Von Microsoft im Internet-Explorer 3.0 eingeführtes Sicherheitsfeature, das die Echtheit von Software, die über das Internet transportiert wird, sicherstellen soll. Softwareentwickler versehen Ihre Programme mir einer digitalen Unterschrift, anhand derer der Anwender den Ursprung der Software erkennen und dann entscheiden kann, ob er das Programm ausführen will. Authenticode eignet sich für ActiveX, Java-Applets sowie herkömmliche Programme. Technisch basiert Authenticode auf X.509-Zertifikaten und den Signaturmechanismen PKCS #7 und #10.

Die von Brokat entwickelte Technologie zum Online-Banking wird von rund zehn Banken eingesetzt, darunter die Bank 24 und Advance Bank. Das Brokat-System setzt sich aus verschiedenen Komponenten zusammen, wobei der Client auf Java basiert und auf gängigen Web-Browsern läuft.

Cookies:

Cookies sind kleine Informationspakete, die ein Web-Server zum Browser sendet und dieser bei zukünftigen Anfragen an den Server zurückschickt. Der Browser mekt sich die Cookies in einer Datei - das erlaubt es dem Server, einen Zusammenhang zwischen Besuchen an verschiedenen Tagen herzustellen. So lassen sich individuelle Informationen für den Besucher zusammenstellen.

Cyberbucks:

Statt aus Metall oder Papier soll Geld in Zukunft aus Bits und Bytes bestehen. Im Internet erproben einige Tausend Pioniere bereits die Zukunft des digitalen bargeldlosen Geldverkehrs. Elektronisches Bargeld, genannt "ecash" bringt die US-Firma DigiCach in Umlauf. Dabei hebt der Kunde zunächst Geld bei einer regulären Bank ab, das er als "Cyberbucks" auf seinem Computer speichert. Kauft er im Internet bei einem an dem "ecash"-Modellversuch beteiligten Unternehmen ein, werden diese digitalen Münzen als anonymes Zahlungsmittel verbraucht. Ein kompliziertes Verschlüsselungsverfahren soll einen Diebstahl des Geldes verhindern.

Cybercoins:

Mit dem Digital-Geld von CyberCash lassen sich erstmals Kleinstbeträge abrechnen. Das Online-Zahlungssystem basiert auf einer elektronischen Brieftasche, die per Kreditkarte gefüllt wird. Verschlüsselungssoftware soll vor Hackerattacken schützen.

HBCI:

HBCI wurde von Spitzengremien der deutschen Bankorganisationen definiert und vom zentralen Kreditausschuß (ZKA) Ende 1996 verabschiedet. Unter der Bezeichnung PIN (Protected Internet) läuft seit Anfang des Jahres 97 bei der Raiffeisen-Volksbank Mainz eine erste, von der Firma Faktum entwickelte HBCI-Implementierung.

IP-Spoofing:

Zugriffberechtigungen im Internet sind häufig von der IP-Adresse des Absenders abhängig. Das IP-Spoofing basiert nun im wesentlichen darauf, daß ein Angreifer IP-Pakete mit falscher Absenderadresse in ein System einschleust. Das Sicherheitssystem stuft die gefälschte Adresse als vertrauenswürdig ein und startet den entsprechenden Dienst.

MECHIP:

Eine höchstmögliche Datensicherheit bereits auf Client-Seite soll die hardware-basierende Datenkodierung über den MeChip von ESD bieten, die derzeit von der Sparda-Bank Hamburg eingesetzt wird. Der MeChip wird zwischen Tastatur und PC geschaltet und verschlüsselt alle Eingaben. Über die parallele Schnittstelle werden die Daten an den PC geleitet und ins Netz geschickt.

Open Financial Exchange:

Microsoft, Intuit und Checkfree haben zusammen eine Spezifikation für bargeldlosen Zahlungsverkehr im Internet vorgestellt: Open Financial Exchange ist ein Vorschlag an Banken, Firmen und Privatnutzer, eine einheitliche Datenplattform für bestimmte Finanztransaktionen zu etablieren. Dazu gehören Überweisungen von Konto zu Konto sowie Investmenttransaktionen wie Wertpapierkäufe und Devisengeschäfte. Über 50 große Finanzinstitute, so berichten die drei Unternehmen, sollen sich dem Vorschlag schon angeschlossen haben. Weitere Dienstleister sollen gewonnen werden, damit auch Versicherungs- und Steuerdaten in die Transaktionen mit einbezogen werden können.

PCT, STLP und TLS:

Aufbauend auf SSL hat Microsoft ein weiteres Verschlüsselungsprotokoll entwickelt, das den Namen Private Communications Technology (PCT) trägt. Mit dem Secure Transport Layer Protocol (STLP) will Microsoft SSL und PCT nun zusammenführen.

PGP (Pretty Good Privacy):

Bei Pretty Good Privacy (PGP) handelt es sich um ein Public-Key-Verfahren (kombiniert mit einer symmetrischen IDEA-Kodierung), das primär zur E-Mail-Verschlüsselung genutzt wird. Im Gegensatz zu den von RSA bereitgestellten Public-Key-Algorithmen benutzt PGP erheblich größere Schlüssel, die durch eine Brut-Force-Attacke in absehbarer Zukunft definitiv nicht knackbar sind. Allerdings: Offiziell dürfen Produkte mit PGP-Verschlüsselung nicht aus den USA exportiert werden. Hinzu kommt, daß PGP kein formalisiertes Verfahren zur Verwaltung der öffentlichen Schlüssel kennt - im Gegensatz zu S/MIME, das zu diesem Zweck auf X.509 baut.

Secure HTTP:

Im wesentlichen ergänzt das S-HTTP-Protokoll die von HTTP bekannten Header um die zur Verschlüsselung benötigten Parameter. Dabei bietet S-HTTP weitestgehende Flexibilität bei der Wahl der Verschlüsselungsverfahren sowie beim Key-Management. Heute nur selten anzutreffen.

Secure MIME (S/MIME):

Von RSA in Zusammenarbeit mit anderen Firmen bereits 1995 vorgeschlagener Standard zur E-Mail-Verschlüsselung. S/MIME setzt auf MIME (Multipurpose Internet Mail Extension) auf und läßt sich dadurch vergleichsweise einfach in vorhandene Mail-Produkte integrieren. Die S/MIME-Verschlüsselung basiert auf RSA als asymmetrisches Verfahren, als symmetrisches Verfahren sind DES, Triple-DES und das problemlos aus den USA exportierbare RC2 vorgesehen. S/MIME bietet neben der Verschlüsselung auch einen Authentifizierungsmechanismus, der auf X.509 aufbaut.

SET (Secure Electronic Transaction):

Für den elektronischen Zahlungsverkehr sind weitergehende Sicherheits-Mechanismen erforderlich: So sollte zum Beispiel festgelegt sein, wie sich Händler und Kunde gegenüber einander indentifizieren und in welchem Format Zahlungsdaten wie Kreditkartennummern übermittelt werden. Auf der Suche nach einer Lösung dieses Problems haben die Kreditkartengesellschaften Visa und Mastercard zusammen mit Microsoft und Netscape das Secure-Transaction-Protokoll (SET) entwickelt. Technisch basiert SET auf einer Kombination einer asymmetrischen RSA-Kodierung und einer symmetrischen Verschlüsselung.

SmartCard:

Die Zukunft sehen Experten in universellen Bankkarten nach Muster der EC-Karte, die zum Online-Shoppen einfach in ein Lesegerät am Computer gesteckt werden.

SSL (Secure Socket Layer):

SSL, eine Entwicklung der Firma Netscape, schaltet sich zur Verschlüsselung der Daten zwischen den IP-Layer und die TCP-Schicht. SSL unterstützt eine ganze Reihe von Verschlüsselungsverfahren. Die Kommunikation via SSL basiert auf einem Public-Key-Verfahren und der anschließenden Verwendung von Session Keys: Vereinfacht gesagt, sendet der Server auf Anforderung durch den Client ein X.509-Zertifikat, das den Public-Key des Servers enthält sowie über die vom Server unterstützten Verschlüsselungsverfahren informiert. Der Client erzeugt daraufhin einen Session Key, den er mit dem Public-Key des Servers verschlüsselt an diesen zurückschickt. Alle folgenden Datenübertragungen zwischen Client und Server werden mit dem ausgehandelten Session Key verschlüsselt. Im Browser erkennt man diese gesicherte Datenübertragung unter der Anzeige "https://www...." in der URL.

TAN:

Um die Verbindlichkeit einer Transaktion sicherzustellen, hat sich beim Online-Banking die Verwendung sogenannater Transaktionsnummern (TANs) durchgesetzt, die jeweils nur für eine Transaktion gültig sind. Moderne Systeme generieren diesen Schlüssel selbstständig. Eine verschlüsselte Übertragung stellt die Vertraulichkeit sicher.

Warenkorbsystem:

Mit Hilfe eines Warenkorbsystems kann der Besucher eines Online-Shops die Produkte, die er kaufen möchte ähnlich wie im Supermarkt in einen virtuellen Einkaufskorb legen und am Ende des Einkaufs eine Summe aller Artikel und Preise zur Bestellung absenden.