taz_archiv_1466401353419

Kaufrausch mit digitaler Kohle

Das Onlinegeschäft kommt nicht voran, solange der Zahlungsverkehr im Internet nicht gesichert ist. Veschlüsselungssoftware und Zertifikate sollen das Problem lösen  ■ Von Niels Boeing

Berlin (taz) – Für Hermann-Josef Lamberti, Chef von IBM-Deutschland, steht das Topthema der heute beginnenden Cebit bereits fest: „Das ist E-Business“ – das Geschäft im Internet. Es kommt nur nicht voran. Politik, Spiele, Sex – all das betreiben Millionen Internetnutzer virtuell mit ungebrochener Euphorie. Doch wenn es um Geld geht, weiß auch der letzte Online-Surfer um den Unterschied zwischen Bits und harter Realität. Bislang gleichen die Wachstumsprognosen für den „Markplatz Internet“ eher Beschwörungen. Denn ohne sichere Internet-Zahlungsverfahren wird der Online- Kaufrausch nicht Wirklichkeit werden.

Handel, Banken und Informationsdienstleister testen denn auch fieberhaft Methoden, online zu bezahlen. Mehrere Dutzend Pilotprojekte sind in den letzten zwei Jahren gestartet worden. „Die Vielfalt der Angebote und die Unterschiede in den technischen Details sind verwirrend“, sagt Dirk- Michael Harmsen vom Fraunhofer-Institut für Systemtechnik und Innovationsforschung (ISI) in Karlsruhe.

Hier untersucht derzeit eine Projektgruppe im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI), wie sicher die bislang entwickelten Verfahren im elektronischen Zahlungsverkehr sind und welche Folgen ihre Markteinführung hat.

Damit digitale Zahlungsarten akzeptiert werden, müssen sie einige Voraussetzungen erfüllen. Die Übermittlung der Zahlung muß fälschungssicher sein: Die Summe darf nicht verändert werden können. Außerdem muß sichergestellt sein, daß der Absender authentisch ist und sich nicht irgend jemand einfach einen Scherz erlaubt hat. Ebenso muß nachweisbar sein, daß die Zahlung abgeschickt und empfangen wurde, falls es zu einem Rechtsstreit zwischen Käufer und Verkäufer kommen sollte.

Die bisher praktizierten Zahlungsverfahren bei Internet-Käufen, die auch Karstadts Online- Kaufhaus „My world“ akzeptiert – Zahlung per Nachnahme, Lastschrift oder Kreditkarte – erfüllen diese Voraussetzungen nicht.

Sie könnten schon bald durch drei neue Verfahren ersetzt werden: die sogenannte Secure Electronic Transaction (SET), die Geldkarte und das E-Cash.

Bei SET, das Unternehmen wie Mastercard, Visa, IBM und Microsoft vorantreiben, wird die Kreditkartennummer vor der Übertragung verschlüsselt. Solche digitalen Schlüssel werden von sogenannten Trust Centern zertifiziert. Die Telekom will als erstes deutsches Unternehmen ab September solche Zertifikate ausstellen. „Die Kreditkarte ist ein gängiges Zahlungsmittel, deshalb müssen wir bei den elektronischen Zahlungsarten da aufsetzen“, sagt Andreas Mechler von der Commerzbank.

Bei der Geldkarte, die gleichzeitig eine EuroCheque-Karte sein kann, wird in einem Mikrochip ein Guthaben gespeichert. Beim Bezahlen wird der Betrag von diesem Guthaben abgebucht. Das geht sowohl im Geschäft, wo Geheimnummer und Unterschrift nicht länger nötig sind, als auch mit einem speziellen Lesegerät am eigenen PC im Internet-Shopping.

Beim E-Cash-Verfahren, das von der Amsterdamer Firma Digicash entwickelt wurde, zahlt man dagegen mit virtuellen Münzen. Diese erhält man, indem man maximal 400 Mark vom Girokonto auf ein E-Cash-Konto überweist. Von dort lädt man die „Cyberbucks“ in die virtuelle Geldbörse auf der Festplatte des eigenen PCs. Auch sie werden von einem Trust Center zertifiziert. So kann die Bank des Verkäufers die Echtheit der E-Cash-„Münzen“ prüfen.

Die Deutsche Bank, die als erste in Deutschland E-Cash getestet hat, sieht die Ähnlichkeit zum Zahlen mit Bargeld als entscheidenden Vorteil. Deutsche-Bank- Sprecher Klaus Thoma betont die Diskretion des Zahlungsvorgangs: „Ihr Name steht nicht auf der virtuellen Münze.“ E-Cash eigne sich gerade für kleine Beträge bis 20 Mark, bei denen sich Kreditkartenzahlungen wegen der Transaktionskosten nicht lohnten.

Nach Ansicht des Hamburger Datenschützers Uwe Schläger ist eine diskrete Zahlung, die später von Außenstehenden nicht mehr nachvollzogen werden kann, aber einzig beim E-Cash-Verfahren gewährleistet. Bei allen anderen werden von den Banken Daten über Gegenstand, Summe und Zeitpunkt des Kaufes sowie über Käufer und Händler festgehalten. Für jedes Guthaben im Chip einer Geldkarte führt die Bank beispielsweise ein Schattenkonto. Deshalb ziehen elektronische Zahlungen hier eine Datenspur nach sich.

Das Bundesdatenschutzgesetz (BDSG) bietet hier keinen ausreichenden Schutz. Paragraph 28 des BDSG erlaubt den Banken ausdrücklich, personenbezogene Daten für das eigene Geschäftsinteresse nicht nur zu sammeln, sondern auch auszuwerten.