben sich in den letzten Jahren sehr stark verkürzt. Geschuldet ist dies einer schnelleren Online-Infrastruktur sowie den Optimierungen der Terminalhersteller und der Optimierung der Anforderungen an die Prozessabläufe durch den ZKA. Üblicherweise muss ein Kunde heute nur noch 5 bis 8 Sekunden auf die "Zahlung erfolgt"-Meldung warten. Für die großen Discounter wurde electronic cash damit attraktiv genug, um es nahezu flächendeckend zu akzeptieren.
Bei einer erfolgreichen Zahlung mit electronic cash ist dem Händler der Zahlbetrag von den Banken garantiert. Verbraucherschützer sehen das Verfahren allerdings kritisch, da Betrugsfälle mit electronic cash fast ausschließlich den Kartenbesitzern angelastet werden.
Montag, 22. Januar 2007
EMV steht stark vereinfacht gesagt für: "Kreditkarte mit Chip". Genauer betrachtet ist EMV ein Oberbegriff für eine Reihe von Standards, die auf eine einheitliche und herstellerunabhängige Nutzbarkeit von Chipkarten-Applikationen abzielen.
Der Hauptgrund für die Entwicklung weg vom Magnetstreifen hin zur Chipkarte war der zunehmende Betrug mit gefälschten Kreditkarten. Betrüger hatten mit Kreditkarten nämlich sehr leichtes Spiel. Für den Kartenbetrug reichte es meistens schon aus, die Kartendaten aus weggeworfenen Belegen zu rekonstruieren. Kartendubletten konnten so mit minimalem technischen Aufwand hergestellt werden. Im Februar 1999 beschlossen daher die drei Kreditkartengesellschaften Europay International, MasterCard International und VISA, ein sichereres und zukunftsträchtiges Verfahren zu initiieren. Die Wahl fiel auf eine sehr komplexe Chipkarten-Lösung. Der Name der Lösung, EMV, leitet sich ganz einfach aus den Anfangsbuchstaben der Initiatorengruppe her. Als Randnotiz sei erwähnt, dass Europay International im Juli 2002 mit MasterCard fusionierte, und dass die vor allem im asiatischen Raum bedeutende JCB im Dezember 2004 ebenfalls beitrat. Der Name der Lösung bleibt aber bei EMV, und wird nicht etwa in MVJ umgetauft.
EMV-Karten werden in Deutschland in größerem Stil erst seit 2005 ausgegeben. Allerdings ist bis heute die technische Infrastruktur zur Nutzung der Karten mit Ausnahme der Geldautomaten noch sehr lückenhaft, so dass auch bei Kreditkarten mit Chip in den meisten Fällen nur die alte magnetstreifenbasierte Verarbeitung durchgeführt wird. Dies ist nicht zuletzt der komplizierten Technik und der in Deutschland besonders aufwändigen Regulierung und Marktstruktur geschuldet.
Nennenswerter Vorreiter für EMV waren die Tankstellen der BP in Zusammenarbeit mit dem Terminalhersteller Ingenico. BP erhielt hierfür im Jahr 2005 die Erlaubnis zur Verarbeitung von MasterCard-EMV-Karten. Eine generelle Akzeptanz von EMV-Karten befindet sich noch im allerersten Stadium. Als erster Anbieter hat der Terminalhersteller Thales e-Transactions im Februar 2007 eine generelle Zertifizierung ihrer Terminals für EMV-Karten in Deutschland erfolgreich absolviert, als zweiter Hersteller hat sich im Mai 2007 die Ingenico eingereiht.
Sonntag, 21. Januar 2007
Berlin, 15.1.2007 - der DROPS Wanderpreis für hervorragende Leistungen zur Förderung der Chipkarte wird im Jahr 2007 auf der Omnicard in Berlin an den slowenischen Experten für Gesundheitskarten Marjan Sušelj verliehen. ( PM vom 15.1.2007)
Dienstag, 16. Januar 2007
Eine für den bargeldlosen Zahlungsverkehr konzipierte Magnetstreifen- und seit etwa 2005 auch Chipkarte mit Zahlungskonditionen, die dem Besitzer einen gewissen Kredit einräumen. Die Konditionen für diesen Kredit können sehr unterschiedlich sein. Oftmals fallen keine Zinsen an, wenn das Kreditkonto innerhalb weniger Wochen ausgeglichen wird. Bei Kreditkarten fallen üblicherweise höhere Nutzungsgebühren an, als bei der -> Debitkarte. Manche Händler geben diese Gebühren an ihre Kunden weiter.
In Deutschland spielen die Karten von VISA und MasterCard noch die größte Rolle. Für Kunden aus dem Ausland wird aber auch die Unterstützung von JCB, CUP und Discover zunehmend wichtig. Ebenfalls verbreitet sind auch die Karten von Diners Club und American Express.
Sonntag, 14. Januar 2007
Maestro ist ein international weit verbreitetes Debit-Zahlverfahren der Firma MasterCard. Es kommt auch auf den Bankkundenkarten des deutschen Kreditgewerbes (-> ec-Karte) zum Einsatz.
Donnerstag, 11. Januar 2007
PCI steht als Akronym für Payment Card Industry. Branchenüblich werden mit PCI die vom -> PCI SSC herausgegebenen Standards bezeichnet. Die Standards stellen Anforderungen zum Beispiel zur Sicherheit von PIN-Eingabe-Geräten (PCI PED) oder zur organisatorischen und technischen Sicherheit von Transaktionsdaten ( -> PCI DSS).
Donnerstag, 11. Januar 2007
PCI DSS steht als Akronym für Payment Card Industry Data Security Standard. Es handelt sich dabei um einen Standard zur Verbesserung der organisatorischen und technischen Sicherheit bei der Verarbeitung von Kreditkartendaten. ( Zum Download des PCI DSS)
Donnerstag, 11. Januar 2007
PCI SSC steht als Akronym für das PCI Security Standards Council, wobei PCI wiederum für Payment Card Industry steht. Das international aufgestellte Gremium ist bestrebt, in der kartenverarbeitenden Industrie verbindliche Sicherheits-Standards zu etablieren. Die Mitgliedsliste des Councils liest sich denn auch wie ein Who is Who der weltweiten Kreditkarten-Industrie.
Dienstag, 9. Januar 2007
RFID steht für ein funkgestütztes Identifikationsverfahren (engl. Radio Frequency Identification). Kommt ein RFID-Tag (technisch RFID-Transponder) in Reichweite eines RFID-Lesers, können die beiden Geräte miteinander kommunizieren. Typischerweise sind Transponder nur lesbar, sie können aber auch beschreibbar ausgerüstet sein. RFID-Tags finden bereits heute vielerlei Anwendungen, etwa:
- an Gegenständen, zum Auslesen von Produktinformationen an der Kasse oder im Warenregal (als Nachfolger des Barcodes)
- in Dokumenten, wie dem deutschen elektronischen Reisepass
- in Tieren, etwa zur Identifikation von Haustieren für den EU-Tierpass
- potentiell in Menschen. Zum Beispiel versprechen Pharma-Unternehmen eine schnellere Versorgung von Alzheimer- und Diabetes-Patienten
- in kontaktlosen Debit- und Kreditkarten
- Künftig auch in Mobiltelefonen für die Zahlung von Kleinbeträgen oder auch die Überweisung von einem auf ein anderes Handy
Die RFID-Tags existieren in passiven und aktiven Varianten. Aktive Tags besitzen im Gegensatz zu den passiven Tags ihre eigene Energiequelle. Damit ausgerüstet wäre die RFID-Technologie sogar für einen Einsatz innerhalb von Motorblöcken geeignet. Bei der passiven Variante nutzen die Tags für ihre Antwort die Energie des RFID-Lesers. Ihre Reichweite ist wegen der quadratisch zum Abstand sinkenden Feldstärke damit vergleichsweise klein. Materialien wie Wasser oder Metall können passive Tags kaum durchdringen. Für Zahlungsanwendungen hat sich der für Distanzen bis zu etwa 10 cm konzipierte Standard NFC (für Near Field Communication) durchgesetzt.
RFID-Tags können sehr klein sein. Die kleinsten, allerdings noch nicht in Serienreife befindlichen Tags stellte Hitachi im Febuar 2007 vor. Sie haben eine Abmessung von 0,05 mal 0,05 Millimetern und seien dünn genug, um in ein Blatt Papier eingebettet werden zu können. Es sollte aber hier nicht vergessen werden, dass für den Betrieb immer auch eine Antenne notwendig ist. Bei üblichen Konstruktionen mit einer Länge von mehreren Zentimetern ist sie in unverschleierter Form durch das Auge klar erkennbar.
Siehe auch
- -> NFC-Anwendungen
- -> RFID-Videos
Montag, 8. Januar 2007
Bei dem Wort "Skimming" kommt manchem Genießer nur eine vage Assoziation zu aufgeschäumtem Espresso in den Sinn. Bei der hier gemeinten Art der "Abschöpfung" ist ein ernsteres Thema gemeint. Es geht um knallharten Betrug, bei dem Kartendaten und PINs ausgespäht werden, um dann mit Karten-Dubletten ein Konto "abzuräumen".
[Weiter]
Sonntag, 7. Januar 2007
Terminal ist die branchenübliche Bezeichnung für ein Zahlungsverkehrsterminal. Es handelt sich dabei um das Gerät, bei dem an der Supermarkt-Kasse die Karte eingeführt wird und bei dem die Kunden ihre PIN eingeben. Die Bezeichnungen POS-Terminal, Kartenterminal und EFT-Terminal sind für Terminals ebenfalls gebräuchlich. Im eher laienhaften Jargon wird es meist Kartenleser oder Kartenlesegerät genannt, wobei ein Kartenleser aber genau genommen nur ein Bestandteil des Terminals ist. Ein Terminal ist also ein Gerät zur Abwicklung von Transaktionen mit Kreditkarte, ec-Karte, und einer wachsenden Zahl an Flottenkarten und Kundenkarten. Die bei weitem gebräuchlichste Transaktionsart ist die "Zahlung". Es gibt aber auch kompliziertere Fälle, wie zum Beispiel Stornierungen, Reservierungen, Kundenkarten-Punkteverwaltungen oder auch das Aufladen einer Prepaid-Telefonkarte. Ein modernes Zahlungsverkehrsterminal besteht aus mindestens drei funktionalen Einheiten, die in einem "Block" oder über verschiedene miteinander verbundene Geräte existieren können:
- Kartenleser
- PIN-Pad
- Sicherheitsmodul
1. Der Kartenleser ist das technische Mittel zum Auslesen der Magnetstreifendaten bzw. zur Kommunikation mit der Chipkarte. Moderne Kartenleser müssen betrugsvorbeugend gegen das Abhören bzw. "Mitschneiden" der Kartendaten technisch gesichert sein. Fast alle modernen Terminals haben einen einzigen Karteneinschub, über den sowohl die Magnetstreifen, als auch die Chipdaten verarbeitet werden können. Wenn die Karte eingesteckt wird entscheidet eine genau spezifizierte Vorschrift, ob und wie eine Transaktion mit dem Chip oder mit den Daten des Magnetstreifens ausgeführt wird. Einige Modelle mit sogenanntem kombinierten Kartenleser haben sogar eine eigene Motorik zum optimalen Kartendurchzug für Magnetstreifenabwicklungen. Künftig sind hier auch noch weitere Kartenanbindungen, wie etwa über die RFID bzw. NFC-Technologie zu erwarten.
2. Das PIN-Pad ist die Einheit, an der die Kunden ihre PIN für die Transaktion eingeben. Ein PIN-Pad muss ebenfalls gegen alle Arten der Ausspähung geschützt sein. Darunter fällt:
- der Schutz gegen elektromagnetische Überwachung. Das Drücken einer Taste könnte ein anderes elektromagnetisches Profil ergeben, als der Druck auf eine andere Taste. Daraus könnten letztlich Rückschlüsse auf die PIN gezogen werden. Zur Vermeidung dieser Attacke müssen die elektromagnetischen Profile der Tastendrücke extrem ähnlich sein. Ferner dürfen PIN-Daten natürlich niemals in unverschlüsselter Form über eine Leitung übermittelt werden.
- der Schutz gegen optische Ausspähung. Eines der größten Sicherheitsrisiken stellt heute das Ausspähen der PIN während der PIN-Eingabe dar. Betrüger überwachen das PIN-Pad per Video, Fernglas oder einfach durch einen unauffälligen Blick "über die Schulter" im Supermarkt. Die Karte wird dann entwendet, oftmals auch Tage später, und das Konto "abgeräumt". Zur Vermeidung dieses Angriffs erthalten moderne PIN-Pads einen normierten Sichtschutz, der optische Einblicke erschwert. In vielen Fällen existiert dieser Sichtschutz allerdings noch nicht, gerade bei Bankautomaten findet er sich selbst im Jahre 2007 nur in den seltensten Fällen. Es ist daher angeraten, bei der PIN-Eingabe das Sichtfeld zur Tastatur zusätzlich durch die freie Hand abzuschirmen.
3. Das Sicherheitsmodul schließlich ist ein noch stärker geschützter Kernbereich eines jeden modernen Terminals. Das Sicherheitsmodul ist dabei nicht zwingend dem PIN-Pad zuzuordnen, sondern kann durchaus auch in jeder der Komponenten und auch im Kartenleser-Modul angesiedelt sein. Der Hintergrund für Sicherheitsmodule ist folgender. Jedes auf symmetrische Kryptographie gestützte Zahlverfahren, wie zum Beispiel electronic cash, ist darauf angewiesen, ein kryptographisches Geheimnis (einen "Schlüssel") mit all seinen Terminals zu teilen. Der Schutz dieses Geheimnisses ist allerhöchsten Sicherheitsanforderungen unterworfen. Beispielsweise muss jedes Sicherheitsmodul so geschützt sein, dass es seine Geheimnisse in kürzester Zeit unwiderruflich verliert, wenn das Modul manipuliert wird. Die Wirksamkeit dieses Schutzes muss für jeden Terminaltyp im Rahmen seiner Zulassung von unabhängigen Laboren geprüft werden. Ein paar Beispiele für die Sicherheitsanforderungen:
- Das Sicherheitsmodul muss seine Geheimnisse verlieren, wenn es geöffnet oder sonstwie mechanisch, physikalisch oder chemisch manipuliert wird.
- Das Sicherheitsmodul darf keine Rückschlüsse auf seine Geheimnisse durch seinen Energieverbrauch ermöglichen.
- Ein Sicherheitsmodul darf seine initialen Geheimnisse nur in einem sehr streng kontrollierten "Sicherheitsraum" erhalten. Danach dürfen Geheimnisse nur über sehr stark abgesicherte und gesondert zertifizierte Verfahren verändert oder erweitert werden.
|
