Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 PD Dr. Michael Koch Informatik & Gesellschaft Universität Dortmund

Ähnliche Präsentationen


Präsentation zum Thema: "Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 PD Dr. Michael Koch Informatik & Gesellschaft Universität Dortmund"—  Präsentation transkript:

1 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 PD Dr. Michael Koch Informatik & Gesellschaft Universität Dortmund Informatik und Gesellschaft Datenschutz

2 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Kapitel der Vorlesung 1)Datenschutz und Informationelle Selbstbestimmung 2)Datenschutzgesetze 3)Digitale Identifikation und Authentifizierung 4)Privatheit und Privacy Enhancing Technologies 5)Datenschutz im E-Commerce 6)Identitätsmanagement 7)Ubiquitous Computing und RFIDs

3 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe E-Business Mythen … (nach Roger Clarke) Mythos Identifikation ist normal Anonymität ist ein Sonderfall Sichere Authentifizierung von Identität ist eine Notwendigkeit Identitätsdiebstahl ist ein neues Phänomen, es ist ein schreckliches Verbrechen und rechtfertigt harte Maßnahmen Realität Anonymität ist normal Identifikation ist die Ausnahme, nicht die Regel Authentifizierung von Identität ist nur manchmal wichtig; die notwendige Sicherheit hängt von der Anwendung ab Identitätsdiebstahl hat es immer gegeben und wird auch immer möglich sein

4 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe E-Business Mythen … (Forts.) Mythen Anonymität wird nur von Kriminellen genutzt Anonymität schließt Verantwortung aus Authentifizierung in der realen Welt ist sicher Authentifizierung in der digitalen Welt muss noch sicherer sein Realität Anonymität wird von vielen Personen aus verschiedenen Gründen benutzt Identifizierung ist nur ein Mittel zu Verantwortlichkeit Authentifizierung in der realen Welt ist unsicher Die digitale Welt kann und wird nicht sicherer sein

5 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe E-Business Mythen … (Forts.) Mythen Privatheit ist nur etwas für Personen, die etwas zu verbergen haben Personen, die etwas zu verbergen haben sind nur Kriminelle Realität Privatheit ist nur etwas für Personen, die etwas zu verbergen haben Jeder hat das Recht etwas zu verbergen (Informationelle Selbstbestimmung …)

6 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe E-Business Mythen … (Forts.) Mythen Biometrische Identifizierung ist unbestreitbar Biometrische Datenbanken sind ein Mittel alle Authentifizierungsprobleme zu lösen Realität Biometrische Verfahren hängen von Toleranzen ab um falsche Positive und falsche Positive im Gleichgewicht zu halten Biometrische Eigenschaften stellen nur eine unveränderbare PIN dar; gespeicherte Werte können benutzt werden um Artefakte zu erzeugen, die Maskierung erlauben

7 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Was ist Electronic Commerce? bisher keine eindeutige und allgemein akzeptierte Definition allgemeine Perspektive:alle Formen der elektronischen Geschäftsabwicklung über öffentliche oder private Computernetzwerke [Hermanns1999, S.14] –Geschäftsabwicklung (das beinhaltet nicht nur Bestellung, sondern auch andere Prozesse, wie z.B. die Abwicklung der Bezahlung) –über Computernetzwerke häufig aber nur Aspekte, die den Bereich des Electronic- Shopping oder Online-Shopping betreffen

8 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Bandbreite von Electronic Commerce Reisebüros –Reservations- und Buchungssysteme der Fluglinien Automobilhersteller –Zusammenarbeit mit Zulieferern über Electronic Data Interchange (EDI) Banken –Wertpapiergeschäfte über Internet Internet Shops

9 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe E-Business (yet another overview) Quelle: Schubert, Wölfle 2000 E-Business E-Government Verwaltung und Behörden Bürger und Unternehmen Mein Unternehmen E-Procurement E-Commerce Geschäfts- partner Kunden Extranet Internet Intranet Supply Chain ManagementCustomer Relationship Management

10 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Klassifizierungsmöglichkeiten E-Commerce Rechnernetzbasierte Geschäftsabwicklung nach beteiligten Partnern –Business, –Consumer –Administration,... nach unterstützten Phasen der Geschäftsabwicklung –Informationsphase –Vereinbarungsphase –Abwicklungsphase –After-Sales-Phase

11 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Beteiligte Partner E-Procurement

12 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Beteiligte Partner Endkunde –Privatkunden –Firmenkunden Partner Lieferanten Dienstleister –Spediteure –Banken (Staat)

13 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe ABC-Klassifizierung Klassifizierung von Electronic Commerce Szenarien nach den Nachfrager- und Anbietertypen Nachfrager/Anbieter - Rollen –B – Business –C – Consumer –A/G – Administration / Government A B C

14 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe ABC-Klassifizierung... B2* B2B (Business to Business) –Bestellung eines Unternehmens bei Zulieferer (E-Procurement) B2C (Business to Consumer) –Online-Shops (Buch/Musik, Computer(-Software), Finanz- und Versicherungsbereich, Reisen,...) B2A (Business to Administration) –Steuerabwicklung von Unternehmen, Umsatzsteuer, Körperschaftssteuer

15 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe ABC-Klassifizierung... C2* C2C (Consumer to Consumer, Peer to Peer) –Internet-Kleinanzeigenmarkt, Online-Auktionen C2A –z.B. Steuerabwicklung von Privatpersonen – Einkommensteuer C2B –Jobbörsen mit Anzeigen von Arbeitssuchenden

16 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe ABC-Klassifizierung... A2* A2B –Ausschreibungen öffentlicher Institutionen im Internet A2C –Abwicklung von Unterstützungsleistungen – Sozialhilfe, Arbeitslosenhilfe A2A –Transaktionen zwischen öffentlichen Institutionen im In- und Ausland

17 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Phasen bei Geschäftsabwicklung

18 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Phasen bei Geschäftsabwicklung Anbieter - Unternehmen (Business) - Konsumenten (Consumer) - Öffentliche Institutionen (Administration) z.T. auch über Händler und Intermediäre (z.B. Broker, Market Maker) Nachfrager - Unternehmen (Business) - Konsumenten (Consumer) - Öffentliche Institutionen (Administration) Elektronische Produktkataloge Online-Bestellsysteme Online-Bezahl und -Distributionssysteme Elektronische After-Sales-Systeme Information Angebot / Verhandlung Selektion Auftrag Bezahlung Lieferung Service

19 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Herausforderung an Datenschutz Information / Empfehlungen –Vertrauen in empfehlenden Benutzer, Händler (Reputationsindikatoren) –Anzeige von (aggregierter) Transaktionsinformation gegenüber anderen Kunden Nutzung der gesammelten Information für Personalisierung auf verschiedenen Kanälen ( , Telefon-Marketing) Geschäftsabwicklung –Verbindlichkeit –Lieferadresse –Bezahlung

20 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Produktempfehlungen auf Online- Meinungsbörsen

21 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Dooyoo - Reputationsindikatoren

22 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme im E-Commerce Bezahlung als ein Bestandteil der Transaktionsbeziehung Es existieren eine Reihe verschiedener Zahlungssysteme bzw. Zahlungsansätze für den eCommerce, die sich ständig weiterentwickeln Kriterien zur Klassifikation von Zahlungssystemen –die Transaktionshöhe (Micropayments, Small Payments, Macropayments), –der Zeitpunkt der Geldübertragung (pre-paid, pay-now und pay- later) –Zahlungsform (traditionelle Methoden wie Homebanking, Übermittlung von Kreditkartendaten, kontenbasiertes Cybermoney, die spezielle Kredit- oder Debitkonten verwenden), digitale Münzen, wie E-Cash, elektronische Geldbörsen, z.b.wiederaufladbare Geldkarten).

23 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pre-Paid zeichnen sich dadurch aus, dass der Kunde vor dem Einkauf im Internet bereits einen bestimmten Geldbetrag aufgewendet haben muss Sie können hard- oder software-basiert sein Hardware-basierte Zahlungssysteme sind z.B. Geldkarten wie Smart Cards –Beim Kauf wird der entsprechende Betrag abgebucht

24 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pre-Paid Software-basierte Zahlungssysteme sind z.B. E-Cash, CyberCoin, PaysafeCard –Installation einer speziellen Software erforderlich Beispiel E-Cash: –münzbasiertes Verfahren, bei dem der Gegenwert der Münzen bei einer Bank hinterlegt wird –Versand der Münzen erfolgt über ein spezielles Protokoll –Beim Bestellvorgang wird der betreffende Münzbetrag vom Käufer eingeholt, der den Zahlungsvorgang bestätigen muss und damit den Münztransfer auslöst. Der Verkäufer kann die Münzen dann beim Bankserver einlösen. Dieser verifiziert die Echtheit und die Gültigkeit. Die Ware kann ausgeliefert werden

25 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pre-Paid Beispiel paysafeCard: –Geldkarte mit einem bestimmten Wert –Der Einkauf erfolgt unter Angabe eines 16-stelligen PIN-Codes und Passwortes –Ein paysafeCard-Server prüft das Guthaben, die Karte wird gemäß des Kaufpreises belastet und die Zahlung an den Verkäuer erfolgt

26 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pay-Now (Debit) Bei diesen Zahlungssystemen wird das Konto des Kunden in dem Moment belastet, zu dem er tatsächlich etwas kauft bzw. die Ware erhält. Mobile Payments: die Zahlung erfolgt hierbei über Handy –Bsp.: Paybox: Idee ist die, dass jedes Handy über den persönlichen PINCode einer bestimmten Person zugeordnet ist. Die Kunden erhalten einen vertrauliche Paybox-PIN. Der Kunde erteilt paybox eine Einzugsermächtigung. Diese stellt die Identität des Kunden fest und prüft seine Bonität. Ablauf: Der Konsument gibt auf der Bezahlseite des Händlers seine Mobilfunknummer an. Der Händler gibt die Nummer und den Betrag an Paybox weiter. Paybox fragt den Kunden via Handy, ob er die Bezahlung bestätigen will. Der Kunde autorisiert die Zahlung durch Eingabe seiiner Paybox-PIN. Die Ware wird geliefert und Paybox zieht den entsprechenden Betrag per Lastschrift ein und überweist ihn auf das Händlerkonto.

27 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pay-Now (Debit) Auch Lastschriftverfahren oder Nachnahme können unter pay-now- Systeme subsumiert werden

28 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – per Versenden von Geld per Beispiel PayPal: –amerikanischer Finanzdienstleister, der Geldtransfers zwischen beliebigen Personen ermöglicht (www.paypal.com) –Voraussetzungen sind ein -Account und eine Kreditkarte zur Identifikation sowie Sicherstellung, dass die Zahlungen über die Kreditkarte auf das normale Girokonto überwiesen werden können. –Anmeldung bei PayPal erforderlich. –Ablauf: Login auf der PayPal-Website Eingabe des Mail-Adresse des Empfängers, des Betrags und des Grundes der geplanten Zahlung Abbuchung von Kreditkarte Empfänger und Sender erhalten eine Benachrichtigung Einbuchung der Summe beim Empfänger bzw. auf dem PayPal-Konto

29 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pay-Later Kredit-Zahlungssysteme hier wird der Geldbetrag für den Einkauf erst einige Zeit nach dem Kauf fällig –Zahlung per Kreditkarte: Die Zahlung kann unverschlüsselt oder mittels spezieller Verschlüsselungsverfahren (z.B. SET) erfolgen –In Deutschland nur geringfügig genutzt

30 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pay-Later Zahlung per Rechnung: –vielfach genutzte Zahlungsmöglichkeit, die eine problemlose, da bekannte Zahlungsabwicklung gewährleistet –Nachteile liegen für den Verkäufer in den Vorleistungen sowie möglichen Nachleistungen, wie Mahnungen, Eingangskontrolle etc. –Iclear: bietet eine Rechnungsvariante, die die Nachteile für den Verkäufer reduzieren soll Der Kunde kann auf Rechnung kaufen. Iclear übernimmt als Trusted Party das mögliche Ausfallrisiko für den Händler Dazu sendet der Kunde beim Bestellen den per mail erhaltenen iclear-Namen an iclear, der Händler erhält lediglich die Lieferadresse Iclear bucht den entsprechenden Betrag dann per Lastschriftermächtigung ab

31 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Zahlungssysteme – Pay-Later BillingSysteme: zeichnen sich dadurch aus, dass die Bezahlung in zwei Bereiche unterteilt wird: einen Kontenbuchungsvorgang bei einem Betreiber und einem Abbuchungsvorgang beim Kunden –Bsp.: Net900, MilliCent

32 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET – Secure Electronic Transaction wurde von VISA und Mastercard etabliert asymmetrisches Public Key Verfahren mit digitalen Zertifikaten Kreditkartendaten werden dem Händler nicht übermittelt Voraussetzungen sind eine spezielle Software, die Registrierung der Kreditkarte für SET, die Erstellung eines SET-Zertifikates, welches auf dem Client gespeichert wird Ablauf: –Übermittlung der Bestellung (für den Händler lesbar) und der Kreditkartendaten (verschlüsselt) –Übergabe der Kreditkartendaten an das Payment-Gateway, das die Daten entschlüsseln kann –Kontrolle durch das PG und ggf. Bestätigung an den Händler –Einspeisung in das Kreditkartensystem (verzögert) –Quittung an den Kunden

33 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET - Motivation Kunden: Mißbrauchsängste –Keine Kontrolle, was Händler mit den Kreditkartendaten macht –Aufwand wegen Stornierung ungerechtfertigter Belastungen Kreditkartenfirmen und Händler: Reklamationsproblem –1 % der Kreditkartenanwendungen über das Internet –aber 50 % der Reklamationen –Kreditkartenanwendung im Internet ansteigend MOTO-Kreditkartenverwendung –Mail Order/Telephon Order erfordert besonderen Händlervertrag –Händler bezahlt höhere Gebühren als bei POS-Transaktionen –Händler erhält keine Zahlungsgarantie

34 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET - Szenario CardholderMerchant IssuerAcquirer Secure financial network Internet Certification Authority (CA) Payment Gateway (PG) Kunden- beziehung Kunden- beziehung Besitzt eine Kreditkarte und kauft und zahlt digital Bank, die dem Kunden eine Kreditkarte ausstellt Verkauft Waren übers Internet, akzeptiert digitale Zahlungen Bank, die Zahlungs- nachrichten vom Händlers annimmt und verarbeitet Institution, die Schlüssel beglaubigt und Zertifikate ausstellt Verarbeitet Zahlungsnach- richten, betrie- ben von Acquirer oder TTP (Händler)(Kunde) Übertragung von Geldwert Betreiber (Kundenbank)(Händlerbank)

35 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET - Nachrichtenaufbau SET – Zahlungsvorgang: Internet Kunde Händler Bank

36 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Welche Informationen ? PI 2 Internet Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information

37 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Eindeutigkeit der Zahlung Verwenden einer Transaktions-ID T_ID muss pro Händler eindeutig sein PI 2 Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information 0 T_ID

38 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe PI nur von der Bank lesbar mit Public Key der Bank Verschlüsseln PI 2 Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information 0 T_ID

39 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Integrität der Daten Duale Signaturen ! PI 2 Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information 0 T_ID PI Signaturen einfügen:

40 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Authentifizierung Signatur vom Händler erforderlich PI 2 Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information PI 0 T_ID

41 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Sicherheit des Händlers Händler kann PI nicht prüfen Prüfung übernimmt die Bank PI 2 Internet Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information PI

42 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Bestätigungen senden Bank sendet verschlüsseltes Capture Token PI 2 Internet Kunde Händler Bank OI 1 PI OI: Order Information PI: Purchase Information PI

43 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET - Bezahlungsablauf CardholderMerchant IssuerAcquirer Payment Gateway 1.) Invoice 2.) Duale Signatur 3.) SET Purchase Request 4.) SET Authorization Request Secure financial network Internet 5.) Autorisierungsanfrage 6.) Autorisierungsantwort 7.) SET Authori- zation Response 8.) SET Purchase Response 9.) Goods delivery SET Payment Capture Request Capture SET Payment Capture Response Abrechnung Clearing

44 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET aus Sicht des Benutzers Vorbereitung: –Installieren der SET-Wallet (die Client-Applikation) –Karteninformationen eintragen und lokal speichern –Anfordern der notwendigen Zertifikate

45 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe SET aus Sicht des Benutzers Verwendung:

46 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Stärken von SET Hohes Sicherheitsniveau (höher als bei der traditionellen Kreditkarte) Integration in vorhandene Infrastruktur Verbreitung der Kreditkarte Verwendung der Bankennetze Keine Hardware für den Kunden erforderlich Offener Standard Plattform unabhängig Unabhängig von Sicherheitsprotokollen Unterstützung durch Big Players

47 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Schwächen von SET Mangelnde Verbreitung Erhöhter Aufwand für den Benutzer Investitionskosten für den Händler Kosten der Zertifizierungsinfrastruktur Hohe Komplexität Mangelnde Kompatibilität Ungeeignet für Kleinstbeträgen Keine Anonymität

48 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Mögliche Kompromisse SET Lite (certless SET) Verzichtet auf digitale Zertifikate der Kunden Und damit auf die Authentifizierung des Clients MO-SET (merchant-only SET) Verzichtet auf die Installation einer Wallet Client verwendet SSL zum Senden der Kreditkarteninformationen zum Server Zwischen Händler und Bank (Payment Gateway) wird SET verwendet

49 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Duale Unterschrift Verknüpfung der Bestelldaten mit den Kreditkartendaten Nachweisbarkeit einer zweckgebundenen Zahlung –ohne überflüssige Informationspreisgabe –Bank soll Bestelldaten (Kaufgegenstand) nicht sehen –Händler soll Zahlungsautorisierung (Kreditkartendaten) nicht sehen

50 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Duale Unterschrift –S² = Sign (MD (MD (Zahlungsautorisierung) ° MD (Bestelldaten))) –+ das jeweils zu verbergende Teildokument als MD –Zahlungsautorisierung in Umschlag für PG stecken Payment Gateway KundeHändler S², MD(Aut.), Umschlag PG (Aut.) S², MD(Bestelldaten), Umschlag PG (Aut.)

51 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Geldkarte im Internet Erste internationale Versuche –seit Q3/1999 –Anforderungen nur Geldkarte und Smart Card Leser Privatheit / Datenschutz –Nicht anonym und nachvollziehbar (Shadow Accounts) –Online-Shop sieht nur Geldkartennummer

52 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Merchant Geldkarte Customer Geldkarte Loading Machine CustomerMerchant IssuerAcquirer Merchant Evidence Center Shadow Account Shadow Account a. PIN b. Load c. Load d. Load Insert Card To Pay i. Deposit Batch of Payments ii. Clearing Request Customer Evidence Center Loading Center iii. Clearing Request Settlement Geldkarte im Internet

53 Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Customer Merchant IssuerAcquirer 1.) Invoice 2.) Payment message 3. Store Payment 4.) Goods delivery Periodical Deposit Secure financial network Internet Settlement Geldkarte im Internet


Herunterladen ppt "Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 PD Dr. Michael Koch Informatik & Gesellschaft Universität Dortmund"

Ähnliche Präsentationen


Google-Anzeigen