-
Die
Erfindung betrifft ein Verfahren und ein System zur Durchführung einer
elektronischen Transaktion, insbesondere einer elektronischen Banktransaktion,
sowie ein entsprechendes Endgerät
und eine entsprechende Transaktionsstelle zur Durchführung eines
solchen Verfahrens.
-
Heutzutage
werden in einer Vielzahl von Geschäftsfeldern entsprechende Transaktionen
elektronisch abgewickelt. Insbesondere werden Banktransaktionen
elektronisch, z. B. über
das Internet, durchgeführt.
Bei der Ausführung
einer elektronischen Banküberweisung
gibt ein Benutzer dabei die für
die Überweisung
notwendigen Informationen über
eine entsprechende Benutzerschnittstelle ein, beispielsweise in
einem Browser-Fenster der ausführenden Online-Bank,
wobei er die Überweisungsdaten
z. B. aus einer entsprechenden Rechnung eines Rechnungsstellers überträgt. Hierbei
kann es zu Eingabefehlern des Benutzers kommen, was schließlich bei der Übertragung
der Transaktionsdaten an die Bank des Benutzers und der nachfolgenden
Ausführung der
Transaktion zu Problemen führt.
Es ist deshalb wünschenswert,
durch einen Benutzer verursachte Eingabefehler bei der Ausführung von
elektronischen Transaktionen zu vermeiden.
-
Aus
dem Stand der Technik ist im Bereich von Banküberweisungen die Verwendung
eines beleglosen Zahlscheinüberweisungs-Verfahrens
bekannt. Dabei wird dem Rechnungsempfänger zur Begleichung einer
Rechnung ein Überweisungsträger übermittelt,
der eine spezielle Verwendungszweckzeile enthält, die aus einer vorbestimmten
Anzahl von Ziffern zuzüglich
einer Prüfziffer
besteht. Mit Hilfe dieses speziellen Verwendungszwecks werden dann
bei der Bank eingehende Überweisungsträger bzw.
bei der Verwen dung von Online-Banking auf den Überweisdungsträgern basierende Überweisungsaufträge speziell
verarbeitet und dem Zahlungsempfänger elektronisch übermittelt.
Dabei werden Eingabefehler bzw. Manipulationen des Verwendungszwecks
durch das Nachrechnen der entsprechenden Prüfziffer basierend auf den Ziffern
des Verwendungszwecks ermittelt.
-
Aus
dem Stand der Technik ist es ferner bekannt, dass die im bankgeschäftlichen
Verkehr verwendeten internationalen Bankleitzahlen, welche auch
als IBAN bezeichnet werden, eine entsprechende Prüfsumme enthalten,
mit der überprüft werden kann,
ob die bei der Durchführung
einer Online-Überweisung
eingegebene IBAN gültig
ist.
-
Durch
die soeben beschriebenen Verfahren können zu einem gewissen Grad
fehlerhafte Benutzereingaben bei der Durchführung von elektronischen Transaktionen
verhindert werden. jedoch wird durch die Verfahren kein ausreichender
Schutz dahingehend erreicht, dass eine fehlerhafte Eingabe von Transaktionsdaten
nicht dennoch zur Ausführung
einer Transaktion führt,
welche von einem Benutzer nicht gewünscht ist.
-
Aufgabe
der Erfindung ist es deshalb, die Erkennung von fehlerhaften Benutzereingaben
bei einer elektronischen Transaktion, insbesondere einer elektronischen
Banktransaktion, zu verbessern.
-
Diese
Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das
Endgerät
gemäß Patentanspruch
13 bzw. die Transaktionsstelle gemäß Patentanspruch 14 bzw. das
System gemäß Patentanspruch
15 gelöst.
Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
-
Gemäß dem erfindungsgemäßen Verfahren werden
einem Benutzer Transaktionsdaten, aus denen eine eindeutige Transaktion
identifizierbar ist, und ein erster Prüfwert bereitgestellt, wobei
der erste Prüfwert
aus den Transaktionsdaten basierend auf einer vorgegebenen Rechenvorschrift
erzeugt ist. Die Rechenvorschrift kann dabei beliebig ausgestaltet
sein, insbesondere kann die Rechenvorschrift beispielsweise das
Anwenden einer Hash-Funktion auf die Transaktionsdaten umfassen.
Die Transaktionsdaten, aus denen die Prüfsumme erzeugt wird, umfassen
dabei nicht nur einen Teil der Daten, die zur Transaktion benötigt werden,
sondern sie beinhalten zumindest diejenigen Informationen, aus denen
eine eindeutige Transaktion identifizierbar ist. Bei der Durchführung einer
elektronischen Geldtransaktion umfassen die Transaktionsdaten somit
nicht lediglich den Verwendungszweck oder die Bankleitzahl, denn aus
diesen Daten alleine kann keine eindeutige, an einen Transaktionsempfänger gerichtete
Transaktion abgeleitet werden.
-
In
dem erfindungsgemäßen Verfahren
wird auf einem Endgerät
eine Benutzerschnittstelle bereitgestellt, über welche der Benutzer Daten
umfassend die Transaktionsdaten eingeben kann und die Transaktion
auslösen
kann, wobei nach Eingabe der Daten und Auslösen der Transaktion die Transaktionsdaten von
einer Transaktionsstelle, an welche die Transaktionsdaten übermittelt
werden, zur Ausführung
der Transaktion verarbeitet werden.
-
Zur
Erkennung von Fehleingaben wird in dem erfindungsgemäßen Verfahren
basierend auf den durch den Benutzer eingegebenen Transaktionsdaten
ein zweiter Prüfwert
mit der oben erwähnten vorgegebenen
Rechenvorschrift erzeugt. In einer Variante des erfindungsgemäßen Verfahrens
wird der zweite Prüfwert
dem Benutzer dann auf der Benutzerschnittstelle zum manuellen Vergleich
mit dem bereitgestellten ersten Prüfwert angezeigt. Alternativ oder
zusätzlich
ist es auch möglich,
dass durch den Benutzer neben den Transaktionsdaten ferner der bereitgestellte
erste Prüfwert
bei der Eingabe der Daten über
die Benutzerschnittstelle eingegeben wird, wobei in diesem Fall
der eingegebene erste Prüfwert mit
dem zweiten Prüfwert
maschinell verglichen wird und die Transaktion unterbrochen wird,
falls der maschinelle Vergleich ergibt, dass sich der eingegebene erste
Prüfwert
vom zweiten Prüfwert
unterscheidet.
-
Das
erfindungsgemäße Verfahren
ermöglicht
eine effiziente und verbesserte Überprüfung von Eingabefehlern
dahingehend, dass aus den Daten, aus denen ein entsprechender Prüfwert zur
Ermittlung von Eingabefehlern erzeugt wird, immer eindeutig eine
Transaktion identifizierbar ist, so dass Fehleingaben des Benutzers
nicht zur Ausführung
einer falschen Transaktion führen
können.
Es besteht dabei zum einen die Möglichkeit,
dass eine manuelle Überprüfung des
ersten bereitgestellten Prüfwerts durch
den Benutzer über
die Anzeige eines entsprechend generierten zweiten Prüfwerts auf
dem Endgerät
erfolgt. Ebenso kann auch eine automatische Überprüfung der Prüfwerte durch Vergleich des
in das Endgerät
eingegebenen ersten Prüfwerts
mit einem entsprechend generierten zweiten Prüfwert erfolgen.
-
In
einer bevorzugten Variante des erfindungsgemäßen Verfahrens werden dem Benutzer die
Transaktionsdaten durch die Übermittlung
eines elektronischen Dokuments und/oder eines Papierdokuments bereitgestellt,
insbesondere durch die Übermittlung
einer Rechnung.
-
In
einer weiteren, bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
ist der erste Prüfwert
ein separater, durch den Benutzer von den Transaktionsdaten unterscheidbarer
Wert. Der Benutzer kann somit den Prüfwert von sich aus, beispielsweise
in dem übermittelten
elektronischen Dokument, erkennen, ohne dass er hierfür Zusatzinformationen
benötigt.
-
Insbesondere
ist der Prüfwert
dabei nicht innerhalb der Transaktionsdaten bzw. eines Teils der Transaktionsdaten
enthalten, wie dies bei der eingangs erwähnten IBAN im Stand der Technik
der Fall ist.
-
Mit
dem erfindungsgemäßen Verfahren
wird vorzugsweise eine elektronische Geldtransaktion durchgeführt, wie
z. B. eine Überweisung
oder ein Lastschrifteinzug. In diesem Fall umfassen die Transaktionsdaten
zumindest die Kontonummer und die Bankleitzahl der Bank eines Transaktionsempfängers sowie
die mit der Transaktion zu übertragenden Geldbetrag.
Der Transaktionsempfänger
kann dabei z. B. ein Überweisungsempfänger oder
ein Zahlungspflichtiger sein, von dem per Lastschrifteinzug Geld von
seinem Konto abgebucht wird. Zur Erhöhung der Sicherheit enthalten
die Transaktionsdaten gegebenenfalls auch noch eine Bezeichnung
des Transaktionsempfängers
und/oder einen Verwendungszweck. Aus diesen Transaktionsdaten wird
dann in geeigneter Weise der erste Prüfwert mit der vorgegebenen Rechenvorschrift
erzeugt.
-
In
einer weiteren, bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
wird zur Eingabe der Transaktionsdaten eine Eingabemaske auf dem
Endgerät,
insbesondere auf einem Personal Computer, bereitgestellt und die
Transaktionsdaten werden elektronisch an einen Rechner der Transaktionsstelle übermittelt.
Diese Variante des Verfahrens wird insbesondere bei der Durchführung von
Online-Banking verwendet. Dabei wird dem Benutzer über das
Internet eine entsprechende Eingabemaske seiner Bank zur Durchführung von
Banktransaktionen, wie z. B. Überweisungen,
angezeigt. Die anschließend
vom Benutzer eingegebenen Daten werden dann elektronisch über das
Internet an die Bank zur Ausführung
der Transaktion übermittelt.
-
In
einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird der zweite
Prüfwert mit
der vorgegebenen Rechenvorschrift in dem Endgerät erzeugt und mit dem ersten
Prüfwert,
der bei der Eingabe der Daten vom Benutzer eingegeben wurde, maschinell
verglichen. Hierdurch wird eine automatische lokale Überprüfung der
Eingaben des Benutzers auf dessen Endgerät ohne Einbeziehung der Transaktionsstelle
ermöglicht.
Gegebenenfalls kann dabei eine Warnmeldung auf der Benutzerschnittstelle
des Endgeräts
ausgegeben werden bzw. die Transaktion abgebrochen werden, wenn
der maschinelle Vergleich ergibt, dass sich der eingegebene erste
Prüfwert
vom zweiten Prüfwert
unterscheidet.
-
In
einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird neben den
Transaktionsdaten der erste Prüfwert,
der bei der Eingabe der Daten vom Benutzer eingegeben wurde, an
die Transaktionsstelle übermittelt.
In der Transaktionsstelle wird dann der zweite Prüfwert mit
der vorgegebenen Rechenvorschrift erzeugt und maschinell mit dem übermittelten
ersten Prüfwert
verglichen. In dieser Variante wird somit der automatische Vergleich der
Prüfwerte
vom Endgerät
hin zur Transaktionsstelle verlagert. Die Transaktionsstelle ist
in dieser Variante dabei insbesondere eine Bank bzw. ein entsprechender
Rechner der Bank. Vorzugsweise wird dabei eine Warnmeldung von der
Transaktionsstelle an das Endgerät
zur Ausgabe auf der Benutzerschnittstelle des Endgeräts übermittelt
und/oder die Transaktion abgebrochen, wenn der maschinelle Vergleich
ergibt, dass sich der übermittelte
erste Prüfwert
vom zweiten Prüfwert
unterscheidet.
-
In
einer weiteren, bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Transaktionsdaten und/oder der erste Prüfwert elektronisch
im Endgerät
für den
Benutzer bereitgestellt und zumindest ein Teil der Transaktionsdaten und/oder
der erste Prüfwert
sind dabei mit einer di gitalen Signatur signiert, wobei die Authentizität der signierten
Daten durch das Endgerät
oder die Transaktionsstelle überprüft wird.
Hierdurch wird die Sicherheit des Verfahrens erhöht, da eine Manipulation der Transaktionsdaten
basierend auf der Überprüfung der
Signatur erkannt wird. Es können
dabei beliebige, aus dem Stand der Technik bekannte Verfahren zur Erzeugung
und Überprüfung von
Signaturen verwendet werden, wie beispielsweise der RSA-Algorithmus.
-
In
einer bevorzugten Variante wird die Signatur mit Hilfe eines geheimen
Schlüssels
erzeugt, wobei mit einem öffentlichen
Schlüssel,
der dem geheimen Schlüssel
zugeordnet ist, die Authentizität
der signierten Daten überprüft wird,
wobei der öffentliche Schlüssel vorzugsweise
im Endgerät
oder in der Transaktionsstelle hinterlegt ist oder durch das Endgerät oder die
Transaktionsstelle von einer Zertifizierungsinstanz angefordert
wird.
-
Neben
dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein
Endgerät,
insbesondere einen Personal Computer, jedoch gegebenenfalls auch
ein mobiles Endgerät
in der Form eines Mobiltelefons, Laptops und dergleichen, wobei
das Endgerät
zur Verwendung in dem erfindungsgemäßen Verfahren zur Durchführung einer
elektronischen Transaktion verwendbar ist. Dabei wird im Betrieb des
Endgeräts
eine Benutzerschnittstelle generiert, über welche der Benutzer Daten
umfassend Transaktionsdaten, aus denen eine eindeutige Transaktion identifizierbar
ist, und einen ersten Prüfwert
eingeben kann und die Transaktion auslösen kann, wobei das Endgerät basierend
auf den durch den Benutzer eingegebenen Transaktionsdaten einen
zweiten Prüfwert
mit einer vorgegebenen Rechenvorschrift erzeugt, wobei der zweite
Prüfwert
dem Benutzer auf der Benutzerschnittstelle zum manuellen Vergleich mit
dem bereitgestellten ersten Prüfwert
angezeigt wird und/oder wobei im Falle, dass der bereitgestellte erste
Prüfwert
vom Benutzer bei der Eingabe der Daten über die Benutzerschnittstelle
eingegeben wurde, das Endgerät
den eingegebenen ersten Prüfwert
mit dem zweiten Prüfwert
maschinell vergleicht, wobei die Transaktion unterbrochen wird,
wenn der maschinelle Vergleich ergibt, dass sich der eingegebene erste
Prüfwert
vom zweiten Prüfwert
unterscheidet. Das erfindungsgemäße Endgerät eignet
sich somit zur Verwendung in einem Verfahren, bei dem die Prüfwerte im
Endgerät überprüft werden.
-
Die
Erfindung betrifft darüber
hinaus eine Transaktionsstelle, insbesondere einen Server, wie z. B.
einen Bankserver, der in dem erfindungsgemäßen Verfahren zur Durchführung einer
elektronischen Transaktion verwendbar ist. Dabei kann die Transaktionsstelle
von einem Endgerät
Transaktionsdaten, aus denen eine eindeutige Transaktion identifizierbar ist,
und einen ersten Prüfwert
empfangen, wobei die Transaktionsstelle basierend auf den empfangenen Transaktionsdaten
einen zweiten Prüfwert
mit einer vorgegebenen Rechenvorschrift erzeugt und den empfangenen
ersten Prüfwert
mit dem zweiten Prüfwert
maschinell vergleicht, wobei die Transaktion unterbrochen wird,
wenn der maschinelle Vergleich ergibt, dass sich der empfangene
erste Prüfwert
vom zweiten Prüfwert
unterscheidet. Auf diese Weise wird eine automatische Überprüfung der
Prüfwerte
in der im erfindungsgemäßen Verfahren
verwendeten Transaktionsstelle erreicht.
-
Die
Erfindung betrifft darüber
hinaus ein System zur Durchführung
einer elektronischen Transaktion, umfassend ein Endgerät und eine
Transaktionsstelle, welche derart ausgestaltet sind und zusammenwirken,
dass jede Variante des oben beschriebenen erfindungsgemäßen Verfahrens
durchführbar
ist.
-
Ein
Ausführungsbeispiel
der Erfindung wird nachfolgend anhand der beigefügten 1 detailliert beschrieben.
Diese Figur zeigt in schematischer Darstellung den Ablauf einer
Variante des erfindungsgemäßen Verfahrens.
-
Nachfolgend
wird das erfindungsgemäße Verfahren
am Beispiel der Durchführung
einer Banktransaktion in der Form einer elektronisch durchgeführten Überweisung
beschrieben. In dem Beispiel der 1 empfängt ein
Benutzer an seinem Personal Computer 4, der ein Endgerät im Sinne
von Anspruch 1 darstellt, ein elektronisches Dokument 1 in der
Form einer Rechnung, mit der ein Rechnungssteller dem Benutzer eine
entsprechende Dienstleistung bzw. gelieferte Ware in Rechnung stellt.
Die elektronische Rechnung kann beispielsweise als Email auf dem
Computer 4 empfangen werden und ein pdf-Dokument sein,
welches der Email angehängt
ist.
-
In
der elektronischen Rechnung 1 sind entsprechende Transaktionsdaten 2 enthalten,
aus denen eine eindeutige Überweisung
identifizierbar ist. Diese Transaktionsdaten umfassen somit zumindest die
Kontonummer des Rechnungsstellers bzw. Zahlungsempfängers, die
Bankleitzahl oder IBAN der Bank des Rechnungsstellers bzw. Zahlungsempfängers sowie
den zu überweisenden
Betrag. Gegebenenfalls können
auch noch weitere Daten im Transaktionsdatensatz enthalten sein,
insbesondere der Name des Zahlungsempfängers sowie einen bei der Überweisung
anzugebenden Verwendungszweck. In der elektronischen Rechnung ist
ferner eine separate, besonders kenntlich gemachte Prüfziffer
bzw. Prüfsumme
in der Form eines Zahlencodes enthalten, welche in 1 mit
Bezugszeichen 3 bezeichnet ist und aus der Gesamtheit der
Transaktionsdaten 2 gebildet wurde. Zur Bildung der Prüfsumme wird
eine vorgegebene Rechenvorschrift verwendet, vorzugsweise eine Hash-Funktion,
wie z. B. SHA1, welche auf einen zusammenge setzten String aller
Transaktionsdaten 2 angewendet wird und daraus einen Hash-Wert
erzeugt. Dieser Hash-Wert stellt dann die Prüfsumme dar.
-
In
der hier beschriebenen Ausführungsform ist
die empfangene elektronische Rechnung 1 ferner mittels
einer entsprechenden Signatur S signiert, wobei diese Signatur in
der hier beschriebenen Ausführungsform über die
Transaktionsdaten gebildet wurde, um hierdurch Manipulationen in
den Transaktionsdaten zu erkennen. Zusätzlich oder alternativ kann
gegebenenfalls auch eine Signatur über das gesamte elektronische
Dokument 1 bzw. nur über
die Prüfsumme 3 gebildet
werden. Auch in diesem Fall kann eine entsprechende Manipulation
der Transaktionsdaten bei der Prüfung
der Signatur erkannt werden, denn sowohl der Inhalt des gesamten
Dokuments als auch die Prüfsumme
hängen
von den Transaktionsdaten ab.
-
Wie
bereits oben erwähnt,
wird die elektronische Rechnung 1 im Personal Computer 4 des
Benutzers empfangen, wie durch den Schritt S1 in 1 angedeutet
ist. In der hier beschriebenen Ausführungsform wird dann zunächst die
Authentizität der
entsprechend mit der Signatur S signierten Daten im Endgerät überprüft. Wird
dabei die Authentizität der
signierten Daten festgestellt, wird das Verfahren fortgesetzt. Ansonsten
wird das Verfahren unterbrochen bzw. dem Benutzer eine entsprechende
Warnmeldung ausgegeben, welche ihn darüber informiert, dass die elektronische
Rechnung manipuliert wurde.
-
Zur
Signaturprüfung
kann beispielsweise eine PKI-Infrastruktur (PKI = Public Key Infrastructure)
verwendet werden, bei der mittels eines öffentlichen Schlüssels des
Rechnungsstellers, der von einer Zertifizierungsinstanz bereitgestellt
wird und über das
Endgerät
abgerufen werden kann, die Signatur verifiziert wird. Die Signatur
selbst wird mit einem entsprechenden privaten Schlüssel des
Rechnungsstellers generiert. Dabei wird beispielsweise ein Hash-Algorithmus
auf die zu signierenden Daten angewendet und aus dem Hash-Wert mittels
des geheimen Schlüssels
des Rechnungsstellers die Signatur S generiert, die an die Rechnung
angehängt
wird. Die Signatur S kann dann wiederum mit dem entsprechenden öffentlichen
Schlüssel
des Rechnungsstellers in den ursprünglichen Hash-Wert umgewandet
werden. Dieser Hash-Wert wird dann mit demjenigen Hash-Wert verglichen
werden, der aus den signierten Daten mit dem gleichen Hash-Algorithmus
gebildet wird, der auch beim Signieren verwendet wurde. Stimmen
die beiden Hash-Werte überein,
sind die signierten Daten authentisch.
-
Anstatt
auf eine PKI-Infrastruktur mit einer Zertifizierungsinstanz zurückzugreifen,
besteht auch die Möglichkeit,
dass der entsprechende öffentliche Schlüssel des
Rechnungsstellers dezentral bereits vorab in dem Personal Computer 4 des
Benutzers hinterlegt ist und zur Authentizitätsprüfung der signierten Daten verwendet
wird. Hierdurch entfällt
die Übermittlung
eines entsprechenden Fingerprints an den Benutzer. Dieser Fingerprint
dient zum Auffinden des öffentlichen
Schlüssels
bei der Zertifizierungsinstanz. Bei der Überprüfung der Signatur kann dabei beispielsweise
ein entsprechendes Secure Element, z. B. eine Chipkarte oder ein
Token, eingesetzt werden, das mit dem Endgerät verbunden wird und den entsprechenden öffentlichen
Schlüssel
zur Überprüfung der
Signatur enthält.
-
Die
oben beschriebenen Schritte, mit denen eine entsprechende Signatur über Daten
der Rechnung überprüft wird,
sind optional. Gegebenenfalls kann das Verfahren auch ohne eine
vorgeschaltete Überprüfung einer
Signatur durchgeführt
werden. Es ist somit nicht zwingend erforderlich, dass die Rechnung
signiert ist. Durch die Verwendung einer entsprechenden Signatur
wird jedoch die Sicherheit des Verfahrens verbessert.
-
Der
Benutzer, der nunmehr die Überweisung basierend
auf der elektronischen Rechnung 1 ausführen möchte, gibt über eine entsprechende Benutzerschnittstelle 6,
welche auf einem Bildschirm 5 seines Personal Computers 4 angezeigt
wird, die zur Durchführung
der Überweisung
erforderlichen Transaktionsdaten ein. Die Benutzerschnittstelle
ist dabei eine entsprechende Eingabemaske, beispielsweise innerhalb
eines entsprechendes Browser-Fensters, welches über die
Internet-Seite der Bank des Benutzers aufgerufen wird, wobei sich
der Benutzer zuvor mit einer Identifikation und einer Geheimnummer
bei der Bank eingeloggt hat.
-
Nachdem
der Benutzer die Transaktionsdaten aus dem elektronischen Dokument 1 in
einen entsprechenden Eingabebereich 7 in der Eingabemaske 6 übertragen
hat, berechnet der Personal Computer 4 aus diesen Transaktionsdaten
mit der gleichen Rechenvorschrift, wie die Prüfsumme 3 im Dokument 1 erzeugt
wurde, eine entsprechende zweite Prüfsumme. Diese zweite Prüfsumme wird
dem Benutzer in einem Ausgabebereich 8 in der Eingabemaske 6 auf dem
Bildschirm 5 angezeigt. Sollten dem Benutzer bei der manuellen
Eingabe der Transaktionsdaten Fehler unterlaufen sein, stimmt die
zweite Prüfsumme
nicht mit der ursprünglichen
Prüfsumme 3 überein,
welche im Folgenden auch als erste Prüfsumme bezeichnet wird. Dies
kann ein Benutzer nunmehr durch Vergleich der Prüfsumme 3 mit der im
Ausgabebereich 8 angezeigten Prüfsumme überprüfen. Auf diese Weise wird der
Benutzer in einfacher Weise vor fehlerhaften Eingaben bei der Durchführung der Transaktion
geschützt.
Sollte somit keine Übereinstimmung
zwischen der ersten und zweiten Prüfsumme vorliegen, wird der
Benutzer auf eine fehlerhafte Eingabe hingewiesen, die er nunmehr
korrigieren kann.
-
Anschließend erfolgt
wiederum basierend auf den korrigierten Transaktionsdaten die Berechnung
einer zweiten Prüfsumme,
die der Benutzer dann nochmals auf Übereinstimmung mit der ersten Prüfsumme 3 überprüfen kann.
Sollte dann eine Übereinstimmung
vorliegen, kann der Benutzer die eigentliche Ausführung der
Transaktion durch eine entsprechende Benutzerinteraktion an seinem
Personal Computer veranlassen, woraufhin die Transaktionsdaten,
auf welche der Server der Bank des Benutzers 9 über die
Eingabemaske Zugriff hat, von dem Server verarbeitet werden. Dies
wird durch den Schritt S2 in 1 angedeutet.
Das Auslösen
bzw. Veranlassen der Transaktion erfolgt dabei beispielsweise dadurch,
dass der Benutzer dazu aufgefordert wird, zur Bestätigung der Überweisung
eine entsprechende TAN-Nummer einzugeben. Sofern die richtige TAN-Nummer
durch den Benutzer eingegeben wurde, wird dann die Transaktion durch
die Bank des Benutzers durchgeführt
und der entsprechende Überweisungsbetrag
an den Rechnungssteller überwiesen.
-
Mit
dem soeben beschriebenen Verfahren werden Fehler bei der Eingabe
entsprechender Überweisungsdaten
im Vorfeld vermieden. Darüber hinaus
wird eine besonders hohe Sicherheit durch eine entsprechende Überprüfung einer
Signatur erreicht. Gegebenenfalls besteht dabei auch die Möglichkeit,
dass die Signatur nicht – wie
oben beschrieben – im
Endgerät überprüft wird,
sondern erst beim Bankserver, der dann wiederum beispielsweise über eine
entsprechende PKI-Infrastruktur die Authentizität der signierten Daten überprüfen kann.
Vorzugsweise ist die Signatur dabei über die Transaktionsdaten gebildet,
die dem Bankserver vorliegen. Sollten sich die signierten Daten
als nicht authentisch erweisen, wird der Vorgang der Durchführung der Überweisung
unterbrochen und der Benutzer durch die Bank entsprechend informiert.
-
In
einer Abwandlung der oben beschriebenen Ausführungsform des erfindungsgemäßen Verfahrens
kann der Benutzer bei der Eingabe der Transaktionsdaten in den Eingabebereich 7 auch dazu
aufgefordert werden, die erste Prüfsumme 3 der Rechnung 1 einzugeben.
Der Personal Computer führt
dann automatisch eine Überprüfung der Übereinstimmung
der Prüfsumme 3 mit
der entsprechend generierten zweiten Prüfsumme durch. Sollte sich dabei
keine Übereinstimmung
ergeben, wird die Transaktion unterbrochen bzw. der Benutzer darüber informiert,
dass eine fehlerhafte Eingabe vorliegt. Diese Variante hat den Vorteil,
dass die Überprüfung der
Prüfsumme
nicht durch den Benutzer erfolgt, sondern automatisch im Personal
Computer durchgeführt
wird. Hierdurch wird die Gefahr von Fehlern weiter reduziert, welche
beispielsweise dadurch entstehen können, dass der Benutzer einen
Unterschied zwischen der im Bereich 8 angezeigten Prüfsumme und
der Prüfsumme 3 des
Dokuments 1 übersieht.
-
Gegebenenfalls
ist es auch möglich,
dass die vom Benutzer eingegebene Prüfsumme an den Server 9 übermittelt
wird und dort überprüft wird.
Der Server 9 erzeugt dann wiederum aus der Rechenvorschrift,
mit der die Prüfsumme 3 erzeugt
wurde, basierend auf den Transaktionsdaten eine entsprechende zweite
Prüfsumme
und überprüft dann,
ob die erste und zweite Prüfsumme übereinstimmen.
Ist dies nicht der Fall, wird die Transaktion nicht ausgeführt und
der Benutzer darüber
informiert. Die automatische Überprüfung der
Prüfsumme
wird in dieser Variante der Erfindung somit vom Personal Computer des
Benutzers hin zu dem entsprechenden Server der Bank verlagert. Im
Hinblick auf den Benutzerkomfort ist eine Überprüfung der Prüfsumme lokal im Personal Computer
des Benutzers besser. Eine verbesserte Sicherheit wird jedoch dann
erreicht, wenn durch den Bankserver 9 die Überprüfung der
Prüfsumme
erfolgt. Hierdurch wird das Verfah ren vor Angriffen basierend auf
Viren bzw. Trojanern auf dem lokalen Personal Computer des Benutzers
geschützt.
-
Die
oben beschriebenen Ausführungsformen des
erfindungsgemäßen Verfahrens
wurden anhand einer Überweisung
basierend auf einer elektronischen Rechnung beschrieben. Das erfindungsgemäße Verfahren
lässt sich
jedoch auch analog auf Papierrechnungen anwenden, welche dem Benutzer
per Post zugestellt werden und zum Schutz gegen Eingabefehler auch
eine entsprechende Prüfsumme
enthalten, die mit einer entsprechenden Rechenvorschrift generiert
wurde.
-
Es
ist besonders vorteilhaft, wenn die Prüfsumme bereits in der Rechnung
enthalten ist. Denkbar ist es aber auch, die Prüfsumme anhand der Rechnungsinhalte
erst beim Benutzer zu erstellen. Wenn die Rechnung keine Prüfsumme 3 enthält, werden
im PC 4 die rechnungsrelevanten Daten 2 bestimmt
und daraus die entsprechende Prüfsumme 3 ermittelt.
Vorzugsweise liegt die Rechnung in diesem Fall elektronisch vor.
Eine Papierrechnung könnte
jedoch mittels Scanner u. OCR(optical character recognition)-Software digitalisiert
werden.
-
Die
Erfindung basierend auf den soeben beschriebenen Varianten weist
eine Reihe von Vorteilen auf. Durch die manuelle oder maschinelle Überprüfung von
Prüfsummen
werden bei der Übertragung von
Daten aus Papierdokumenten bzw. elektronischen Dokumenten auf ein
Endgerät
bzw. einen Personal Computer Eingabefehler vermieden.
-
Die
Sicherheit des Verfahrens kann durch das Signieren der entsprechenden
Transaktionsdaten zusätzlich
erhöht
werden, da durch eine Prüfung der
Signatur sichergestellt werden kann, dass keine Manipulation der
Transakti onsdaten stattgefunden hat. Dies ist insbesondere bei neuen
oder flüchtigen Geschäftspartner
und bei Auslandsüberweisungen hilfreich,
da der Benutzer hier keine Möglichkeit
hat, die in der Rechnung enthaltenen Daten von sich aus zu überprüfen.
-
Ein
zusätzlicher
Vorteil bei einer Überprüfung der
Signatur von Transaktionsdaten beim Bankserver besteht darin, dass
die Transaktion hierdurch gegenüber
Trojanern abgesichert ist, die sich auf dem Endgerät bzw. dem
Personal Computer des Benutzers eingeschlichen haben. Dies liegt
daran, dass in dem System jede Veränderung der Transaktionsdaten,
die durch den Trojaner durchgeführt
wird, aufgrund der Überprüfung der
Signatur erkannt wird.