Die meisten Kreditkartenfirmen raten davon ab, die Kartennummer elektronisch zu übertragen. Auf ihrem Weg über Router, Knoten und Server passiert die Nummer zu viele Stellen, an denen Fremde sie mitlesen könnten. Ein weiteres Sicherheitsrisiko sind Server, die nicht genügend vor Einbruch geschützt sind. Mancher Händler im Internet ist im Hinblick auf Sicherheit eher ein Tante-Emma-Laden. Diebe mit digitalen Werkzeugen könnten die Kartennummern von solchen Servern stehlen und mißbrauchen.
Um sich vor Haftungsproblemen zu schützen, empfehlen Kreditkartenanbieter, die Kartennummer herkömmlich, also über Telefon oder Post, an den Lieferanten zu übermitteln. Viele Kunden der elektronischen Kaufhäuser nutzen zwar das Internet, um online zu bestellen; sie bezahlen aber via Nachnahme oder Rechnung.
Aber ganz so unsicher ist das Internet nun doch nicht. In manchem Browser, zum Beispiel in der Zugangssoftware "Navigator" von Netscape, ist mit dem Secure Sockets Layer (SSL) ein Verschlüsselungsverfahren bereits eingebaut. Allerdings wird bei dieser Technik bisher in Europa oft nur ein kurzer Schlüssel mit maximal 56 Bit verwendet. Längere Schlüssel werden nämlich in den USA als Militärtechnik eingestuft und unterliegen Exportbeschränkungen.
Daß codierte Nachrichten mit geringerer Verschlüsselungstiefe unsicher sind, ist bewiesen: Im Februar 1997 hat ein Student in einem Experiment einen 40 Bit langen Schlüssel geknackt. Auch wenn er dazu 250 parallel arbeitende Workstations verwendete, widerlegt das Ergebnis im Prinzip allzu blauäugige Annahmen über die Sicherheit im Internet.
Gleichwohl gibt es Verfahren, die die elektronische Bezahlung sicher machen. Ein inzwischen erprobtes Element dieser Systeme beruht auf einer zweiseitigen Verschlüsselung: Geheimgehaltene Zeichenketten, sogenannte Private Keys, verwendet der Kunde. Ihre Gegenstücke sind die Public Keys des jeweiligen Empfängers. Mit ihnen kann er, wenn er legitimiert ist, die Nachrichten entschlüsseln.
Die Entwicklung ist damit aber noch nicht abgeschlossen. Bevor sich elektronisches Bezahlen durchsetzt, muß es ordentlich funktionieren. Noch wichtiger ist, daß viele Banken, Konsumenten und Händler bestimmte Verfahren gemeinsam unterstützen. Standards und ausgereifte Systeme sind in den nächsten beiden Jahre zu erwarten.
Es wird zumindest zwei Arten von Zahlungssystemen geben: Zum einen ist das Protokoll "Secure Electronic Transaction" (SET) als Standard im Gespräch. Für kleine Beträge und für die Alltagsgeschäfte im Internet ist dagegen elektronisches Geld, sogenannter E-Cash, die praktischere Lösung.
Das SET-Verfahren beruht im Prinzip auf dem Bezahlen mit Kreditkarte. Dabei wird die Karteninformation verschlüsselt übertragen und gespeichert. Eine zusätzliche Sicherungsfunktion stellt die Identifikation der am elektronischen Geschäft beteiligten Partner dar. Dazu dienen Authentifizierungs-Server. Letzterer bedarf es unbedingt, um Scheinanbieter zu entlarven, die nur so tun, als wollten sie etwas liefern, und mit dem überwiesenen Geld auf Nimmerwiedersehen in den digitalen Weiten verschwinden. Für die Identifizierung müssen sich der Konsument und der Händler zuvor bei der Kreditkartenfirma zur Teilnahme anmelden. Der Computer prüft dann online, ob der Geschäftspartner wirklich derjenige ist, als der er sich ausgibt.
Zur Zeit beginnen die ersten Anbieter von sogenannter Merchant-Software für den Betrieb von Internet-Shops damit, SET in ihre Programme einzubauen. Dazu kommt die nötige Infrastruktur für die Identifikation und die Einbindung der Finanzdienstleister. 1997 werden entsprechende Testläufe stattfinden; breitere Nutzung wird wohl erst ab 1998 möglich sein.
E-Cash bietet sich vor allem für die Bezahlung kleinerer Geldsummen an. Der Abruf einer Seite mit Fernsehprogrammen oder ein Unterhaltungsangebot im Internet sind Beispiele dafür. Elektronisches Geld entsteht, indem eine "Cyber-Bank" in Form verschlüsselter Zeichenketten elektronische Münzen herausgibt. Jede dieser Nachrichten hat also einen Wert und auch eine Seriennummer. Der Konsument kann dieses elektronische Geld auf seinem Rechner oder einer Diskette speichern und später zum Bezahlen im Internet verwenden.
Beim Kauf fragt der Online-Lieferant via Internet bei der Bank nach, ob das Geld gültig ist. Die Bank prüft blitzschnell in ihrer Datenbank, ob die von ihr autorisierten Münzen mit der entsprechenden Seriennummer noch flottieren oder ob sie bereits eingelöst sind. Wenn die Prüfung positiv ausfällt, gibt der Bank-Server die Transaktion frei, und der Online-Lieferant erhält das Geld. Er kann es sich dann auf einem Konto gutschreiben lassen.
Ganz unkompliziert ist die Ausgabe der elektronischen Münzen allerdings nicht. Beim Konsumenten erzeugt nämlich ein Zufallszahlengenerator eine Zeichenkette. Diese Nachricht wird von der Bank bearbeitet und durch mathematische Operationen zu elektronischem Geld gültig gestempelt. Dies ist nötig, um das Geld zum anonymen Zahlungsmittel zu machen. Wenn ein Geldempfänger das Geld prüfen läßt, weiß die Bank später zwar noch, daß es sich um ein gültiges Zahlungsmittel handelt, hat aber nicht gespeichert, von wem es stammt.
Noch hat keines dieser Verfahren den Rang eines Standards. Deswegen seien auch andere Zahlungssysteme erwähnt, die sich mit Einschränkungen verwenden lassen und sich lokal oder in kleinerem Umfang etabliert haben.
Dazu zählt zum Beispiel "First Virtual" http://www.fv.com , eine Art Bank, bei der sich der Konsument anmeldet, indem er ein Konto eröffnet. Die Geschäfte laufen über sichere Kommunikationsverfahren innerhalb von First Virtual und werden anschließend über ein Kreditkartenkonto verrechnet. Alle beteiligten Anbieter und Konsumenten müssen in diesem geschlossenen System angemeldet sein.
Bei "Cybercash" http://www.cybercash.com werden die Kreditkarteninformationen verschlüsselt zwischen dem Konsumenten und den Lieferanten transportiert. Konsument und Händler installieren dazu eine besondere Software, die beim Konsumenten heißt "Wallet", zu deutsch Brieftasche. Cybercash ist auf internationaler Ebene das bisher bekannteste Verfahren und kommt vom Prinzip her nahe an das heran, was Mastercard und Visa mit SET erreichen wollen.
"Checkfree" http://www.checkfree.com bietet verschiedene Dienste an. Unter anderem erledigt es das Bezahlen. Das System ist eine Mischung aus traditionellen Techniken und elektronischer Kommunikation. Beispielsweise erhält der Käufer eine Rechnung via E-Mail und gibt die Information telefonisch an Checkfree weiter. Dieses begleicht die Rechnung und bucht die Beträge von der Kreditkarte des Kunden ab. Eine solche Abwicklung ist natürlich mit Kosten und Zeitaufwand verbunden, zudem ist das Angebot auf der Home-Page nicht sehr übersichtlich.
Ein Nachteil bei diesen drei Verfahren liegt darin, daß die Anzahl der eingebunden Internet-Shops begrenzt ist und es sich dabei überwiegend um amerikanische Anbieter handelt. Wer also häufiger verkaufen oder kaufen will, muß sich oft bei mehreren Diensten gleichzeitig anmelden. Dazu muß er verschiedene Software installieren, und es entsteht bei jedem Verfahren Aufwand für die Erstanmeldung.
Komfortables Einkaufen im Netz braucht daher Standards. Doch über Fragen der Zahlungsverfahren hinaus gibt es weitere Aufgaben, die zu lösen sind, bevor Electronic Commerce in den Alltag einziehen kann.
Die erste Aufgabe betrifft Sicherheit und Technik. Die angesprochenen Verfahren haben Wege aufgezeigt, die Sicherheit im Netz auf ein hohes Niveau zu heben. Jedoch haben neue Softwaretechniken nicht nur attraktive Nutzungsmöglichkeiten eröffnet, sondern auch zuvor unbekannte Schwachstellen geschaffen.
Die Möglichkeiten, via Internet Softwaremodule auf den PC zu laden, und namentlich die Active-X-Technik von Microsoft gaben Anlaß, den PC als das schwächste Glied in der ganzen Kette zu sehen. Softwarespione am PC können Informationen sammeln und später unbemerkt an eine getarnte Internet-Adresse übermitteln.
Schutz davor bieten gegebenenfalls Sicherheitsmechanismen, die gleich ins System integriert werden. Sun zeigt mit seinen Java-Produkten, wie dies in der Software erfolgen kann. Eine andere Lösung schlägt die Leipziger Firma EDS mit dem "Me-Chip" vor: Dieses spezielle Hardwaremodul im PC verschlüsselt die kritischen Informationen.
Zweitens bedarf es besserer Akzeptanz. Elektronisches Bezahlen funktioniert nur, wenn viele mitmachen. Dies ist ähnlich wie bei den Kreditkarten. Eine Karte, mit der man nirgends bezahlen kann, ist genauso nutzlos wie eine Karte, die kein Konsument verwendet. Wer also Interesse daran hat, elektronisches Bezahlen zu forcieren, muß nicht nur in die Technik investieren, sondern auch in Marketing und Werbung.
Viele Banken haben jüngst beim Electronic Banking vorgeführt, wie man es falsch macht: Es genügt nicht, ein technisch funktionierendes Angebot zu unterbreiten, ohne in der Öffentlichkeit andere als ausweichende oder ablehnende Antworten zur Haftung zu geben. Die Banken als spätere Nutznießer von E-Cash müßten schon jetzt aktiver werden. Mehr Praxiserfahrung, Tests und Publikationen könnten helfen, die Sicherheit, die Chancen und die Risiken noch besser zu erkunden.
Schließlich gilt es auch noch einige rechtliche Probleme zu lösen, die über das hinausgehen, was im Zusammenhang mit E-Cash anfallen kann. Beim Einkaufen im Internet gibt es nicht nur die Gefahr, von digitalen Straßenräubern geprellt zu werden. Vielmehr dürften sich Konsumenten in der Praxis viel häufiger ganz anderen Problemen gegenübersehen.
Was geschieht, wenn die Ware nicht den Erwartungen entspricht? Software kann man im Internet "downloaden", aber wie gibt man sie wieder rechtswirksam zurück, wenn sie nicht funktioniert? Und welches Recht gilt im Konfliktfall? Häufig dasjenige des Landes, in dem der Anbieter ansässig ist. Anwender, die im Internet einkaufen, bemängeln oft Probleme bei der Gewährleistung, bei Zoll- und Steuerfragen und bei der Rechnungsstellung. Darauf müssen sich die Anbieter von Electronic Commerce einstellen. Sie müssen die Transaktionen so gestalten, wie es die Kunden weltweit benötigen.
Business im Internet läßt sich nicht mit geringem Aufwand quasi nebenbei erledigen. Es muß analysiert, geplant, investiert und getestet werden. Viele technische, kommerzielle und kommunikative Aufgaben sind noch ungelöst.
Angeklickt
Es gibt Verfahren für das Bezahlen im Internet, die sich teilweise als erste Anwärter für Standards abzeichnen. Solche Lösungen sind sicherer als manche herkömmliche Kreditkartentransaktion, Überraschungen sind dennoch nicht ausgeschlossen. Nur Tests und Pilotprojekte helfen, die verbleibenden Sicherheitslücken zu schließen. Die Promotoren von Electronic Commerce müssen nicht nur die geeignete Technik bereitstellen, sondern auch noch Aufgaben in Vertrieb und Marketing erledigen, um nicht den Anschluß zu verlieren.
*Dieter Sinn ist Consultant in München.