Dienstangebote über WAP (Wireless Application Protocol), etwa mobiles Brokerage, sind erste Beispiele für den sich entwickelnden M-Commerce. Angesichts der für Ende 2003 erwarteten 733 Mio. GSM-Teilnehmer dürften in naher Zukunft mehr Menschen M-Commerce nutzen als E-Commerce. Die Dienste werden in den nächsten Jahren weiter ausgebaut, insbesondere wird die ihnen zugrunde liegende Infrastruktur durch Einführung von GPRS und später von UMTS an multimediale, breitbandige Anforderungen angepasst.
Kritische Erfolgsfaktoren für die Entwicklung des M-Commerce sind neben der Verfügbarkeit der Technologie und der Endgeräte vor allem eine vollständige Transaktionsfunktionalität – einschließlich Bezahlfunktion – sowie das Vorhandensein von Sicherheitsdiensten. Die Transaktionsfunktionalität benötigt man, um Leistung und Gegenleistung medienbruchlos abzuwickeln, die Sicherheitsdienste gewährleisten grundsätzlich die vertrauliche, authentische und verbindliche Abwicklung der Transaktionen. Insgesamt ermöglicht das beispielsweise Entscheidungsträgern, Geschäftsvorfälle weltweit von unterwegs zu initiieren oder freizugeben. Klassische Verfahren wie PIN/TAN eignen sich hierfür nicht.
Obwohl Technologien und offene Standards zur Gewährleistung der Transaktionsfunktionalität und Sicherheitsdienste grundsätzlich vorhanden sind, finden sie bislang keine breite Verwendung, da einsatzfähige Lösungen mit entsprechendem Bedienkomfort fehlen.
In den letzten anderthalb Jahren sind eine ganze Reihe von
Initiativen zur Förderung des M-Commerce entstanden, die sich
vorrangig auf die genannten Punkte konzentrieren. Beispiele sind Radicchio,
das
Mobey-Forum, das
mSign-Konsortium (vgl. S. 44), die
European Electronic Signature Standardization
Initiative (EESSI), die
Global Mobile Commerce Interoperability Group
(GMCIG) oder das
Mobile Electronic Transaction Forum
(MET). Die beteiligten Unternehmen stammen überwiegend aus
den Branchen Infrastrukturausrüster, Netzwerkbetreiber,
Endgerätehersteller, Software Solution Provider und Banken und
bündeln in der Regel ihre branchenspezifischen Interessen in
den jeweiligen Foren. Auf der technischen Ebene haben diese
dementsprechend voneinander abweichende technische
Lösungsansätze konzipiert und als mögliche
Industriestandards propagiert, ohne dass sich bislang einzelne
Vorschläge durchzusetzen vermochten.
Das vorrangige Ziel der unter Federführung der Deutschen Bank am Projekt "Mobile Signature" (MoSign) beteiligten Unternehmen – emagine, Ericsson, Materna, Microsoft, Sema Group, Siemens sowie TC TrustCenter – ist es, den Einsatz digitaler Signaturen unter Verwendung existierender offener Standards [2, 3] und verschiedener mobiler Endgeräte in der Praxis zu demonstrieren. Neue Standards will man hier nicht definieren.
Beim Datenaustausch nutzt MoSign das Hypertext Transfer Protocol (HTTP), das Wireless Application Protocol WAP [4] sowie Bluetooth (Spezifikation 1.0) [5]. Für die Signaturen sind Standard-SmartCards zuständig, die sich endgeräteunabhängig an PCs und POS-Terminals einsetzen lassen. Diese SmartCards arbeiten mit dem CardOS-M4-Betriebssystem und einen Infineon-Chipsatz und ermöglichen das Erzeugen eines 1024 Bit RSA-Schlüsselpaares auf der Karte. Ein Export des geheimen Schlüssels ist nicht möglich, alle Secret-Key-Operationen finden in der SmartCard statt.
TC TrustCenter Hamburg personalisiert die Chipkarten und versieht sie mit dem Zertifikat des Kartennutzers. Die Zertifikate entsprechen dem Standard ITU-T X.509 V3. Diese Form setzt auch Identrus ein, eine von global agierenden Banken gegründete Organisation (vgl. Seite 50); internationale Kompatibilität ist somit gegeben.
Die ersten Ergebnisse des Projekts MoSign wurden Anfang November auf der European Banking Technology Fair (EBTF) vorgestellt. Sie zeigen, dass sich mit der eingesetzten Technik und der Infrastruktur der Partner, Online-Transaktionen sicher und verbindlich abschließen lassen. Das System sichert die Authentizität der Transaktionsteilnehmer unabhängig vom verwendeten Endgerät. Die verwendeten mobilen Endgeräte sind aktuelle Standardversionen, auf die lediglich ein MoSign Plug-in aufgespielt wurde, das für alle handelsüblichen Geräte verfügbar ist.
Das MoSign-Projekt verwendet derzeit als mobile Endgeräte das IC35 von Siemens, die Wireless-Wallet von Ericsson sowie einen Pocket-PC von Compaq mit dem Microsoft Betriebssystem Windows CE 3.0. Maßgebendes Kriterium für die Auswahl der Geräte war die Verfügbarkeit eines SmartCard-Readers.
Der Siemens Organizer IC35 verfügt über einen WAP-Browser, der gemäß WAP Spezifikation 1.1 arbeitet, sowie einen integrierten SmartCard-Leser. Für das MoSign-Projekt wurde der Browser um eine Chipkarten-Schnittstelle erweitert und ist nun in der Lage, den SmartCard-Leser zu steuern. Signiervorgänge greifen auf Funktionen der Crypt Library zurück, die im WAP 1.2 Standard definiert ist. Die Kommunikation mit WAP-Portalen erfolgt mit der Infrarotschnittstelle (IrDA) des IC35 über ein beliebiges IrDA-Mobiltelefon.
Die Wireless-Wallet ist buchstäblich ein Portmonee, in das jedoch ein SmartCard-Reader, Bluetooth (Spezifikation 1.0), ein WAP-Server sowie eine Java Virtual Machine (JVM) integriert sind. Über die Bluetooth-Schnittstelle kann die Wireless Wallet mit jedem Bluetooth-fähigen Mobiltelefon in einer Entfernung von bis zu zehn Metern kommunizieren. Der Anwender nutzt die SmartCard-Funktionen per WAP-Browser im Handy. Der WAP-Server in der Wireless Wallet kommuniziert mittels WML-Code und Java Servlets mit der SmartCard. Für die Kommunikation mit dem Endgerät existiert ein dedizierter Bluetooth-Kanal. Diese Verbindung wird durch den Einsatz der Wireless Transport Layer Security (WTLS) geschützt.
Der für MoSign verwendete Pocket-PC arbeitet mit Windows CE 3.0 und verfügt über einen HTML-Browser. Die SmartCard ist per PC/SC-Schnittstelle angebunden, für die Signiervorgänge nutzt das System die Microsoft CryptoAPI.
Das Backend besteht für den Prototypen aus lediglich zwei Komponenten: einem Apache Application-Server und einem Legitimation-Server der Firma emagine. Der Application-Server stellt den mobilen Endgeräten die HTML- und WML-Formulare für die exemplarischen Business-to-Business- (B2B) und Business-to-Consumer-Geschäftsprozesse (B2C) zur Verfügung. Die Aufgabe des Legitimation-Servers besteht dann sowohl in der Authentifizierung als auch in der Überprüfung der Autorisation des Teilnehmers, der einen Geschäftsprozess durchführen möchte. Die Durchführung von Transaktionen geschieht erst nach erfolgreicher Prüfung der entsprechenden digitalen Signaturen; hierauf lag der Fokus des Projekts.
Die vereinfachten Teilschritte des Signaturvorgangs im MoSign-Projekt sind im Folgenden dargestellt:
Das Ergebnis der prototypischen Anwendung im MoSign-Projekt hat gezeigt, dass man mit existierenden Technologien und Standards in kurzer Zeit Lösungen realisieren kann, die gleichzeitig Sicherheit und Bequemlichkeit bieten. Ein wesentlicher Punkt ist, dass diese Infrastruktur die Integration von "fixed" Clients mit einem SmartCard-Leser erlaubt, und damit – applikationsunabhängig – sowohl M-Commerce als auch E-Commerce bedienen kann. Beliebige Geschäftsprozesse in Form von Workflows, wie E-Payment oder E-Procurement (elektr. Beschaffung) lassen sich sicher und verbindlich auf einer solchen Infrastruktur abbilden.
Nasser Mustafa und Torsten Költzsch sind Senior IT-Analysten bei der Deutschen Bank AG / GTS – Mobile Business Group. Mustafa ist Doktorand am Lehrstuhl für die Entwicklung betrieblicher Informationssysteme an der Universität Frankfurt.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 40