LIT 2003 - WS - Security Engineering in e-Payment Systems

Security Engineering in e-Payment Systems
- Konstruktion von verlässlichen Zahlungsverkehrslösungen mit dem FairPay Vorgehensmodell -

Organisation
Zusammenfassung
Bezug zu LIT'03
Publikationsform
Darstellung des Vorhabens
Programmentwurf
Kontakt

Organisation

Roland Vogt (Koordinator), DFKI GmbH, @
Detlef Kraus, SRC GmbH, @
Karsten Stroborn, Univ. Karlsruhe (TH), @

Zusammenfassung

E-Payment ist ein fundamentaler Bestandteil des e-Business. So sind auch Geschäftsmodelle in bestimmten Bereichen des e-Learning, bspw. Online-Tutorsysteme mit dynamischer Auswahl der Lernmodule durch den Benutzer, auf integrierte Zahlungsverkehrslösungen angewiesen. Käufer, Verkäufer und e-Payment Provider stellen hohe Anforderungen an die Verlässlichkeit von Zahlungsverkehrssystemen. Wegen der neuartigen Aspekte vieler Modelle im elektronischen Geschäftsverkehr genügen Zahlungsverkehrslösungen von der Stange, etwa Lastschrift- oder Kreditkartenzahlungen, häufig nicht den Bedürfnissen der Marktteilnehmer.
Der Workshop fokussiert eine auf tatsächliche und nachweisliche Verlässlichkeit ausgerichtete Methodologie zur Konstruktion maßgeschneiderter Zahlungsverkehrslösungen. Diese Methodologie beruht auf Ergebnissen des vom Bundesministeriums für Wirtschaft und Arbeit (BMWA) geförderten Verbundvorhabens FairPay. Neben dem Angebot zur Benutzung des FairPay Vorgehensmodells besteht das wesentliche Ziel darin, den Austausch von Erfahrungen, Anforderungen, Methoden und Lösungen zum Thema Security Engineering im Bereich e-Payment anzuregen.

Bezug zu LIT'03

Der Workshop behandelt die Konstruktion verlässlicher e-Payment Systeme unter dem Aspekt der Integration in Dienste und Produkte des e-Business im allgemeinen und des e-Learning im besonderen. Damit verknüpft der Workshop zwei zentrale Themen der LIT 2003.

Publikationsform

Informationen und Materialien werden auf der FairPay Home Page veröffentlicht.

Darstellung des Vorhabens

FairPay Vorgehensmodell

Das übergeordnete Ziel des Verbundprojektes FairPay besteht in der umfassenden Verbesserung der technischen Infrastruktur zur Entwicklung von Systemen des elektronischen Zahlungsverkehrs. Dies betrifft die Fähigkeit aller beteiligten Parteien, innovative Entwicklungsmethoden und Techniken einschätzen, auswählen und anwenden zu können.
FairPay fokussiert dabei auf eine Erhöhung der Sicherheit durch Schaffung eines Vorgehensmodells, das

rechtlich organisatorische Rahmenbedingungen,
innovative Spezifikations -und Analysemethoden,
neue Techniken im Bereich der Kryptographie und
existierende Standards und Qualitätskriterien

im Rahmen des allgemeinen Software Engineering integriert und dadurch eine zukunftsweisende Methodik für das Security Engineering im Bereich des elektronischen Zahlungsverkehrs bietet.
Im Rahmen des Workshops wird vermittelt, auf welche Weise das FairPay Vorgehensmodell die Konstruktion verlässlicher e-Payment Systeme unterstützt. Schwerpunkte sind

Methoden und Werkzeuge für die Spezifikation verlässlicher Dienste, Produkte und Protokolle,
Formulierung und Nachweis von Sicherheitszielen und -eigenschaften und
Kriterien und Anforderungen für die unabhängige Evaluierung und Zertifizierung.

Security Engineering

Es besteht heute weitgehend Einigkeit darüber, dass ein zentraler Beitrag in Bezug auf die Erhöhung der Sicherheitsqualität von Software in der Verwendung von mathematisch objektivierten Beschreibungsmitteln und darauf aufbauenden Analysetechniken besteht. So genannte semiformale und formale Methoden in der Softwareentwicklung werden seit mehr als 30 Jahren untersucht. Durch den Übergang zu einer mathematisch fundierten Syntax und Semantik ermöglichen sie den exakten Nachweis von (Sicherheits-) Eigenschaften auf der Grundlage abstrakter Spezifikationen und damit vor der eigentlichen softwaretechnischen Realisierung.
Die gegenwärtige Situation ist dadurch geprägt, dass sich vergleichsweise wenige grundlegende Modellierungskonzepte herausgebildet haben, wie zum Beispiel Abstrakte Datentypen, Zustandsübergangssysteme und temporallogische Beschreibungstechniken. Diese allgemein verwendbaren Konzepte sind seit geraumer Zeit wohlverstanden und in jeder Hinsicht konsolidiert. Darüberhinaus ist mittlerweile eine große Vielzahl von speziellen, anwendungsorientierten Techniken verfügbar. Im Workshop werden relevante Ansätze zur transaktionalen Beschreibung von Systemen des elektronischen Zahlungsverkehrs behandelt.
Semiformale und Formale Methoden haben bereits Eingang in die kommerzielle Praxis gefunden und ihre Tauglichkeit für reale Entwicklungen bewiesen. Der Einsatz solcher Methoden bei der Softwareentwicklung ist allerdings nur möglich unter Verwendung von Werkzeugen. Dies gilt schon für die Spezifikation von Systemen, erst Recht aber für deren Analyse mit Hilfe von modellbasierten Verfahren (Model Checking) oder maschinenunterstützter Beweisführung (Deduktion). In FairPay sind verschiedene von den Verbundpartnern entwickelte Werkzeuge erprobt worden. Ihre Integration in das FairPay Vorgehensmodell wird illustriert.

e-Payment Trends

Die Marktentwicklung der letzten Jahre hat gezeigt, daß die Verläßlichkeit von Systemen des elektronischen Zahlungsverkehrs einen wichtigen, aber keineswegs den einzigen kritischen Faktor für die Akzeptanz darstellt. Es sei in diesem Zusammenhang nur auf die Schicksale von CyberCash oder eCash hingewiesen, an die sich heute kaum noch jemand erinnert. Aktuelle Studien belegen (zumindest für Deutschland) die Vorherrschaft traditioneller Zahlungssysteme (Rechnung, Nachnahme, Lastschrift, Kreditkarte) im Internet. Neuartige Zahlungssysteme werden sich wohl nur etablieren können, wenn die Anwender von der Integration in innovative Geschäftsmodelle profitieren.
Die Verlässlichkeit neuer Zahlungssysteme muss daher im Zusammenhang mit den Bedürfnissen der Marktteilnehmer diskutiert werden. Hierbei sind allgemeine Forderungen wie die Zahlungsgarantie für den Verkäufer oder die Stornierungsoption für den Käufer ebenso zu betrachten wie spezielle Rahmenbedingungen des jeweiligen Geschäftsmodells.
Orientiert an aktuellen und zukünftigen Anwendungen wird im Rahmen des Workshops eine Diskussion in folgende Richtungen geführt:

Welche Anforderungen an die tatsächliche bzw. nachweisliche Verlässlichkeit von e-Payment sind relevant für die Akzeptanz durch die Marktteilnehmer?
Welche Trends zeichnen sich für zukünftige Geschäfts- und Zahlungsverkehrsmodelle ab?
Welche technologischen Herausforderungen stellen sich in absehbarer Zeit?

Programmentwurf

Donnerstag, 25. September 2003

14:30 - 15:30	Secure e-Payment Systems - Gibt es sie und wie werden sie kontruiert?	Werner Stephan Roland Vogt DFKI GmbH
15:30 - 16:15	Sicherheit des elektronischen Zahlungsverkehrs in Deutschland im Kontext regulatorischer Entwicklungen	Karsten Stroborn IWW, Uni Karsruhe (TH)
16:30 - 17:15	Vorgehensmodelle und Modellierungsmethoden fuer die Entwicklung sicherer e-Payment Systeme	Guido Wimmel TU München
17:15 - 18:00	Kryptographie - Ein Überblick und zukünftige Entwicklungen	Kai Wirt TU Darmstadt
18:00 - 18:30	Diskussion

Freitag, 26. September 2003

09:00 - 9:45	IT-Sicherheit und Rechtssicherheit bei Zahlungssystemen im Internet	Thomas Schöpf TU München
9:45 - 10:30	Rechtssichere Vertraege als Grundlage fuer den elektronischen Handel	Thomas Wabner HTWK Leipzig
10:45 - 11:30	Formalisierung eines schuldvertragsbasierten Modells des elektronischen Handels	Stefan Palme Uwe Petermann HTWK Leipzip
11:30 - 12:15	Sichere internetfähige Zahlungsverkehrsmodelle auf Basis bestehender Infrastrukturen	Detlef Kraus Ortwin Scheja SRC GmbH
12:15 - 12:45	Abschlußdiskussion

Kontakt

Roland Vogt
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) GmbH
Prüfstelle für IT-Sicherheit
Stuhlsatzenhausweg 3
66123 Saarbrücken

Detlef Kraus
SRC Security Research & Consulting GmbH
Graurheindorfer Straße 149a
53117 Bonn

Karsten Stroborn
Universität Karlsruhe (TH)
Institut für Wirtschaftspolitik und Wirtschaftsforschung (IWW)
Sektion Geld und Währung
Postfach 6980
76128 Karlsruhe

Seite drucken

Fenster schließen