Title (deu): Digitale Zahlungssysteme

Author: Biehl, S. (Stefan)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Masterstudiengang Information Security, 2018

Description (deu): Die Masterarbeit „Digitale Zahlungssysteme - Analyse der Sicherheit von digitalen Zahlungssystemen in Österreich“ befasst sich mit den vorhandenen und zukünftigen Zahlungssystemen auf dem österreichischen Markt. Dabei wird technisch und organisatorisch veranschaulicht, wie sich digitale Zahlungssysteme von konventionellen unterscheiden. Einen zentralen Punkt stellt dabei die kontaktlose NFC Übertragung dar, die in den unterschiedlichsten Geräten untergebracht werden kann, um digitalen Geldtransfer zu ermöglichen. Im Zuge dessen werden auch die möglichen Angriffsszenarien auf die NFC Schnittstelle vorgestellt und erklärt. Basierend auf den vorgestellten Angriffsvektoren werden mögliche zukünftige Szenarien erörtert oder die vorhandenen Attacken an die derzeit gegeben technischen Möglichkeiten adaptiert. Nachfolgend beschäftigt sich die Arbeit mit digitalen Identitäten, die in einem wichtigen Zusammenhang mit dem digitalen Zahlungs-verkehr stehen. Der Schutz und sachgemäße Umgang mit einer digitalen Zahlungsidentität spielt vor allem für Endbenutzer einen entscheidenden Punkt, wenn es um die Sicherheit bei einem Zahlungsvorgang geht. Ein weiterer Schwerpunkt dieser Arbeit liegt in der Erläuterung von zukünftig in Österreich verfügbaren digitalen Zahlungsmethoden. Es handelt sich um die derzeit verbreitetsten Ökosysteme, wie Google-Wallet und ApplePay. Die vorgestellten digitalen Zahlungssysteme bieten unterschiedliche Konzepte, Implementierungen, technische Umsetzungen und organisatorische Unterschiede. Speziell bei der Implementierung eines sicheren Zahlungsvorgangs auf einem mobilen Endgerät haben die Hersteller unterschiedliche Konzepte gewählt. Im Detail geht es dabei um die aktuelle Umsetzung von Apple in ApplePay mit der Implementierung des „Secure-Elements“ und Google-Wallet mit der Umsetzung der „Host-Card-Emulation“-Technik. In weiterer Folge wird veranschaulicht wie sich diese Ansätze mit modernen Techniken wie dem Cloudcomputing verbinden lassen, um den Endkunden ein möglichst flexibles und sicheres Zahlungssystem zu bieten. Um ein möglichst vollständiges Bild über eine digitale Transaktion zu generieren, wird auch die „Tokeninzation“ beschrieben. Dieser Vorgang stellt den eigentlichen Hintergrundprozess des Geldtransfers zwischen möglichen Zahlungsinstitutionen dar. Es gibt bei den Tokensystemen verschiedene Arten von generierbaren Token. Je nach vorliegendem Anwendungsfall und Anforderungen müssen Serviceanbieter mit einem passendem Tokensystem versehen werden, um den Ansprüchen der Kunden zu genügen. Der letzte Schwerpunkt befasst sich mit den Angriffsvektoren auf den verschiedenen Ebenen solcher komplexen Zahlungssysteme. Die daraus resultierenden Angriffsvektoren werden auf Basis der darunterliegenden Technologie aufgezeigt und konkretisiert. Je nach Zielsetzung der Angreifer/innen werden entweder einzelne Usergruppen, Businessprozesse oder aber die Providerinfrastruktur attackiert und reichen dabei von Übergriffen auf Identitäten, mobilen Zahlungen, Softwaremanipulation bis hin zu direkten Attacken auf Hardware-schwachstellen. Abschließend kann gesagt werden, dass es in absehbarer Zeit noch zu weiteren Entwicklungen in den Bereichen der digitalen Transaktion kommen wird und diese mit Spannung zu beobachten sind.

Description (eng): The master theses "Digital Payment Systems - Analysis of the Security of Digital Payment Systems in Austria" represents existing and future payment systems in Austria. Technically and organizationally it portrays how digital payment systems differ from conventional ones. A central point of digital payment is the contactless NFC transmission, which can be accommodated in a variety of devices to enable digital payments. Therefor the possible attack scenarios on the NFC interface are presented and explained. Based on the introduced attack vectors, possible future scenarios are discussed, or the existing attacks are adapted to the current technical possibilities. The following chapter deals with digital identities, which are important in connection with digital payments. Scenarios are explained, which show the existing dangers in the payment process in connection with stolen identities. The protection and proper handling of a digital payment identity plays a crucial role, especially for the end user, when it comes to the security of a payment transaction. Another focus of this work is the explanation of future digital payment methods available in Austria. These will be the most widespread ecosystems, such as Google-Wallet and ApplePay. The presented digital payment systems offer different concepts, implementations, and organizational differences to offer the customer a secure and flexible payment service. Especially in the implementation of a secure payment transaction on mobile devices, manufacturers have chosen different technological concepts. In detail, it is about the current implementation of Apple in ApplePay, with the implementation of the "Secure-Element" and Google-Wallet with the implementation of the "Host-Card-Emulation" technology. To show the different specifics of these, it will be illustrated how these can be combined with modern technologies. For example cloud computing, in order to offer the end customer a flexible and secure payment system. To present a complete picture of a digital payment transaction, the "tokenization" is also described. This process represents the actual background process of a payment between possible payment institutions. There are various types of token, which are generated in the token systems. Depending on the particular application and requirements, the service provider must be provided with a suitable token system to meet the requirements of the customer. The final focus will be on attack vectors at the various levels of such complex payment systems. The resulting attack vectors are identified and substantiated basically on the underlying technology. Depending on the final goal of the attacker, either individual user groups, business processes or the provider infrastructure are attempted to attack in order to reach their destination. The possibilities of attack range from identity theft, mobile payments, software manipulation to targeted attacks on hardware vulnerabilities. In conclusion there will be further developments in the area of digital payments and these can be observed with great excitement.

Object languages: German

Date: 2018

Rights: © All rights reserved

Classification: Nahfeldkommunikation ; Zahlungsmittel ; Zahlungsverfahren

Permanent Identifier