S i c h e r u n g v o n T r a n s a k t i o n s d a t e n
Die vorliegende Erfindung betrifft ein Verfahren auf einem portablen Datenträger zum Sichern von Transaktionsdaten, ein entsprechendes Verfahren auf einer einen portablen Datenträger umfassenden Transaktionsanordnung sowie einen derartigen portablen Datenträger und eine Transaktionsanordnung.
Transaktionsdaten, die von einem Endgerät eines Benutzers, beispielsweise seinem Personalcomputer, Notebook, PDA, Mobilfunkendgerät oder dergleichen, an einen Transaktionsserver einer Bank oder eines sonstigen Dienstanbieters, wie z.B. einem Online-Shop oder dergleichen, übertragen werden, werden zumeist durch eine separate Transaktionsbestätigung durch den Benutzer gesichert, z.B. indem er eine dem Transaktionsserver vorliegende Transaktionsnummer (TAN) angibt. Bei Verwendung einer so genannte Mo- bile-TAN (mTAN) erhält der Benutzer eine mTAN über ein Mobilfunknetz per Kurznachricht (SMS) und schickt diese zur Bestätigung der Transak- tionsdaten über sein Endgerät an den Transaktionsserver zurück.
In diesem Zusammenhang offenbart beispielsweise die WO 2008/046575 Al eine Chipkarte mit Webserver, die einen ersten Datenkommunikationskanal für die Übertragung der Transaktionsdaten an einen Transaktionsserver verwendet und eine Transaktionsbestätigung über einen zweiten Datenkommunikationskanal, beispielsweise über ein Mobilfunknetz, überträgt. DE 102004 046 847 Al offenbart ein vergleichbares Verfahren, bei dem von einem Benutzer zu bestätigende Transaktionsdaten über einen Datenkommunikationskanal angezeigt und über einen anderen Datenkommunikati-
onskanal mit einer aus den Transaktionsdaten ableitbaren Transaktionsbestätigung bestätigt werden, damit der Transaktionsserver die Transaktionsdaten mit der Transaktionsbestätigung abgleichen kann.
Bei den genannten Verfahren benötigt jeder Dienstanbieter eine geeignete Infrastruktur, die ein Erzeugen und Verwalten von Transaktionsbestätigungen bzw. zumindest ein Verifizieren der Transaktionsbestätigungen erlaubt und die Datenkommunikation über die benötigten beiden Datenkommunikationskanäle ermöglicht - also in der Regel einerseits über das Internet und andererseits über ein Mobilfunknetz. Demzufolge muss der Benutzer eine Vielzahl von verschiedenen individuellen Bestätigungsverfahren der jeweiligen Dienstanbieter berücksichtigen.
Zur Absicherung der eigentlichen Übertragung der Transaktionsdaten von einem prinzipiell unsicheren Endgerät (z.B. einem öffentlich zugänglichen Computer in einem Internet-Cafe oder in einer öffentlichen Einrichtung) an den Transaktionsserver über eine unsichere Datenkommunikationsverbindung, wie z.B. das Internet, ist ferner bekannt, mittels einem an das Endgerät anschließbaren portablen Datenträger eine gesicherte Datenkommunika- tionsverbindung zu dem Transaktionsserver bereitzustellen. Dies wird beispielsweise durch eine „Internet Smart Card" verwirklicht, die über eine USB-Schnittstelle an das Endgerät anschließbar ist und die gesamte Datenkommunikation zu und von dem Transaktionsserver über das Internet als transparentes Sicherheitsmodul des Endgeräts kryptographisch absichert.
Es ist die Aufgabe der vorliegenden Erfindung, ein Verfahren zur Sicherung von Transaktionsdaten durch eine Transaktionsbestätigung des Benutzers vorzuschlagen, welches unabhängig von einem Dienstanbieter bzw. Betreiber eines Transaktionsservers ist.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren sowie einen portablen Datenträger und eine Transaktionsanordnung mit den Merkmalen der unabhängigen Ansprüche gelöst. Die davon abhängigen Ansprüche be- schreiben vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung.
Erfindungsgemäß wird eine Referenztransaktionsbestätigung, die von einem Benutzer zur Bestätigung von in ein Endgerät eingegebenen Transaktionsdaten anzugeben ist, von einem portablen Datenträger erzeugt und verifiziert, der mit dem Endgerät des Benutzers verbunden ist und die Transaktionsdaten von diesem entgegennimmt, um sie sicher an den Transaktionsserver weiterzuleiten. Dazu erzeugt der Datenträger die Referenztransaktionsbestätigung beispielsweise in Form einer Transaktionsnummer (TAN) oder einer ähnlichen alphanumerischen Zeichenkette und leitet die von dem Endgerät entgegengenommenen Transaktionsdaten nur dann zur Ausführung durch den Transaktionsserver weiter, wenn eine Vergleichstransaktionsbestätigung, die der Datenträger von dem Endgerät entgegengenommen hat, mit der Referenztransaktionsbestätigung übereinstimmt.
Da die Referenztransaktionsbestätigung demgemäß nicht von dem Transaktionsserver bzw. einer entsprechenden Infrastruktur des betreffenden Dienstanbieters erzeugt und verifiziert wird, sondern von dem portablen Datenträger des Benutzers selbst, entfällt jeder diesbezügliche technische und organisatorische Aufwand auf Seiten des den Transaktionsserver betreibenden Dienstanbieters, der üblicherweise im Zusammenhang mit der Bereitstellung einer Infrastruktur zur Transaktionsbestätigung anfällt. Für den Benutzer hat das anbieterunabhängige Bestätigungsverfahren den Vorteil, dass es prinzipiell zur Bestätigung von Transaktionsdaten für beliebige Transaktionsserver einsetzbar ist, da die Nutzung des Bestätigungsverfahren für den jeweiligen
Transaktionsserver vollständig transparent bleibt. Der Benutzer kann also die Übertragung der Transaktionsdaten selbst absichern und muss sich nicht mehr ausschließlich auf ein serverseitiges Bestätigungsverfahren verlassen. Die erfindungsgemäße Lösung ist deshalb insbesondere kompatibel mit be- stehenden Lösungen zur Transaktionsdatenbestätigung und bedarf keinerlei Anpassungen auf Seiten des Transaktionsservers.
Vorzugsweise wird die von dem Datenträger erzeugte Referenztransaktionsbestätigung für den Benutzer auf einer separaten Anzeigeeinheit angezeigt, die unterschiedlich von einer Anzeigeeinheit des Endgeräts ist. Dazu wird zur Übertragung der Referenztransaktionsbestätigung an diese separate Anzeigeeinheit ein Datenkommunikationskanal eingesetzt, der verschieden von dem Datenkommunikationskanal zwischen dem Datenträger und dem Endgerät ist. Vorzugsweise ist der Datenträger über eine kontaktbehaftete Schnittstelle, z.B. eine USB-Schnittstelle oder dergleichen, mit dem Endgerät als peripheres Speichermedium, z.B. als USB-Token, Smart Card oder dergleichen, verbunden, während die erzeugte Referenztransaktionsbestätigung über ein Mobilfunknetz an ein Mobilfunkend gerät des Benutzers übertragen wird, z.B. als Kurznachricht, um die Referenztransaktionsbestätigung auf einem Display des Mobilfunkendgeräts für den Benutzer erkennbar anzuzeigen. Der Benutzer liest dann die angezeigte Referenztransaktionsbestätigung von dem Display ab und gibt sie als Vergleichstransaktionsbestätigung in das Endgerät ein, welches die Vergleichstransaktionsbestätigung über die vorzugsweise kontaktbehaftete Schnittstelle zum Vergleich mit der Referenz- transaktionsbestätigung an den Datenträger weitergibt.
Gemeinsam mit der Referenztransaktionsbestätigung werden vorzugsweise auch die zu bestätigenden Transaktionsdaten an das Mobilfunkendgerät des Benutzers übertragen und auf dessen Anzeigeeinheit angezeigt, um so dem
Benutzer die Bestätigung der Richtigkeit der Transaktionsdaten durch Eingabe der Vergleichstransaktionsbestätigung in das Endgerät zu ermöglichen. Die zu bestätigenden Transaktionsdaten können dem Benutzer vollständig, auszugsweise oder in zusammengefasster Form angezeigt werden.
Der Datenträger sichert jegliche Datenkommunikation zu und von dem Transaktionsserver, insbesondere die Übertragung von Transaktionsdaten, z.B. durch Unterstützung eines geeigneten Sicherheitsprotokolls ab, z.B. SSL/ TLS oder dergleichen. Zusätzlich kann auch eine sichere Datenkommu- nikation zu und von dem Endgerät unterstützt werden, was insbesondere die von dem Benutzer in das Endgerät eingegebenen Transaktionsdaten und die Vergleichstransaktionsbestätigung betrifft. Dadurch werden Angriffe durch Schadcode, z.B. Viren oder Trojaner, verhindert, die andernfalls eine Datenkommunikation abhören und für Betrugsversuche verwenden können.
Zusätzlich unterstützt der Datenträger eine Datenkommunikation zu dem Mobilfunkendgerät des Benutzers, ist also beispielsweise in der Lage, Kurznachrichten mit der erzeugten Transaktionsbestätigung und gegebenenfalls den Transaktionsdaten an das Mobilfunkgerät bzw. dessen Mobilfunkkarte zu übertragen. Alternativ zu der üblichen Datenkommunikation über ein Mobilfunknetz kann auch ein anderer, vorzugsweise kontaktloser Datenkommunikationskanal zu dem Mobilfunkgerät aufgebaut und genutzt werden, z.B. über NFC (Nahfeldkommunikation), RFID (Funkgestützte Identifikation), WLAN (drahtloses Nahbereichsnetz), Bluetooth, Infrarot, GPRS (pa- ketorientierte Übertragung über ein Mobilfunknetz) oder über ein beliebiges anderes kontaktloses oder kontaktbehaftetes Verfahren.
Ein erfindungsgemäßer Datenträger umfasst neben der vorzugsweise kontaktbehafteten Datenkommunikationsschnittstelle zu dem Endgerät und der
vorzugsweise kontaktlosen Datenkommunikationsschnittstelle zu dem Mo- bilf unkendgerät eine Steuereinrichtung, die die Datenkommunikation mit dem Endgerät und dem Mobilfunkendgerät steuert, also insbesondere Transaktionsdaten von dem Endgerät entgegennimmt und an den Transakti- onsserver weiterleitet und die Referenz- und Vergleichstransaktionsbestätigung überträgt bzw. entgegennimmt.
Ferner umf asst der Datenträger einen mit der Steuereinrichtung in Wechselwirkung stehenden Webserver, der von dem Endgerät angeforderte Websei- ten auf einem Browser des Endgeräts sicher und in geeigneter Weise bereitstellt. Hierbei erkennt der Webserver insbesondere, dass eine von dem Endgerät angeforderte und auf dessen Browser anzuzeigende Webseite eine Transaktionswebseite eines Transaktionsservers ist, die Eingabefelder zur Eingabe von schützenswerten Transaktionsdaten umfasst. Derartige Trans- aktionswebseiten werden von dem Webserver zur Anzeige durch einen
Browser des Endgeräts geeignet aufbereitet, beispielsweise indem versteckte (HTML- oder sonstige) Daten aus der Transaktionswebseite entfernt werden, mit denen Sicherheitsgefährdungen des Endgeräts bzw. der zu schützenden Transaktionsdaten verbunden sein könnten. In ähnlicher Weise kann der Webserver weitere HTML-Daten oder Inhalte der angeforderten (Transaktions-) Webseite zur Darstellung auf dem Browser verändern oder anpassen, z.B. Werberbanner entfernen, Hinweise an den Benutzer oder Links einblenden, weitere Schalt- und Steuerelemente einfügen, die dem Benutzer weitere Optionen im Zusammenhang mit der gewünschten Transaktion bieten, oder dergleichen.
Ebenso kann der Webserver die Ausführung des erfindungsgemäßen Bestätigungsverfahren von dem Inhalt der angeforderten (Transaktions-) Webseite abhängig machen, z.B. indem das Bestätigungsverfahren immer dann ausge-
führt wird, wenn die betreffende (Transaktions-) Webseite bestimmte Eingabedaten abfragt, z.B. einen Geldbetrag, eine Kontoverbindung, persönliche Angaben des Benutzers oder dergleichen. Auf diese Weise kann das erfindungsgemäße Bestätigungsverfahren z.B. bei allen geschäftlichen oder da- tenschutzrechtlich relevanten Vorgängen automatisch eingeleitet werden, z.B. bei Bestellungen bei einem Online-Shop, Banküberweisungen, Registrierungen mit persönlichen Daten oder dergleichen. Andere, von dem Webserver für nicht schützenswert erachtete Eingabedaten in eine auf dem Browser anzuzeigende (Transaktions-) Webseite können dann ohne separate Transak- tionsbestätigung an den Transaktionsserver weitergeleitet werden. Auch kann der Webserver in eine auf dem Browser anzuzeigenden (Transaktions-) Webseite ein von dem Benutzer aktivierbares Schaltelement integrieren, über das der Benutzer das erfindungsgemäße Bestätigungsverfahren selbständig initiieren kann, sofern er in eine (Transaktions-) Webseite einzugebende Ein- gabedaten separat bestätigen möchte, z.B. bei persönlichen Angaben, wie z.B. Adresse oder dergleichen. Auf diese Weise liegt die Verantwortung für Transaktionsbestätigung (auch) bei dem Benutzer.
Schließlich kann der Webserver die Referenztransaktionsbestätigung abhän- gig von den eingegebenen Transaktionsdaten, von sonstigen Eingabedaten oder von dem Inhalt der (Transaktions-) Webseite erzeugen, z.B. als Hash- Wert über den HTML-Code der Webseite, um eine möglichst individuelle Referenztransaktionsbestätigung zu erhalten.
Auf die beschriebene Weise können prinzipiell beliebige Datenübertragungen von einem Endgerät an einen Transaktionsserver im Internet durch eine separate Transaktionsbestätigung geschützt werden, wie z.B. auch über den Browser erstellte E-Mails oder dergleichen. Insbesondere kann der portable Datenträger ein beliebiger an ein herkömmliches Endgerät anschließbarer
Datenträger sein, z.B. ein USB-Token oder eine über einen Chipkartenleser mit dem Endgerät verbundene Chipkarte bzw. Smart Card. Insbesondere kann der portable Datenträger auch eine Mobilfunkkarte sein, die in das Mo- bilfunkendgerät des Benutzers eingesetzt wird und mit dem Endgerät über ein Mobilfunknetz in Datenkommunikation tritt, während eine kontaktbehaftete Schnittstelle zu dem Mobilfunkendgerät zum Anzeigen der erzeugten Referenztransaktionsbestätigung genutzt wird.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgen- den Beschreibung von erfindungsgemäßen Ausführungsbeispielen sowie weiteren Ausführungsalternativen im Zusammenhang mit den Zeichnungen, die zeigen:
Figur 1 ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens; und
Figur 2 eine Transaktionsanordnung mit einem erfindungsgemäßen portablen Datenträger zur Ausführung des Verfahrens nach Fig. 1.
Fig. 1 illustriert den Ablauf eines erfindungsgemäßen Verfahrens als zeitliche Abfolge von Verfahrensschritten, die von einem Benutzer (USER), seinem Endgerät 30 (TERMINAL), z.B. einem Computer, Laptop, PDA, Mobilfunkendgerät oder dergleichen, einem portablen Datenträger 10 (TOKEN), z.B. einem USB-Token, einer USB-Chipkarte, einer Internet-Smart-Card mit USB- oder Schreib-/ Leseschnittstelle oder dergleichen, einem Mobilfunkanbieter (PROVIDER), einem Mobilfunkendgerät 20 (MOBILE) sowie einem von einem Dienstanbieter betriebenem Transaktionsserver 40 (SERVER) ausgeführt werden, um von dem Benutzer in das Endgerät 30 eingegebene Transaktionsdaten mit Hilfe seines Datenträgers 10 und seines Mobilfunkendgeräts 20
zu bestätigen und an den Transaktionsserver 40 zur Ausführung der gewünschten Transaktion weiterzuleiten.
Das Verfahren gemäß Fig. 1 wird auf Seiten des Tokens 10 insbesondere von einer Steuereinrichtung 13 sowie einem Webserver 14 durchgeführt, wobei die Steuereinrichtung 13 Datenkommunikationsverbindungen über eine USB- oder sonstige kontaktbehaftete Schnittstelle 12 zu dem Endgerät 30 und über eine Mobilfunk- oder sonstige kontaktlose Schnittstelle 11 zu dem Mo- bilfunkendgerät 20 herstellt und die entsprechenden Datenkommunikatio- nen gegebenenfalls kryptographisch gesichert durchführt, während der
Webserver 14 Webseiten, die der Benutzer über einen Browser 31 des Endgeräts 30 anfordert, in Wechselwirkung mit der Steuereinrichtung 13 sicher und in geeigneter Weise bereitstellt und in die Webseite eingegebene Transaktionsdaten an den Transaktionsserver 4 weiterleitet.
Das in Fig. 1 skizzierte Verfahren ist in Fig. 2, die eine einen USB-Token 10, das Mobilfunkendgerät 20, das Endgerät 30 sowie den Transaktionsserver 40 umfassende Transaktionsanordnung zeigt, noch einmal als durch Pfeile veranschaulichtes Datenkommunikationsdiagramm dargestellt. Bei den in Fig. 2 gezeigten Einrichtungen 10, 20, 30, 40 der Transaktionsanordnung sind lediglich diejenigen Komponenten dargestellt, die für die Ausführung des Verfahrens der Fig. 1 von Bedeutung sind, also insbesondere die Datenkommunikationsschnittstellen 11, 12, 21, die Steuereinrichtung 13 und der Webserver 14 des Tokens 10, der Browser 31 des Endgeräts 30 und das Anzeigeelement 22 des Mobilfunkendgeräts 20. Weitere selbstverständliche und übliche Komponenten derartiger elektronischer Einrichtungen sind zur vereinfachten Darstellung nicht gezeigt. So umfassen natürlich alle Einrichtungen 10, 20, 30, 40 der Transaktionsanordnung eine Prozessoreinheit und zumindest einen ausreichend großen Speicher. Zusätzlich können auch Anzeige- und
Eingabeeinrichtungen, wie z.B. Bildschirme, Displays, Tastaturen, Keypads, oder dergleichen vorgesehen sein.
Während das Endgerät 30 ein prinzipiell unsicherer Computer ist und inso- fern durch unberechtigt installierten Schadcode, wie z.B. Viren oder Trojaner, gefährdet ist - insbesondere wenn es sich bei dem Endgerät 30 um ein öffentlich zugängliches Terminal handelt -, ist der USB-Token 10 transparent zwischen das Endgerät 30 bzw. seinem Browser 31 und den Transaktionsserver 40 geschaltet und stellt dem Endgerät 30 eine sichere Datenkommunikati- ons Verbindung zu dem Transaktionsserver 40 zu Verfügung, indem sämtliche von dem Endgerät 30 entgegengenommene und über das Internet an den Transaktionsserver 40 weiterzuleitende Datenkommunikation krypto- graphisch gesichert wird, z.B. durch eine Datenverschlüsselung über SSL/ TLS oder ein sonstiges geeignetes Sicherheitsprotokoll. Insofern werden Transaktionsdaten, die ein Benutzer des Endgeräts 30 in eine mit einem
Browser 31 angezeigte, von dem USB-Token 10 bereitgestellte Webseite des Transaktionsservers 40 eingegeben hat, von dem USB-Token 10 unmittelbar übernommen und verschlüsselt an den Transaktionsserver 40 übertragen, so dass eine Manipulation der von dem Endgerät 30 an den Transaktionsserver 40 übertragenen Transaktionsdaten, z.B. durch einen zwischen Token 10 und Transaktionsserver 40 geschalteten Schadcode, ausgeschlossen werden kann.
Zur Ausführung einer Transaktion fordert ein Benutzer des Endgeräts 30 in Schritt Sl zunächst eine entsprechende Transaktionswebseite des Transakti- onsservers 40 über seinen Browser 31 an (REQUEST WEBSITE), wobei die Anforderung von dem Browser 31 an das Token 10 und weiter über das Internet an den Transaktionsserver 40 geleitet wird. Die angeforderte Transaktionswebseite wird von dem Transaktionsserver 40 in Schritt S2 bereitgestellt (PROVIDE WEBSITE), in Schritt S3 von dem Token 10 übernommen und in
Schritt S4 zur Darstellung durch den Browser 31 des Endgeräts 30 aufbereitet (PREPARE WEBSITE).
Die Aufbereitung der angeforderten Transaktionswebseite durch den Web- Server 14 des Tokens 10, der dabei auf einen ebenfalls auf dem Token 10 installierten XML-Parser zurückgreift, hat das Ziel, dem Browser 31 eine dien- stanbieterunabhängige Transaktionswebseite bereitzustellen, indem insbesondere solcher Daten aus dem HTML-Code der Transaktionswebseite entfernt werden, die für die gewünschte Eingabe von Transaktionsdaten nicht benötigt werden oder für diese und die weitere Bearbeitung der Transaktionsdaten sogar schädlich sein könnten. Dazu wird die Transaktionswebseite von dem Webserver 14 analysiert (bzw. „geparst"), indem deren HTML- Code auf derartige nicht erforderliche oder schädliche Anteile mit Hilfe des XML-Parsers durchsucht wird. Insbesondere untersucht der Webserver 14 die Transaktionswebseite in Schritt S4 auf versteckten HTML- oder sonstigen Code, der beispielsweise mit einer Schadsoftware im Zusammenhang steht oder sonstige unerwünschte Effekte auf dem Endgerät 30 hervorruft. Derartiger versteckter Code wird von dem Webserver 14 entfernt, bevor die modifizierte Transaktionswebseite zur Darstellung auf dem Browser 31 in Schritt S5 weitergegeben wird.
Der Webserver 14 analysiert die Transaktionswebseite des Transaktionsservers 40 insbesondere dahingehend, ob sie Eingabe- oder Formularfelder um- fasst, die für die Angabe sicherheitskritischer Transaktions- oder sonstiger Daten eines Benutzer gegenüber dem Transaktionsserver 40 bestimmt sind, um entscheiden zu können, ob eine Interaktion des Benutzers mit einer zum Anzeigen durch den Browser 31 bereitgestellten Transaktionswebseite einer Transaktionsbestätigung bedarf. Falls der Webserver 14 in der Transaktionswebseite Eingabefelder für schützenswerte Transaktionsdaten vorfindet,
z.B. für Banküberweisungen, Kaufgeschäfte oder dergleichen, werden die über den Browser 31 eingegebenen Transaktionsdaten nicht direkt an den Transaktionsserver 40 weitergeleitet, sondern von dem Webserver 14 solange zurückgehalten, bis sie von dem Benutzer separat bestätigt und insofern f rei- gegeben werden.
Sofern in Schritt S4 Eingabefelder für schützenswerte Transaktionsdaten erkannt werden, kann der Webserver 14 alternativ auch ein Schaltelement in die betreffende Transaktionswebseite integrieren, welches von dem Browser 31 angezeigt wird und von dem Benutzer aktiviert werden kann, falls er eine separate Bestätigung für bestimmte einzugebende Transaktionsdaten wünscht. Selbstverständlich kann ein solches Schaltelement auch bei jeder beliebigen anderen Webseite eines beliebigen Internetservers integriert werden, so dass der Benutzer sämtliche Daten, die von dem Browser 31 über den Webserver 14 an einen Internet-Server weitergeleitet werden, bestätigen kann.
Schließlich gibt der Benutzer in Schritt S6 die Transaktionsdaten, welche die von ihm gewünschte Transaktion definieren, in die modifiziert angezeigte Transaktionswebseite in dem Browser 31 ein (SPECIFIY DATA). In Schritt S7 werden die eingegebenen Transaktionsdaten von dem Token 10 entgegengenommen, so dass der Webserver 14 in Schritt S8 die separate Bestätigung der eingegebenen Transaktionsdaten einleiten kann. Sofern der Benutzer eine Bestätigung durch Aktivierung eines integrierten Schaltelements veranlasst hat, wird dies in Schritt S8 von dem Token 10 erkannt. Der Webserver 14 berechnet dann in Abhängigkeit von den zu übertragenden Transaktionsdaten und/ oder von der Transaktionswebseite, über die die Transaktionsdaten weitergeleitet werden, eine Referenztransaktionsbestätigung, z.B. eine TAN oder eine sonstige geeignete alphanumerische Zeichenkette (GENERATE
RTAN), z.B mittels einem Hash- Verfahren oder dergleichen. Auf diese Weise wird sichergestellt, dass die eingesetzte Referenztransaktionsbestätigung hinreichend individualisiert ist und sich nur mit sehr geringer Wahrscheinlichkeit wiederholen kann.
In Schritt S9 wird die von dem Token 10 erzeugte Referenztransaktionsbestätigung über die Mobilfunkschnittstelle 11 des Tokens 10 an eine Mobilfunkschnittstelle 21 des Mobilfunkendgeräts 20 übertragen. Alternativ kann die Referenztransaktionsbestätigung auch gemäß einem anderen geeigneten, vorzugsweise kontaktlosen Datenkommunikations verfahren an das Mobil- funkendgerät 20 übertragen werden, z.B. über Bluetooth, Infrarot oder dergleichen. In Schritt SlO wird die Referenztransaktionsbestätigung schließlich auf einem Display 22 des Mobilfunkendgeräts 20 für den Benutzer erkennbar angezeigt (DISPLAY RTAN). Zusätzlich werden in Schritt SlO auch die Transaktionsdaten auf dem Display 22 des Mobilfunkendgeräts 20 angezeigt (DISPLAY DATA), um dem Benutzer die Überprüfung zu ermöglichen.
Im Wesentlichen zeitgleich mit Schritt S9 übergibt der Webserver 14 in Schritt Sil ein Webformular an das Endgerät 30 zur Darstellung durch des- sen Browser 31 in Schritt S12. Nachdem der Benutzer die Referenztransaktionsbestätigung in Schritt S13 von dem Display 22 abgelesen hat und in Schritt S14 die auf dem Display 22 angezeigten Transaktionsdaten mit denjenigen Transaktionsdaten verglichen hat, die er in Schritt S6 in die Transaktionswebseite eingegeben hat, gibt er in Schritt S15 die auf dem Display 22 angezeigte Referenztransaktionsbestätigung in das über den Browser 31 auf dem Endgerät 30 angezeigte Webformular als Vergleichstransaktionsbestätigung ein (SPECIFY CTAN).
Die von dem Benutzer in Schritt S15 eingegebene Vergleichstransaktionsbestätigung wird in Schritt S16 von dem Token 10 bzw. seinem Webserver 14 entgegengenommen und in Schritt S17 mit der in Schritt S8 erzeugten Referenztransaktionsbestätigung abgeglichen (VERIFY CTAN). Sofern die Refe- renztransaktionsbestätigung mit der Vergleichstransaktionsbestätigung übereinstimmt, werden die somit vom Benutzer bestätigten Transaktionsdaten in Schritt S18 schließlich kryptographisch gesichert über das Internet an den Transaktionsserver 40 übertragen. In Schritt Sl 9 wird schließlich die von den Transaktionsdaten definierte Transaktion von dem Transaktionsserver 40 ausgeführt (PROCESS DATA).
Da das gesamte vorstehend beschriebene Bestätigungsverfahren für den Transaktionsserver 40 transparent ist, d.h. von dem Transaktionsserver 40 nicht zu berücksichtigen ist und von ihm auch nicht bemerkt wird, kann vor der Ausführung der Transaktion durch den Transaktionsserver 40 in Schritt S19 noch eine von Transaktionsserver 40 ausgehende Verifikation bzw. Bestätigung der Transaktionsdaten erfolgen, z.B. über ein herkömmliches TAN- oder mTAN- Verfahren. Da der Benutzer sein Einverständnis mit der Transaktion gegenüber dem Token bereits erklärt hat, kann der Token eine even- tuell von dem Transaktionsserver 40 angeforderte weitere TAN selbst erzeugen und an die Bank senden.