Sichere Zahlungsnetzwerke und Bankensysteme

Questions and Answers

Welche der folgenden Optionen ist ein Beispiel für eine sichere Authentifizierungsmethode?

• Verwendung des gleichen Passworts für alle Konten
• Einfache Passwortvergabe
• Notieren von Passwörtern auf einem Zettel
• Multi-Faktor-Authentifizierung (correct)

Kryptowährungen sind immer regulierte Finanztransaktionen.

False (B)

Nennen Sie eine Technologie, die zur Sicherung von Finanztransaktionen verwendet werden kann.

Digital Signature

________ ist eine digitale Form von Zentralbankgeld.

CBDC

Ordnen Sie die folgenden Konzepte ihren Beschreibungen zu:

Zentralbankgeld = Geld, das von einer Zentralbank herausgegeben wird. Bankengeld = Geld, das von Geschäftsbanken in Form von Sichteinlagen gehalten wird. Kryptowährung = Eine digitale oder virtuelle Währung, die Kryptografie zur Sicherheit verwendet. Biometrie = Automatische Identifizierung von Personen anhand ihrer Merkmale.

Welche Rolle spielen Standardisierung und Zertifizierung im Kontext sicherer Zahlungsnetzwerke?

Sie gewährleisten Interoperabilität und Vertrauenswürdigkeit. (D)

Ein 'Network Attack' bezieht sich ausschließlich auf physische Angriffe auf Netzwerkhardware.

False (B)

Welche der genannten Technologien ist die Basis vieler moderner Kryptowährungen?

Distributed Ledger Technology

Welche der folgenden Aussagen beschreibt am besten den Unterschied zwischen Zentralbankgeld und Bankengeld?

Zentralbankgeld wird direkt von der Zentralbank ausgegeben, während Bankengeld von Geschäftsbanken durch Kreditvergabe geschaffen wird. (B)

Die Verwendung von _________ kann die Sicherheit eines Servers oder einer Cloud-Lösung erheblich verbessern.

Encryption

Welche der folgenden Optionen sind Beispiele für Dokumente im Bereich der Biowissenschaften?

Fragen und Vorschläge (B)

Eine qualifizierte elektronische Signatur kann nicht als digitales Äquivalent zu einer handschriftlichen Unterschrift angesehen werden.

False (B)

Welche EU-Verordnung regelt qualifizierte elektronische Signaturen?

EU-Verordnung Nr. 910/2014 (eIDAS-Verordnung)

Eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die mit einem ______ erstellt wird.

qualifizierten Signaturerstellungsgerät

Welche der folgenden Aussagen beschreibt nicht ein Ziel der eIDAS-Verordnung in Bezug auf elektronische Signaturen?

Die Begrenzung des Einsatzes elektronischer Signaturen auf rein innerstaatliche Transaktionen. (D)

Welche der folgenden Compliance-Anforderungen werden durch die genannten Authentifizierungsanforderungen erfüllt?

PCI DSS 3.2 (B)

Die 'Root Authentication' bezieht sich ausschließlich auf die Authentifizierung von Systemadministratoren.

False (B)

Nennen Sie zwei Kanäle, über die eine 'Root Authentication' erfolgen kann.

Präsenz, Online

MFA steht für ______ Authentication.

Multi Factor

Ordnen Sie die folgenden Attribute den Anwendungfeldern der EU ID Wallet zu:

Industrie 4.0 = VC (Nachweis) Social Security = VC (Attribut) Zahlungsnetzwerk = VC

Welche der folgenden Optionen beschreibt KEINE typische Anforderung an Passwörter im Rahmen von Authentifizierungsrichtlinien?

Verwendung des Geburtstages des Benutzers (A)

Erläutern Sie den Unterschied zwischen Single-Factor- und Multi-Factor-Authentifizierung (MFA) anhand eines Beispiels für jede Methode.

Single-Factor-Authentifizierung verwendet nur einen Faktor, z. B. ein Passwort. MFA verwendet mehrere Faktoren, z. B. Passwort und einen One-Time-Code (OTP) per SMS.

Was bedeutet die Abkürzung 'OTP' im Kontext der Zwei-Kanal-Authentifizierung?

One-Time Password (A)

Bei der Zwei-Kanal-Authentifizierung werden die gleichen Informationen über zwei identische Kanäle gesendet, um die Gültigkeit der Metadaten zu gewährleisten.

False (B)

Nennen Sie ein Beispiel für ein Anwendungsgebiet, in dem eIDAS eine wichtige Rolle spielt.

Zugang zu öffentlichen Diensten in anderen EU-Ländern

Die _____ stellt sicher, dass Bürger und Unternehmen ihre eigenen nationalen elektronischen Identifizierungssysteme (eIDs) nutzen können.

eIDAS-Verordnung

Ordnen Sie die folgenden Elemente der Zwei-Kanal-Authentifizierung ihren Rollen zu:

Client-Metadaten = Bereitstellung von Informationen, die der Anwendung präsentiert werden Erster Kanal (z.B. App) = Sendet OTP zur Authentifizierung Zweiter Kanal (z.B. SMS) = Empfängt OTP zur Authentifizierung Anwendung = Empfängt und verarbeitet OTP zur Überprüfung

Welchen Vorteil bietet die Verwendung von nationalen elektronischen Identifizierungssystemen (eIDs) gemäß der eIDAS-Verordnung?

Vereinfacht den Zugang zu öffentlichen Diensten innerhalb der EU. (C)

Was ist das Hauptziel der Payment Service Directive (PSD 2)?

Die Förderung von Innovation, Stärkung des Wettbewerbs und Erhöhung der Sicherheit im Zahlungsverkehr.

Die eIDAS-Verordnung ist ausschließlich für Unternehmen relevant und hat keine Auswirkungen auf Privatpersonen.

False (B)

Nehmen wir an, ein Nutzer versucht, eine Online-Transaktion durchzuführen. Welche der folgenden Maßnahmen würde NICHT als Teil einer Multi-Faktor-Authentifizierung (MFA) betrachtet werden?

Überprüfung der IP-Adresse des Nutzers, um festzustellen, ob sie mit früheren Anmeldungen übereinstimmt. (B)

Wozu verwenden Zertifizierungsstellen (CAs) ihr Root-Zertifikat?

Um eine Vertrauenskette zu erstellen, indem sie Zertifikate signieren. (C)

Abgelaufene Schlüssel werden der Certificate Revocation List (CRL) hinzugefügt.

False (B)

Nennen Sie zwei Beispiele für Anwendungen, in denen PKI-Schlüssel und -Zertifikate eingesetzt werden können.

IPsec und SSL/TLS

Digitale Zertifikate enthalten Informationen über den Algorithmus, der zur Erstellung der ______ verwendet wird.

Signatur

Ordnen Sie die folgenden Begriffe ihren Beschreibungen zu:

Root-Zertifikat = Ein von einer Zertifizierungsstelle selbst signiertes Zertifikat. Schlüsselwiderruf = Der Prozess, bei dem ein Schlüssel vor seinem Ablaufdatum für ungültig erklärt wird. Gültigkeitszeitraum = Der Zeitraum, in dem ein Zertifikat als gültig betrachtet wird. Vertrauenskette = Eine Hierarchie von Zertifikaten, die verwendet wird, um die Gültigkeit eines Zertifikats zu überprüfen.

Was ist der Hauptzweck eines digitalen Zertifikats?

Um die Identität einer Entität zu bestätigen und die Integrität von Daten zu gewährleisten. (A)

Ein privater Schlüssel wird mit anderen Parteien geteilt, um die Sicherheit zu gewährleisten.

False (B)

Was bedeutet die Abkürzung PKI?

Public Key Infrastructure

SSL steht für ______ Layer.

Secure Sockets

Ein Schlüsselpaar wird für Authentifizierung und Verschlüsselung verwendet, während ein anderes Schlüsselpaar für digitale Signaturen eingesetzt wird. Welchen Vorteil hat dies?

Es ermöglicht, dass der erste Schlüsselpaar hinterlegt und gesichert wird, ohne die Privatsphäre der digitalen Signatur des Eigentümers zu gefährden. (B)

Welche der folgenden Aussagen beschreibt am besten den Hauptvorteil der Einführung digitaler Signaturen?

Reduzierung der Kosten und vollständige Automatisierung des dokumentarischen Workflows. (A)

Eine digitale Signatur garantiert nur die Authentizität des Absenders, nicht aber die Integrität der Nachricht.

False (B)

Was ist das grundlegende Prinzip, auf dem die wichtigsten Prozesse zur Autorisierung und Validierung von digitalen Dokumenten basieren?

Die Gleichwertigkeit zur Unterschrift auf Papierdokumenten.

Eine digitale Signatur ist ein One-Way-______, der mit dem privaten Schlüssel des Unterzeichners verschlüsselt wurde.

Hash

Ordnen Sie die Schritte des digitalen Signaturprozesses den korrekten Beschreibungen zu:

Berechnung des Hashwerts = Der Unterzeichner erzeugt einen Hashwert der zu signierenden Daten. Verschlüsselung des Hashwerts = Der Unterzeichner verschlüsselt den Hashwert mit seinem privaten Schlüssel. Versand des Dokuments = Der Unterzeichner sendet das Originaldokument zusammen mit der digitalen Signatur an den Empfänger. Verifizierung der Signatur = Der Empfänger entschlüsselt den Hashwert mit dem öffentlichen Schlüssel des Unterzeichners und vergleicht ihn mit einem neu berechneten Hashwert.

Welche Aussage trifft auf die Hashfunktion im Kontext digitaler Signaturen nicht zu?

Sie erzeugt einen Hashwert, der die Größe des Originaldokuments hat. (C)

Der Empfänger benötigt den privaten Schlüssel des Absenders, um die digitale Signatur zu überprüfen.

False (B)

Welche SHA-Variante wird heute anstelle der als veraltet geltenden SHA-1 für digitale Signaturen empfohlen?

SHA-256

Was passiert, wenn der Empfänger bei der Verifizierung feststellt, dass der neu berechnete Hashwert nicht mit dem entschlüsselten Hashwert übereinstimmt?

Das Dokument wird als manipuliert betrachtet, und die Signatur ist ungültig. (D)

Die Berechnung des Hashwerts minimiert die Wahrscheinlichkeit, aus verschiedenen Texten den ______ Wert des Digest zu erhalten.

gleichen

Flashcards

Was ist CBDC?

Zentralbankgeld ist die digitale Form von Bargeld, die von einer Zentralbank ausgegeben wird.

Was ist ein sicheres Zahlungsnetzwerk?

Ein Netzwerk für finanzielle Transaktionen, das sichere Methoden zur Authentifizierung und zum Schutz von Daten verwendet.

Was ist Multi-Faktor-Authentifizierung?

Methoden, die mehr als einen Faktor zur Überprüfung der Identität eines Nutzers verwenden (z.B. Passwort + Fingerabdruck).

Was ist Biometrie?

Verwendung biometrischer Merkmale (z.B. Fingerabdruck, Gesichtserkennung) zur Identifizierung.

Was ist Verschlüsselung?

Die Umwandlung von Daten in ein unleserliches Format, um sie vor unbefugtem Zugriff zu schützen.

Was ist PKI?

Eine Public-Key-Infrastruktur, die digitale Signaturen zur Authentifizierung verwendet.

Was sind Netzwerkangriffe?

Versuche, unbefugten Zugriff auf Netzwerke zu erhalten, z.B. durch Phishing oder Malware.

Was sind sichere Transaktionsprotokolle?

Protokolle, die speziell entwickelt wurden, um Transaktionen sicher abzuwickeln.

Was sind sichere Server- und Cloud-Lösungen?

Eine sichere Umgebung für Server, oft in der Cloud, die Daten schützt.

Was ist Distributed Ledger Technology (DLT)?

Eine Technologie, bei der Transaktionsdaten auf mehrere Computer verteilt gespeichert werden.

Was ist eine qualifizierte elektronische Signatur?

Eine qualifizierte elektronische Signatur erfüllt die EU-Verordnung Nr. 910/2014 (eIDAS-Verordnung) für elektronische Transaktionen.

Was sind eSignatur-Sicherheitsstufen laut eIDAS?

eIDAS hat Klassifikationen für eSignaturen basierend auf Vertrauen und Sicherheit entwickelt.

Was macht eine qualifizierte elektronische Signatur aus?

Eine fortgeschrittene elektronische Signatur, die von einer qualifizierten Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat basiert.

Was ist eine qualifizierte Signaturerstellungseinheit?

Ein Gerät, das speziell für die Erstellung qualifizierter elektronischer Signaturen zugelassen ist.

Was sind Standardarbeitsanweisungen (SOPs)?

SOPs sind detaillierte, schriftliche Anweisungen zur einheitlichen Durchführung von Routineaktivitäten.

Was ist Root-Authentifizierung?

Grundlegende Methoden zur Identifizierung einer Person.

Welche Root-Authentifizierungskanäle gibt es?

Physische Anwesenheit oder online.

Was ist die EU-ID-Wallet?

Ein digitaler Identitätsnachweis der EU, der Attribute speichert.

Was bedeutet Multi-Faktor-Authentifizierung (MFA)?

Mehrere Faktoren zur Überprüfung der Identität.

Was ist MFA mit One-Time-Password (OTP)?

Ein Einmalpasswort (OTP), das als zusätzlicher Faktor verwendet wird.

Was bedeutet Zwei-Kanal-Kommunikation bei MFA?

Zwei getrennte Kommunikationswege für die Authentifizierung.

Was beinhalten Authentifizierungsanforderungen?

Anforderungen für Passwörter, Authentifizierungsgeräte und deren Lebenszyklus.

Zwei-Kanal-Authentifizierung

Eine Authentifizierungsmethode, die zur Validierung von Client-Metadaten OTPs über zwei verschiedene Kanäle sendet und empfängt.

eIDAS-Verordnung

Eine EU-Verordnung, die sicherstellt, dass Bürger und Unternehmen ihre nationalen elektronischen Ausweise (eIDs) verwenden können, um auf öffentliche Dienste in der EU zuzugreifen.

Payment Service Directive (PSD2)

Eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und zur Förderung von Innovation und Sicherheit im Zahlungsverkehr.

Multi-Faktor-Authentifizierung

Methoden, die mehr als einen Faktor zur Überprüfung der Identität eines Nutzers verwenden (z.B. Passwort + Fingerabdruck).

Multi Factor Authentication (MFA)

Eine Methode zur Authentifizierung, die mehr als einen Faktor zur eindeutigen Bestimmung der Identität eines Nutzers verwendet.

One Time Password (OTP)

Ein einmalig gültiges Passwort, das zusätzlich zur herkömmlichen Authentifizierung verwendet wird, um die Sicherheit zu erhöhen.

Two Channel Communication

Ein Verfahren, das für zusätzliche Sicherheit die Nutzung von zwei getrennten Kommunikationskanälen erfordert.

eIDAS Ziel

Sicherstellen, dass Einzelpersonen und Unternehmen ihre nationalen elektronischen Identifizierungssysteme (eIDs) nutzen können, um auf öffentliche Dienste in anderen EU-Ländern zuzugreifen, in denen eIDs verfügbar sind.

Starke Kundenauthentifizierung (SCA)

Sicherheitsmaßnahme, bei der der Nutzer seine Identität mit verschiedenen Methoden bestätigen muss, um den Zugriff zu erhalten.

Äquivalenz digitaler Dokumente

Die rechtliche Gleichwertigkeit von digitalen Dokumenten zu Papierdokumenten.

Hauptvorteile digitaler Signaturen

Reduzierung der Kosten und vollständige Automatisierung des Dokumenten-Workflows.

Ersatz für Papiergenehmigungen

Ein schnelleres und kostengünstigeres System im Vergleich zur Genehmigung auf Papier.

Was ist eine digitale Signatur?

Ein Hash der Originaldaten, der mit dem privaten Schlüssel des Unterzeichners verschlüsselt wurde.

Erster Schritt des Signierers

Der Unterzeichner berechnet einen Hash der zu signierenden Daten.

Was ist ein Message Digest?

Eine kleine Datei, die einen Kontrollcode enthält, der auf das Dokument verweist.

„Einweg“-Funktion des Hash

Es ist unmöglich, den Originaltext wiederherzustellen.

Verschlüsselung des Hashes

Der Unterzeichner verschlüsselt den berechneten Hash mit seinem privaten Schlüssel.

Was ist ein signiertes Dokument?

Ein Dokument mit der Unterschrift des Absenders.

Erster Verifikationsschritt

Die empfangene Software entschlüsselt zuerst den Hash mit dem öffentlichen Schlüssel des Unterzeichners.

Was ist ein digitales Zertifikat?

Eine digitale Bescheinigung, die die Identität einer Entität bestätigt und den öffentlichen Schlüssel enthält.

Was ist eine Zertifizierungsstelle (CA)?

Eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt und verwaltet.

Was ist ein selbstsigniertes CA-Zertifikat?

Ein Zertifikat, das von der CA selbst signiert wurde und als Vertrauensbasis dient.

Was ist eine Vertrauenskette?

Eine Kette von Zertifikaten, die von einem Root-Zertifikat bis zum Endbenutzerzertifikat reicht und Vertrauen aufbaut.

Was ist die Gültigkeitsdauer eines Schlüssels?

Zeitraum, in dem ein Schlüssel als gültig betrachtet wird.

Was ist Schlüsselsperrung (Revocation)?

Der Prozess, einen Schlüssel vorzeitig für ungültig zu erklären.

Was ist Key Usage?

Die Verwendung von Schlüsseln und Zertifikaten in verschiedenen Anwendungen wie VPNs, SSL/TLS und SSH.

Was sind mehrere Schlüsselpaare?

Mehrere Schlüsselpaare für unterschiedliche Zwecke.

Was bedeutet Key Escrow?

Das Hinterlegen und Sichern von Schlüsseln.

Was passiert beim Schlüsselablauf?

Nach Ablauf der Gültigkeitsdauer muss der Schlüssel aus dem System entfernt und vernichtet werden.

Study Notes

Secure Payment Networks

• Sichere Zahlungsnetzwerke sind Netzwerke für monetäre Transaktionen.
• Die Vorlesung über Netzwerke für den Zahlungsverkehr findet montags von 18:00 bis 20:00 Uhr im Hörsaal 2 statt.
• Ansprechpartner für die Vorlesung ist Hermann Sterzinger.
• Die Vorlesung wird in Englisch gehalten.

Vorlesungsinhalte 2024

• Einführung in die Thematik.
• Struktur von Finanzinstituten.
• Architektur von Zahlungssystemen und Interessengruppen für monetäre Transaktionslösungen.
• Sichere Authentifizierungsmethoden.
• Netzwerkangriffe
• Beispiele für Zahlungsanwendungen.
• Sicherung von Protokollen für Transaktionen.
• Sichere Server- und Cloud-Lösungen.
• Distributed Ledger Technology (DLT) als Lösungen für Finanztransaktionen.
• Krypto Währung versus regulierte Finanztransaktionen.
• Standardisierung und Zertifizierung.

Struktur des Bankensystems

• Das Bankensystem ist dezentralisiert, beginnend bei der Zentralbank mit den Geschäftsbanken als Vermittler.
• Geschäftsbanken sind die Schnittstelle zu den Kunden (Endnutzer).
• Eine Zentralisierung würde bedeuten, dass die Zentralbanken direkt mit den Endnutzern verbunden sind.
• Bank- und Sparkassenfilialen sind in der Regel in Selbstbedienungs- und Informationsbereiche unterteilt.
• Zusätzlich gibt es ein IT-Center, das die gesamte IT-Infrastruktur, Internet- und Homebanking-Anwendungen umfasst.

Zentralbankgeld vs. Bankgeld

• CBDC: Central Bank Digital Currency
• Zentralbankgeld steht für staatliche Souveränität.

Zahlungsprozesse

• Überblick über verschiedene Zahlungsprozesse, darunter Debitkartenzahlungen, Kreditkartenzahlungen und Zahlungen über einen Trusted Service Provider.

Debitkartenzahlungsprozess

• Die Authentifizierung erfolgt durch die ausstellende Bank, welche auch das Zahlungsrisiko trägt.

Kreditkartenzahlungsprozess

• Die Authentifizierung und das Zahlungsrisiko werden vom Kreditkartenherausgeber verwaltet

Debit-/Kreditkartenzahlungsprozess mit Trusted Service Provider

• Die Authentifizierung und das Zahlungsrisiko werden vom Trusted Service Provider (TSP) verwaltet.

Beispielarchitektur

• Die Architektur umfasst Komponenten wie POS API, Flow Processor, Router, Payment Processor Link, POI Device Interface sowie verschiedene Datenbanken für Kartendaten, Routing-Tabellen sowie S&F-, TOR- und Batch-Datensätze.
• Ein Payment Hub beinhaltet Authentifizierung, Betrugserkennung und Netzwerkauswahl.
• Zahlungssysteme umfassen unter anderem B2B, FX, Bank-zu-Bank (SWIFT), Karten (Visa, MC, Amex) und P2P-Zahlungen (Zelle, Venmo).
• Digital FMI-Geschäftsarchitektur-Funktionen umfassen Matching, Trading/Trade Execution, Issuing, Listing und Member & Regulatory Reporting
• Weitere generische Funktionen beinhalten RBAC-basiertes Benutzer Interface Portal, Business Scheduler & Calendar, Business Audit Log, Legal Archive, tägliche Verifizierungen und 4-Augen-Check.

Zahlungsverfahren

• Debitkartenzahlung
• Kreditkartenzahlung
• Zahlung über Trusted Service Provider
• Zahlung mit NFC (Near Field Communication)
  • Smartphones als "beeing card" oder "beeing reader"
  • Der Datenfluss ändert sich: nicht vom Nutzer zum Händler, sondern umgekehrt.

Zahlungskartentypen

• Magnetstreifenkarte
  • Streifen 3 für Debit
  • Streifen 2 für Kredit
• Chipkarten
  • EMV (Europay, Mastercard, Visa)
  • Kontakt- und kontaktlose Karten
• Smartphone/Token

Encrypted PIN Pad (EPP)

• Das Tastenfeld ist für den Zahlungsprozess zertifiziert.
• Hardware- und Software-Sicherheit für den Chip.
• Geschlossene und alarmgesicherte Abdeckung.
• Die Schnittstellenverbindung ist mit einem verschlüsselten Personal Authentication Code (PAC) gesichert.

Vorteile des digitalen Zahlungsprozesses

• Für Endnutzer: Bequemlichkeit, Sicherheit, sichere Internetzahlung, weniger Bargeld, Transaktionsprotokollierung
• Für Händler: Kostenvorteile, weniger Bargeldhandling, schnellerer Check-out, mehr Umsatz, weniger Technologie
• Für Kreditinstitute: Möglichkeit zur Erschließung neuer Märkte, höhere Umsätze, neue Kunden
• Für Banken: Verbesserung der Kundenbeziehung, Kundensicherheit, weniger Bargeldhandling, zusätzliche Zinserträge
• Für MNOs (Mobile Network Operators): Zusätzliche Einnahmen, Mehrwertdienste