• Schalter wissen.de
  • Schalter wissenschaft
  • Schalter scinexx
  • Schalter scienceblogs
  • Schalter damals
  • Schalter natur
Scinexx-Logo
Logo Fachmedien und Mittelstand
Scinexx-Claim
Facebook-Claim
Google+ Logo
Twitter-Logo
YouTube-Logo
Feedburner Logo
Montag, 20.11.2017
Hintergrund Farbverlauf Facebook-Leiste Facebook-Leiste Facebook-Leiste
Scinexx-Logo Facebook-Leiste

Sicheres Bezahlen ohne Datenspur

Neues Software-Protokoll macht Geldkarten und Payback-Systeme sicherer und anonym

Künftig könnte das Bezahlen mit Geldkarte oder das Einlösen von Payback-Punkten sicherer werden. Denn deutsche Forscher haben ein System entwickelt, das die Datenspur eliminiert, die man normalerweise bei der Nutzung solcher elektronischer Geldbörsen hinterlässt. Das verhindert das Abgreifen und Auswerten unseres Kaufverhaltens, garantiert aber dennoch Sicherheit für beide Seiten. Die Informatiker haben ihr neues System jetzt auf der Konferenz ACM CCS 2017 in den USA vorgestellt.
Bisher hinterlassen wir bei Nutzung von Handy-Bezahlsystemen, Geldkarten und Paybacksystemen eine Datenspur. Das soll sich ändern.

Bisher hinterlassen wir bei Nutzung von Handy-Bezahlsystemen, Geldkarten und Paybacksystemen eine Datenspur. Das soll sich ändern.

Ob als Smartphone-App für die Fahrkarte im Nahverkehr, als Geldwertkarten für das Schwimmbad oder in Form einer Bonuskarte für den Supermarkt: Für viele gehören solche "elektronischen Geldbörsen" längst zum Alltag. Doch so praktisch und verlockend solche Angebote sind: Ihre Nutzung bezahlen wir mit der Preisgabe der Privatsphäre – ähnlich wie bei vielen Smartphone-Apps und sogar Kreditkarten.

Verräterische Transaktionen


"Den wenigsten Nutzern ist nach meiner Beobachtung klar, dass sie mit der Teilnahme an solchen Bonus- oder Zahlungssystemen detailgetreu offenlegen wie und was sie konsumieren oder welche Wege sie zurücklegen", sagt der Informatiker Andy Rupp vom Karlsruher Institut für Technologie (KIT). Denn um einer Manipulation der Konten vorzubeugen, werden die Kundendaten und Kontostände bei Zahlungs- und Bonussystemen standardmäßig mit Hilfe einer zentralen Datenbank verwaltet.

Das aber bedeutet: Der Kunde wird bei jedem Zahlungsvorgang identifiziert und die Details seiner Transaktion der zentralen Datenbank mitgeteilt. Dieser wiederholte Identifikationsvorgang führt zu einer Datenspur, die durch den Anbieter oder durch Dritte missbraucht werden könnte.


Alles auf einer Karte


Damit wollten sich Rupp und seine Kollegen nicht abfinden. Gemeinsam mit Kollegen hat der Kryptografie-Experte deshalb nun ein Protokoll für solche "elektronischen Geldbörsen" entwickelt und vorgestellt, das anonym funktioniert, gleichzeitig aber Missbrauch verhindert. Statt die Daten in eine zentrale Datenbank zu schreiben, verlagert das "black-box accumulation plus" (BBA+) getaufte System alle notwendigen Kontoinformationen auf die verwendete Karte oder das Smartphone.

Deren Vertraulichkeit wird mithilfe von kryptographischen Methoden garantiert. Das bedeutet: Wenn etwas abgebucht werden soll, liefert die Karte die Information, ob genügend Geldwerte oder Punkte vorhanden sind. Die Authentifizierung erfolgt dabei über ein komplexes System, bei dem Kennungen nur als korrekt oder unkorrekt identifiziert werden, ohne dass sie dem konkreten Nutzer von außen zugeordnet werden können.

Das neue System funktioniert auch offline, so dass das Kaufen eines Handytickets auch im Funkloch möglich wird.

Das neue System funktioniert auch offline, so dass das Kaufen eines Handytickets auch im Funkloch möglich wird.

Gegen Manipulation abgesichert


Gleichzeitig bietet BBA+ aber auch Sicherheitsgarantien für den Betreiber des Bonus- oder Zahlungssystems: Das Protokoll garantiert den korrekten Kontostand und ist mathematisch zudem so konstruiert, dass die Identität eines Nutzers aufgedeckt wird, sobald versucht wird, mit einem manipulierten Konto zu bezahlen. "Im Prinzip stellt unser System sicher, dass in der 'Geldbörse' tatsächlich genau die Summe an Punkten oder Geldwerten vorhanden ist, die mit ihr zuvor gesammelt worden ist", erklären die Forscher.

Ein weiterer Vorteil: Im Unterschied zu einer Vorversion dieses Systems funktioniert BBA++ auch ohne Internetverbindung. "Unser neues Protokoll garantiert nun die Privatsphäre und Sicherheit der Kunden auch im Offline-Betrieb", sagt Rupp. "Das ist wichtig für die Alltagstauglichkeit eines Zahlungssystems. Denken Sie etwa an ein U-Bahn Drehkreuz oder an Mautbrücken, dort besteht vielleicht gar keine oder nur eine zu langsame Internetverbindung."

In einem ersten Test haben die Forscher ihr BBA++-System in eine Smartphone-App integriert und seine Effizienz überprüft. Das Ergebnis: Die Zahlungen klappten reibungslos und wurden innerhalb von nur rund einer Sekunde abgewickelt.
(Karlsruhe Institute of Technology, 26.10.2017 - NPO)
 
Printer IconShare Icon