Studie: Mobile Commerce per WAP zu unsicher

Die Verbraucher sollten die zahlreichen zur CeBIT vorgestellten neuen Dienste für mobiles E-Commerce nur mit äußerster Zurückhaltung nutzen, weil diese nicht sicher genug seien. Zu diesem Schluss kommt eine Studie der Marktforschungs- und Beratungsgesellschaft Giga Information Group. Die Berater kritisieren, dass die überwiegende Mehrzahl der neuen WAP-Services, vom Handy-Shopping bis zur Hotelbuchung, weder mit einer digitalen Unterschrift noch mit einem sicheren Verschlüsselungsverfahren arbeiten.

Dabei könne die aktuelle Norm WAP 1.2 problemlos digitale Signaturen lesen, die auf GSM-Telefonkarten der jüngsten Generation abgelegt sind. Die WAP-Endgeräte, typischerweise Handys oder Organizer, benötigen die GSM-Karte ohnehin, argumentiert Giga. Voraussetzung sei, dass die Telefonkarte mit einem SIM Application Toolkit (SAT) gemäß GSM-Standard 11.11 und 11.14 ausgerüstet ist, das die elektronische Unterschrift aufnimmt und mit Public-Key-Verschlüsselung arbeitet.

Bei sicheren Transaktionen sendet der Online-Shop dann eine Kurznachricht (SMS) an das WAP-Handy, beispielsweise mit Bestelldaten, die nach Eingabe einer PIN-Nummer durch den Käufer mit der SAT-Signatur auf der GSM-Karte bestätigt wird. Da nur der Besitzer der SIM-Karte den PIN-Code kennt, sei ein Missbrauch damit technisch weitgehend ausgeschlossen, heißt es in der Studie. (ad)