Bezahlen im Internet

SET: Secure Electronic Transactions

Um die Nachteile von SSL zu umgehen, haben Visa und Mastercard unter Beteiligung von IBM, Microsoft und anderen mit SET eine Protokoll-Technik entwickelt, die weiter gehenden Schutz und größere Bequemlichkeit bietet. Sie ist inzwischen ein weltweit gültiger Standard. Dabei wird dem Schutz der Privatsphäre ein hoher Stellenwert beigemessen: Der Händler kennt die Kreditkartennummer nicht, die Bank erfährt nicht, was der Kunde gekauft hat, und das Geschäft wird mit einem Höchstmaß an Sicherheit abgewickelt.

Herzstück des SET-Protokolls sind Zertifikate, mit denen sich Kunde und Händler gegenseitig ausweisen und die von einem Trustcenter bestätigt sind. Dementsprechend kann eine SET-Transaktion auch nicht so einfach rückgängig gemacht werden wie eine normale per SSL. Der Kunde kann nicht behaupten, seine Kreditkartendaten seien missbraucht worden.

Der Ablauf einer SET-Zahlung läuft in Grundzügen folgendermaßen ab: Will der Kunde einen Kauf tätigen, klickt er einen entsprechenden Link an, der Händler schickt ihm eine spezielle Datei mit den Bestellinformationen. Der PC des Kunden verschlüsselt diese so, dass auch Kreditkarteninformationen mit übertragen werden. Beide Teile, Auftrag und Kreditkarteninformation, werden elektronisch signiert und zurück an den Händler übermittelt. Der entschlüsselt nur den Auftragsteil und sendet die restlichen Daten an seine Bank. Diese autorisiert die Abbuchung und schickt dem Händler eine verschlüsselte Bestätigung. Daraufhin entschlüsselt der Händler die Nachricht, überprüft sie und bestätigt dem Kunden den erfolgten Kauf. SET verschlüsselt die Übertragung symmetrisch mit 56 Bit und das Zertifikat asymmetrisch mit 1024 Bit.