Produktinformationen "CHIPDRIVE ® Time Recording Touch&Go"
Die neue kontaktlose Generation der Zeiterfassung
Neben dem kontaktbehafteten Ein- und Ausstempeln bzw. dem Projektwechsel mit Hilfe einer Chipkarte ermöglicht CHIPDRIVE ® Time Recording Touch & Go nun auch die kontaktlose Erfassung von Mitarbeiterzeiten. Die Daten werden beim Stempeln sofort zum Server übertragen. So haben Sie jederzeit den exakten Überblick über die aktuellen Arbeitszeiten Ihrer Mitarbeiter.
Entscheidender Vorteil ist die einfache Handhabung: Der Mitarbeiter erhält einen so genannten User Chip, die er wie eine Stempelkarte verwendet. Mit dem User Chip berührt er das mit dem Netzwerk verbundene Terminal (CHIPDRIVE® CDO920 DI) und stempelt sich so ein oder aus; das Terminal überträgt alle Stempeldaten direkt zum Server. Das Ganze geschieht innerhalb kürzester Zeit. Problemlos erweiterbar auf mehrere hundert Mitarbeiter!
Komponenten:
CHIPDRIVE® terminal 920 DI ? das ?Stempelgerät? Das Dual Interface-Gerät CHIPDRIVE® terminal 920 DI wird zur Erfassung der Arbeitszeiten eingesetzt. Dabei kann es sowohl kontaktbehaftet mit Chipkarten, als auch kontaktlos mit User Chips verwendet werden. Es wird entweder an der Wand installiert oder mit Hilfe des zusätzlich erhältlichen Standfußes als Tischgerät verwendet. Das Gerät wird über ein Web-Interface konfiguriert und ist über das Netzwerk mit dem Server verbunden. Die Uhrzeit wird regelmäßig mit dem Server abgeglichen. Sollte die Verbindung unterbrochen werden, kann problemlos weitergestempelt werden, da ein lokaler Datenpuffer existiert. Das Gerät verfügt über ein großes Grafik-Display, auf dem neben Datum und Uhrzeit auch die aktuellen Stempeldaten angezeigt werden. Über die Tastatur können Sie individuelle Projektnummern festlegen; dabei erleichtert die einfache Menüführung die Bedienung erheblich. CHIPDRIVE® dual pro (USB), der Dual-Interface-Kartenleser für den PC Dieses Chipkartenlesegerät dient dem Personalisieren der User Chips und der Mitarbeiterkarten. Time Recording Software Zu CHIPDRIVE® Time Recording gehört neben den Hardware-Komponenten auch eine umfassende PC-Software zur Verwaltung und Auswertung der Buchungsdaten. 25 Chipdrive User Chips Jeder Mitarbeiter erhält diesen Chipdrive User Chip und bucht sich damit entsprechend seiner Arbeits- oder Projektzeiten ein und aus.
Sie wollen Chipkarten oder Plastikkarten bedrucken? Verwenden Sie doch einen Kartendrucker / Plastikkartendrucker.
Mit einem Kartendrucker können auch Sie Plastikkarten oder Chipkarten günstig und schnell bedrucken. Mit einem Plastikkartendrucker wie Sie z.B. die Firmen Fargo, Datacard, Nisca, Zebra, Evolis, oder Magicard vertrieben, können Sie Ihre Ausweise personalisieren, nummerieren, codieren und mit Bilddateien versehen.
Mögliche Anwendungsgebiete sind Dienstausweise, Mitarbeiterausweise, Firmenausweise, Kundenkarten, Presseausweise. Zur Abrechnung werden diese bei Bezahlsystemen und Kassensystemen in Katinen, Solarium, Fitnesstudio, Universität, Vending und Ticketing eingesetzt.
Es gibt eine grosse Auswahl an preiswerten, bedienungsfreundlichen und zuverlässigen Druckern für Industrie, Firmen, Gewerbe, sowie für Handel und Vereine.
Für kleinere Kartenmengen sowie bei Plaztzmangel oder beengten Budgets sind kompakte Desktopdrucker zu empfehlen.
Es gibt sowohl Kartendrucker zum einseitigen Druck, als auch für zweiseitigen Druck mit intergrierter Wendestation jeweils als monochrom oder Farbdrucker. Mit modernen Kartendruckern können Sie optional Magnetstreifen, kontaktbehaftete Chipkarten oder berührungslose Chipkarten (RFID Chipkarten) wie z.B. Hitag, Mifare oder Legic kodieren.
Es werden bei Kartendruckern unterschiedliche Druckverfahren verwendet.
1. Kartendrucker mit Thermotransferdruck
Beim Thermotransfer Druckern wird der Druck mittels Hitze und Druck auf die Plastikkarten übertragen.
2. Plastikkartendrucker mit Thermosublimationsdruck
Der Thermosublimationsdruck ist ähnlich dem Thermotransferdruck, nur das hier neben dem einfarbigem Druck auch ein mehrfarbiger Druck möglich ist. Zusammengesetzt aus den Grundfarben Cyan (C), Magenta (M) und Yellow (Y), werden alle Farben zusammengesetzt. Die Farben werden vom Farbband mittels Hitze und Druck auf die Karte übertragen und so auf das Kartenmaterial 'sublimiert'. Auf der Plastikkarte werden die einzelnen Punkte miteinander verschmolzen und bilden so den gewünschten Farbton.
3. Kartendrucker mit Retransferdruck
Beim Retransferdruck kommen mehrzonige Farbbänder nach dem CMYK-Farbsatz zum Einsatz. Der Druck erfolgt aber nicht direkt auf der Karte, sondern wird erst spiegelverkehrt auf einem Retransferband gedruckt(auch Druckfilm genannt). Das Retransferband wird in einem zweiten Arbeitsschritt heiß auf die Karte aufgebracht. Dieses Druckverfahren eignet sich besonders bei kontaktbehafteten Chipkarten, da man hier unabhängig von der Kartenoberfläche der Plastikkarten ist.
Kommentare
In den letzten Monaten häufen sich Presseberichte über die Sicherheit von Mifare Chipkarten.Neue Secur Ausweishüllen schützen die Daten sicher vor unbefugtem Zugriff.Wie sicher sind diese RFID Chipkarten? Können Sie wirklich ohne weiteres kopiert werden und dadurch die Sicherheit von Firmen in Frage stellen? Ist es möglich eine Bezahlkarte nachzumachen und somit den Besitzer zu schädigen?Wenn es tatsächlich möglich ist mit einfachen Mitteln allein im vorbeigehen eine Mifare Chipkarte auszulesen hätte das zur Folge, dass sich jeder unbefugte Zutritt zu Firmeneinrichtungen verschaffen könnte, oder unberechtigt als Zahlkarte zu benutzen.
So hat der Betreiber des landesweiten Bezahlsystems für den Niederländischen Nahverkehr, Trans Link Systems Auszüge einer zuvor geheim gehaltenen Sicherheitsanalyse des berührungslosen Bezahlsystems Mifare veröffentlicht. Hier wurde von den Experten der niederländischen TNO vergestellt, dass die Schwachstellen als auch die beschriebenen Angriffsmöglichkeiten nachvollziebar seien. Mifare Chipkarten ist eines der am meisten verbreiteten RFID-Bezahlsysteme. So diese Chipkarten für Kantinen in Universitäten und als Kundenkarten in für den öffentlichen Personennahverkehr eingesetzt.
Darin kommen die Analysten der niederländischen TNO zu dem Ergebnis, dass sowohl die Ende vergangenen Jahres bekannt gewordenen Schwachstellen als auch die beschriebenen Angriffe nachvollziehbar seien. Mifare Classic ist das derzeit wohl am weitesten verbreitete RFID-Bezahlsystem. Insbesondere in Mensen und als berührungslose Fahr- und Zugangskarten sind die Chips nach Schätzungen weltweit bereits milliardenfach im Einsatz.
Aber es gibt bereits eine zum Patent angemeldete Ausweishülle mit der das unberechtigte auslesen verhindert wird. Dieser neuartige Kartenhalter schützt die Karte sicher. Der Besitzer muss zum auslesen z.B. an einem Leseterminal nur den Kartenhalter kurz öffnen.Ist die Secur Kartenhülle verschlossen, kann der Inhalt nicht gelesen werden.
Kommentare
In München setzt das Gymnasium bei Schulverpflegung und Schulessen auf Mifare Chipkarten
Bei www.mittagessensbestellung.de wählt der Kunde vom internetfähigen PC sein Essen aus und kann mit seiner Kundenkarte an der Essensausgabe sein Essen abholen. Mittels seiner Kundenkarte, auf der lediglich ein Nummerncode gespeichert und mit Foto und Kunden-Nr. versehen ist, legitimiert sich der Kunde an der Essensausgabe. Dabei erscheint auf dem Bild, für Kunde und Ausgabepersonal deutlich ersichtlich, sein Foto, seine Kundenummer und sein ausgewähltes Essen, wenn der Kunden kein Essen bestellt hatte, kann das Essen auch Spontan vor Ort eingebucht werden. Ein Missbrauch der Karte durch Unberechtigte ist dadurch kaum möglich, da außerdem ersichtlich ist, ob oder ob nicht bestellt wurde. Wird die Karte vergessen, so kann man sein Essen trotzdem gekommen, wenn man seine fünfstellige Kundennummer weiß. Im Nachhinein kann jederzeit, völlig transparent, über Internet kontrolliert werden, was bestellt, was und wann gegessen und was per Lastschrift abgerechnet wurde.
Hier die wichtigsten Eckpunkte:
www.mittagessensbestellung.de:
sorgt dafür, dass der Kunde seine Mittagessen über Internet leicht, schnell und zuverlässig auswählen, bestellen oder auch stornieren kann. rechnet die Kosten für das Mittagessen automatisch mit dem Kunden monatlichen per Lastschrift ab. rechnet die Kosten für das Mittagessen mit der Küche automatisch per Lastschrift ab. ist von der Küche bzw. vom Caterer unabhängig und kann beim Wechsel des Essenslieferanten weiter genutzt werden. kümmert sich um die Erstellung der Fotos für die Essensausweise. sorgt bei der Verwaltung der Kundenunterlagen, wie Fotos, Bankdaten usw. für die Einhaltung datenschutzrechtlicher Auflagen. sorgt für ein Mandaten fähiges System, d. h. wechselt der Essensteilnehmer die Einrichtung, kann er, wenn die neue Einrichtung unser System hat, einfach umgebucht werden. Wechselt der Caterer, kein Problem, dann kann der neue Caterer nahtlos mit dem System weiter arbeiten. Küche / Caterer:
pflegt die Speisekarte für eine oder auch mehrere Schulen online ein. kann für jede Einrichtung einen eigenen Speiseplan erstellen. kann sicherer kalkulieren und somit gleich bleibend bessere Qualität gewährleisten, da unnötige Fehlproduktionen (und somit Verluste!) vermieden werden. kann wählen, ob er direkt oder über www.mittagessensbestellung.de abrechnet. Je nach Art der Essensbrechnung ist dies wöchentlich oder monatlich möglich. hat kein Risiko, da unbezahlte Bestellungen entfallen. hat durch die Abschlagszahlung eine erhöhte Liquidität. spart sich das zeitaufwendige Kassieren mit Bargeld oder Geldkarte. Es können wesentlich mehr Essen in der gleichen Zeit (wichtig bei Schulen!) ausgegeben werden. kann durch die Planungssicherheit leichter in die Herstellung von ökologisch- bzw. biologisch hergestelltem Essen einsteigen und ermöglicht so dem Kunden die Wahl. Kunden:
bestellen oder stornieren von jedem internetfähigem PC leicht, schnell und zuverlässig ihr Mittagessen. können mit PIN und Kundennummern über Internet das Kundenkonto kontrollieren und teilen, bei Bedarf, Änderungen von Adress- und Kontodaten mit. können neben der ordentlichen Abrechnung nachvollziehen, was, wann und ob gegessen wurde. haben durch dieses Online-Bestell- und Abrechnungssystem die Möglichkeit eindeutig zu bestellen, d. h. die bekommen was bestellt wurde und nicht was noch da ist! haben die Möglichkeit, wenn die Küche bzw. der Caterer biologisch bzw. ökologisch hergestelltes Essen im Angebot hat, ganz individuell zu entscheiden welche Art der Essenszubereitung sie haben möchten. können dieses System selbst beim Wechsel des Essensherstellers weiter nutzen! müssen nicht unnötig lange an der Kasse anstehen, da das sehr zeitaufwendige Kassieren mit Bargeld oder Geldkarte entfällt. Institution:
hat keinen Aufwand, da er entfällt. hat wieder mehr Zeit für Ihre Kernkompetenz. steht nicht unnötig zwischen den Fronten, da Kunde und Küche bzw. Caterer direkt miteinander kommunizieren. Der Weg über dritte entfällt! kann auf Wunsch regelmäßige Beiträge, zum Beispiel monatliche Gebühren, problemlos und sicher per Lastschrift mit einziehen und auf sein Konto gutschreiben lassen, um Verwaltungskosten zu sparen.
Kommentare
Chipdrive Cardreader mit Usercard und Chipkarten sind die ideale Lösung für Zeiterfassung und Zutrittskontrolle
Die netzwerkbasierte Lösung CHIPDRIVE® Time Recording Network ermöglicht kleinen und mittleren Unternehmen und öffentlichen Einrichtungen jederzeit den Zugriff auf die aktuellen Mitarbeiterzeiten.
Hier sofort bestellen
Jeder Mitarbeiter erhält eine personalisierte Chipkarte, die er wie eine Stempelkarte verwendet. Als Stempelgerät dient das mit dem Netzwerk verbundene CHIPDRIVE® terminal, das alle Stempeldaten sofort zum Server überträgt. Das Terminal wird dafür entweder an die Wand montiert oder unter Zuhilfenahme eines optional erhältlichen Standfußes als Tischgerät verwendet. Bei Bedarf können sich die Mitarbeiter auch über einen separaten Kartenleser direkt am eigenen PC einbuchen. Dies ist sogar über Unternehmensgrenzen hinweg möglich
Kommentare
Berlin, 30. Oktober 2007 - Die elektronische Gesundheitskarte stößt bei den Deutschen auf großes Interesse.
Nach der Einführung im kommenden Jahr wollen 93 Prozent der Bundesbürger persönliche medizinische Daten auf der Karte speichern lassen, etwa die Blutgruppe. Bei den bisherigen Chipkarten der Versicherten ist dies nicht möglich. Nur 5 Prozent der Deutschen lehnen die neue Option ab, 2 Prozent sind sich unsicher. Das hat eine Erhebung von Forsa im Auftrag des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) ergeben. 1001 Bürger ab 18 Jahren wurden repräsentativ befragt. ?Die Gesundheitskarte wird die Versorgung der Patienten verbessern. Sind Daten zu bereits eingenommenen Medikamenten gespeichert, verringern sich beispielsweise die Gefahren durch Wechselwirkungen?, sagte Prof. August-Wilhelm Scheer, Präsident des BITKOM.
Die Zustimmung zur Gesundheitskarte ist deutschlandweit gleichermaßen hoch. Im Westen wollen 93 Prozent der Bürger Daten auf der Karte speichern, im Osten sind es 91 Prozent. Einig sind sich die Befragten auch bei der Art der hinterlegten Informationen. Groß ist das Interesse besonders an Notfalldaten wie der Blutgruppe. Insgesamt 90 Prozent der Deutschen wollen sie speichern. Bei Impfungen sind es 84 Prozent, bei Medikamenten 78 Prozent, bei Rezepten 66 Prozent und bei Erkrankungen 62 Prozent.
Geplant ist die flächendeckende Ausgabe der elektronischen Gesundheitskarte für das zweite Quartal 2008. Sie ersetzt die bisherigen Chipkarten der Versicherten. Im ersten Schritt bleibt allerdings alles wie bisher, die einzige sichtbare Änderung ist ein Lichtbild. Erst beim weiteren Ausbau des Systems soll es möglich sein, medizinische Daten zu speichern. Jeder Einzelne kann dann individuell entscheiden, welche Informationen auf der neuen Karte hinterlegt sind und welcher Arzt sie nutzen darf.
Sollen Daten von der Karte abgerufen werden, greifen mehrere Schutzmechanismen. Zum einen muss sich der Arzt mit seinem elektronischen Heilberufsausweis beim Lesegerät anmelden, zum anderen der Patient direkt mit seiner Gesundheitskarte. Darüber hinaus ist es erforderlich, dass beide ihre persönliche PIN-Nummer eingeben ? wie bei einem Geldautomaten. Ausgenommen davon sind Notfalldaten. Krankenkassen dürfen die gespeicherten Informationen nicht abrufen. ?Noch sicherer kann man Patientendaten praktisch nicht verwahren. Gegenüber den heute gängigen Verfahren im Umgang mit Patientendaten ist das ein Quantensprung für mehr Sicherheit?, sagte Prof. Scheer. ?Wichtig ist, dass die Versicherten so früh wie möglich die Option bekommen, medizinische Daten zu speichern. Die Ausgabe der Karten allein ist noch kein ernsthafter Fortschritt.?
Nach konservativen Schätzungen ermöglicht die elektronische Gesundheitskarte auch Einsparungen von jährlich über 500 Millionen Euro im Gesundheitswesen. So können Ärzte beispielsweise Rezepte direkt auf der Karte speichern. Ein Ausdruck auf Papier ist nicht mehr nötig. Missbrauch wird dadurch schwieriger, Abrechnungen erfolgen schneller. Die IT-Industrie hat bisher bereits 200 Millionen Euro in die Entwicklung der Karte investiert.
Quelle: http://www.bitkom.de/de/presse/8477_48781.aspx
Kommentare
Anwendungsmöglichkeiten moderner RFID Chipkarten wie Legic, Mifare oder Hitag
RFID Chipkarten sind Plastikkarten mit integrierten RFID Chipmodulen, die über eine externe RFID-Antenne und Funkerübertrafung berührungslos gelesen und beschrieben werden. Die hierbei verwendeten Sendefrequenzen liegen bei 125 KHz ( Hitag1 oder Hitag2 ) oder 13,56 MHz ( Mifare 1k oder Legic MIM256 ). Nutzen auch Sie die dadurch entstehenden vielfältigen Anwendungsmöglichkeiten dieser modernen Chipkarten.
Die am häufigsten Anwendungsbereiche sind Zeiterfassung, Zutrittskontrolle und das E-Ticketing.
E-Ticketing
Hier lösen die RFID Chipkarten gerade im öffentlichen Personen Nahverkehr (ÖPNV) immer häufiger die alten Papier Monatskarten ab. Diese sind wesentlich stabiler und können immer wieder neu aufgeladen werden. Die Kundendaten können zur Planung und Marketing ausgewertet werden. Eine Personalisierung mit Bild und Namen beugt zudem einem Missbrauch vor. Außerdem ist eine Kombination als City-Card im Städteverbund möglich.
Zutrittskontrolle
Ob Banken, Versicherungen oder Datenzentren, überall gibt es sensible Bereiche, zu denen unbefugte keinen Zutritt erhalten sollen.
Die Zutrittskontrolle soll Menschen, Sachwerte und Informationen vor unerlaubten Zugriffen schützen. Dafür benötigt es intelligente Produkte, die als Komponenten in Systeme und Prozesse eingebunden werden. Durch Chipkarten können Sie festlegen, welche berechtigten Personen einen ungehinderten Zutritt erhalten, sowie im Gegenzug, unberechtigten Personen den Zugang verweigern.
RFID Chipkarten ermöglichen es nach die Zutrittskontrolle nach zeitlichen, räumlichen und personellen Berechtigungen steuern. Angefangen mit dem Zutritt auf das Firmengelände, bis zur Einlasskontrolle in das Gebäude und der weiteren Absicherung im Innenbereich.
Zeiterfassung
Für die Zeiterfassung nutzt man elektronische Zeiterfassungsgeräte (Terminals), an denen sich die Beschäftigten mit Ihrem Mitarbeiterausweis mittels Barcode, Magnetstreifen und neuerdings RFID-Chips die Buchungen auslösen. Die Übertragung mit Barcode und Magnetstreifen wird heute kaum noch angewendet, gebräuchlicher sind berührungslose Chipkarten, wie Legic- oder Mifareausweise.
Durch Kommen- und Gehenmeldungen an den Terminals wird die Arbeitszeit erfasst. Darüberhinaus können sind in solchen Systemen Abwesenheitsplanung, Dienstplanung oder das Antragswesen für Abwesenheiten meist integriert werden
Für die Lohn- und Gehaltsabrechnung liefern Zeiterfassungsysteme die Berechnungsgrundlage, indem Mehrarbeitzuschläge, Zulagen für Wochenend - und Feiertagsarbeit, Nachtzuschläge und Schichtzulagen automatisch durch hinterlegte Formeln errechnet werden. Um unterschiedliche Tarifverträge und Arbeitszeitmodelle abbilden zu können, können die entsprechenden Regeln im System hinterlegt werden.
Kommentare
Mehr als 40 000 kleine und mittelgroße Unternehmen und öffentliche Einrichtungen erfassen bereits jetzt die Arbeitszeiten ihrer Mitarbeiter mit CHIPDRIVE® Time Recording. Jetzt ermöglicht die sagenhaft günstige und komfortable Lösung CHIPDRIVE® Time Recording Network auch den permanenten Zugriff auf die aktuellen Mitarbeiterdaten ? sofort und kinderleicht.
Der Mitarbeiter erhält eine personalisierte Chipkarte und verwendet diese wie eine Stempelkarte. Als Stempelgerät dient das mit dem Netzwerk verbundene CHIPDRIVE® terminal, das alle Stempeldaten sofort zum Server überträgt.
Das Terminal ist zu bereits existierenden CHIPDRIVE®-Zeiterfassungssystemen (ab Software-Version 4.0) kompatibel, so dass auch ein gemischter Betrieb mit dem mobilen Zeiterfassungsgerät CHIPDRIVE® mobile möglich ist.
Hier können Sie sofort zu Top Preisen bestellen
Die zugehörige umfangreiche Software sorgt für die Kontrolle und Analyse der Daten: Urlaub, Gleitzeit, Fehlzeiten, Zeitpläne für Projekte und Sonderregelungen ? Sie haben alle Zeiten jederzeit fest im Griff!
Das CHIPDRIVE® Time Recording Network Starterkit enthält alle notwendigen Komponenten für 25 Mitarbeiter ? vom stationären Wandgerät, dem Chipkartenleser CHIPDRIVE® desktop pro zum Personalisieren der Mitarbeiterkarten bis hin zu den Mitarbeiterkarten ? und ist problemlos auf mehrere hundert Mitarbeiter erweiterbar.
Da jede Komponente auch einzeln angeboten wird, können Sie sich Ihre Lösung selbst individuell zusammenstellen. So können Sie CHIPDRIVE® Time Recording Network jederzeit beliebig erweitern und an die individuellen Anforderungen anpassen.
EMV - ein Standard für Chipkarten von Europay, MasterCard und Visa
EMV2000 ist ein technischer Standard für Chipkarten im internationalen Zahlungsverkehr für die Abwicklung von "debit" (pay now) und "credit" (pay later) Transaktionen
Durch die Verwendung der Chipkartentechnologie ergibt sich eine erhöhte Sicherheit im Vergleich zur aktuellen Kreditkartenumgebung mit Magnet-spur-transaktionen.
Die Abkürzung EMV steht für Europay - MasterCard - Visa. Experten dieser Kreditkarten-organisationen begannen im Jahre 1993 mit der Entwicklung des Standards. Einer ersten Veröffentlichung 1996 folgten einige Korrekturen sowie letztlich die Herausgabe der derzeit aktuellen und gültigen Version EMV'96 Version 3.1.1 vom 31. Mai 1998. Der vorliegende Standard wird zur Zeit in eine Version EMV2000 umgearbeitet. EMV2000 Version 4.0 liegt als frei zugängliches Draftdokument, das sich in der Reviewphase befindet, vor. Bis zur Fertigstellung von EMV2000 Ende 2000 gilt EMV'96 als der verbindliche Standard.
Bei EMV wird auf der Basis von ISO-7816 (diese ISO Norm definiert die grundlegenden Aspekte von Chipkarten) das elektronische Interface und die Kommunikationsprotokolle zwischen Chipkarte und Terminal definiert. Über die in ISO-7816 definierten Befehle (commands) hinaus wurden zusätzlich Erweiterungen festgelegt, die für die Abwicklung von Transaktionen im Zahlungsverkehr notwendig sind.
Für die Terminals sind technische und applikatorische Vorgaben festgelegt, um die Interoperabilität sicherzustellen. Die für eine Zahlungs- (Bezahl-) Transaktion notwendigen Einzelschritte sind definiert, insbesondere:
Prüfung / Sicherstellung der Echtheit der Chipkarte (data authentication)
Prüfung / Sicherstellung der Berechtigung des Kartenbesitzers (card holder verification)
Risikoanalysen (risk management)
Autorisierung (issuer authorization)
Für das Verständnis des EMV Standards sind folgende Punkte besonders wichtig:
EMV ist keine Applikation! Es handelt sich weder um eine lauffähige Chipkartenanwendung noch um ein Feinkonzept, das durch einfache Übertragung in eine Programmiersprache implementiert werden kann. EMV ist ein Standard, der die Rahmen-bedin-gungen für Chipkartenapplikationen vorgibt. Auf der Basis von EMV können Chip-karten-applikationen für Bezahltransaktionen entworfen werden.
EMV bezieht sich auf Bezahltransaktionen. Der typische Anwendungsfall ist die Bezahlung von Waren (analog den herkömmlichen Kredit-karten-transaktionen). Eine Anwendungs-mög-lich-keit ist aber auch die Bargeldbehebung am Geldautomaten. In diesem Fall ist jedoch stets eine Online Autorisierung durchzuführen.
EMV enthält keine speziellen Definitionen für die Implementierung einer elektronischen Geldbörse. Sehr wohl kann jedoch das Aufladen einer elektronischen Geldbörse mit einer EMV kompatiblen Transaktion bezahlt werden.
EMV enthält zur Zeit keine Spezifikationen für das Clearing der Transaktionen.
Die Dokumentation von EMV besteht aus vier Büchern, die jeweils in ein oder mehrere Teile (parts) untergliedert sind:
1. Buch: Application Independent ICC to Terminal Interface Requirements
Part I: Electromechanical Characteristics, Logical Interface and Transmission Protocols
Part II: Files, Commands and Application Selection
2. Buch: Security & Key Management
3. Buch: Application Specification
Part I: Data Elements and Commands
Part II: Debit and Credit Application Specification
4. Buch: Cardholder, Attendant, and Acquirer Interface Requirements
Part I: General Requirements
Part II: Software Architecture
Part III: Cardholder, Attendant Acquirer Interface
Im folgenden werden nun einige Definitionen des EMV Standards im Überblick dargestellt.
Nachrichten zwischen Chipkarte und Terminal
Der sogenannte Application Layer definiert Nachrichten zwischen Chipkarte und Terminal. Diese Application Protocol Data Units (APDU) sind jeweils als Befehl (Command) und Antwort (Response) Paare definiert.
Ergänzend zu den in ISO 7816 definierten Befehle (SELECT, READ RECORD, VERIFY, EXTERNAL AUTHEN-TICATE, INTERNAL AUTHENTICATE, GET CHALLENGE) wurden in EMV weitere Befehle definiert:
APPLICATION BLOCK
APPLICATION UNBLOCK
CARD BLOCK
GENERATE APPLICATION CRYPTOGRAM
GET DATA
GET PROCESSING OPTIONS
PERSONAL IDENTIFICATION NUMBER (PIN) CHANGE / UNBLOCK
Von besonderer Bedeutung ist dabei sicher der Befehl GENERATE APPLICATION CRYPTO-GRAM (GENERATE AC). Hiermit wird das Endergebnis einer Transaktion, das Trans-aktions-zertifikat, erzeugt.
Auf eine (auch nur auszugsweise) Auflistung der in EMV definierten Datenobjekte wird hier verzichtet, diese würde weit über den Rahmen einer überblicksmäßigen Darstellung hinausgehen.
Transaktionsablauf - ein Beispiel
Anhand einer Beispieltransaktion sollen nun die wesentlichen Elemente einer EMV konformen Transaktion beschrieben werden. Der Leser beachte, daß es sich dabei nicht um die EMV Transaktion handelt. EMV beschreibt einzelne Trans-aktionsschritte, die unter Anwendung gewisser Regeln zu einer Gesamttransaktion kombiniert werden können.
Europay, MasterCard und Visa haben in ihren eigenen, weiterführenden Dokumenten jeweils Transaktionen definiert, die diesen Regeln folgen. Das hier dargestellte Beispiel entstammt dem 3. Buch der allgemeinen EMV Dokumentation.
Die Ausgangssituation für die Transaktion sei kurz beschrieben: Ein Kunde steht mit einer Ware an der Kassa eines Geschäfts und will diese Ware mittels Kreditkarte bezahlen. Die Kreditkarte ist mit einem EMV konformen Chip ausgestattet. Der Händler betreibt ein EMV konformes Terminal, dass eine Onlineverbindung zu einem Autorisierungssystem besitzt.
Nach dem Kontaktieren der Chipkarte kann das Terminal feststellen, welche EMV Applikationen auf der Chipkarte enthalten sind. Im Prinzip gibt es keine technische Einschränkung Kreditkartenapplikationen von mehreren Kreditkartenfirmen auf einem Chip zur vereinen. Daher wäre es zumindest theoretisch möglich, dass der Kunde nun am Terminal folgende Auswahlmöglichkeiten angezeigt bekommt: "Wünschen Sie eine Bezahlung mit MasterCard oder Visa-Karte?" Weiters denkbar wäre das Anbieten einer oder mehrerer elektronischer Geldbörsen.
Als Endergebnis der EMV Transaktion wird entweder ein Transaction Cryptogram (TC) oder ein Application Authentication Cryptogram (AAC) erzeugt. Dabei entspricht das TC einer vom Händler akzeptierten Transaktion, d.h. die Bezahlung des Kunden wurde angenommen. Ein AAC wird erzeugt, wenn die Bezahlung des Kunden z.B. aus Sicherheitsgründen abgelehnt wurde.
Hier nun die Transaktionsschritte, nachdem der Kunde oder das Terminal sich für eine Applikation entschieden hat. Die Bezeichnung der einzelnen Abschnitte wird im englischen Original wieder-gegeben, da dies in der Regel die treffendste Bezeichnung darstellt.
1. Initiate Application Processing
Das Terminal teilt der Chipkarte mit, dass eine neue Transaktion beginnt. Dabei werden an die Chipkarte auch Informationen über die Art des Terminals (Händlerterminal, Geldautomat) und über die gewünschte Transaktion (Bezahlung einer Ware, Geldbehebung) mitgeteilt. Die Chipkarte informiert ihrerseits das Terminal über Datenobjekte, die von der Chipkarte im weiteren Verlauf der Transaktion benötigt werden (Processing Options Data Object List, PDOL). Das Terminal stellt entsprechend dieser Vorgabe eine Liste mit den gewünschten Datenobjekten zusammen und sendet diese an die Chipkarte.
Die Chipkarte informiert nun das Terminal über den Ablauf der weiteren Transaktion (mittels Application Interchange Profile), z.B.: Wie soll die Echtheit der Chipkarte geprüft werden? Unterstützt die Chipkarte eine Überprüfung des Kartenbesitzers? Soll das Terminal sein eigenes Risk Management durchführen? Darüber hinaus teilt die Chipkarte dem Terminal mit, wie (bzw. wo) diverse Daten für die Transaktion auf der Chipkarte zu finden sind (mittels Application File Locator).
2. Read Application Data
Das Terminal liest nun diverse Daten von der Chipkarte, z.B. Kartennummer.
3. Offline Data Authentication
Für den Fall, dass sowohl das Terminal als auch die Chipkarte eine Offline Prüfung der Echtheit der Chipkarte unterstützen, kann diese durchgeführt werden. Dabei kommen diverse kryptographische Verfahren zum Einsatz, auf die hier nicht näher eingegangen wird. Erwähnt sei lediglich, dass Public Key Verfahren verwendet werden. Darüber hinaus wird zwischen statischer und dynamischer Authentisierung unterschieden:
Durch statische Authentisierung kann die Echtheit der vom Kartenhersteller (issuer) im Chip gespeicherten Daten sichergestellt werden.
Durch dynamische Authentisierung kann die Echtheit der statischen Chipdaten und der Chipkarte selbst geprüft werden.
Die dynamische Authentisierung ist um den Preis einer teureren RSA-fähigen Chipkarte der statischen Prüfung vorzuziehen.
4. Processing Restrictions
In diesem Schritt wird geprüft, inwieweit die Applikation im Terminal mit der Applikation in der Chipkarte kompatibel ist. Es werden die Versionsnummern und Ablaufdaten der Applikationen verglichen. Darüber hinaus kann die Application Usage Control gewisse Ein-schränkungen in geographischer Hinsicht oder in Bezug auf einzelne Transaktionstypen definieren, z.B. dass nur inländische Transaktionen an Geldautomaten unterstützt werden.
5. Cardholder Verification
Nun wird geprüft, ob der Besitzer der Chipkarte (card holder) der rechtmäßige Eigentümer ist. Die Chipkarte informiert das Terminal über die zulässigen Alternativen, möglich sind folgende Prüfungen:
Offline PIN Prüfung
Online PIN Prüfung
Prüfung einer manuellen Unterschrift (auf Papier!!)
Diverse Kombinationen, z.B. Offline PIN Prüfung plus Unterschriftenprüfung
Das Ergebnis der durchgeführten Prüfungen wird der Chipkarte mitgeteilt.
6. Terminal Risk Management
Unter Terminal Risk Management versteht man die Summe der Aktionen / Prüfungen im Terminal, die den Händler, den Kartenausgeber und das System insgesamt vor Betrügereien schützen sollen. Dazu gehören z.B. die Prüfung von Limits und die zufällige Durchführung von Onlinetransaktionen.
Beispielsweise könnte ein Terminal ab einem gewissen Transaktionsbetrag zwingend eine Onlineautorisierung vorsehen. Oder das Terminal könnte die Umsätze einer Chipkarte speichern und bei Erreichen eines gewissen Gesamtbetrags für diese Chipkarte eine Onlineautorisierung verlangen.
7. Terminal Action Analysis
Als Ergebnis der bisherigen Schritte entscheidet das Terminal, wie die Transaktion aus Sicht des Terminals zu autorisieren ist. Diesen Vorschlag sendet das Terminal an die Chipkarte (mittels GENERATE AC). Mögliche Vorschläge des Terminals sind:
Offline Autorisierung erwünscht: die Chipkarte soll nach interner Prüfung ein TC erstellen.
Online Autorisierung erwünscht: die Chipkarte soll eine Onlinenachricht erstellen, die einem Hostsystem zur Autorisierung vorgelegt wird.
Ablehnung der Transaktion: die Chipkarte soll ein AAC erstellen und damit die rechtmäßige Ablehnung der Transaktion beurkunden.
8. Card Action Analysis
Die Chipkarte kann ihrerseits ein internes Card Risk Management durchführen. Als Ergebnis dieser Beurteilung der Transaktion und unter Berücksichtigung des Terminalvorschlags (siehe Terminal Action Analysis) erstellt die Chipkarte ein kryptographisches Zertifikat:
ein Transaction Cryptogram (TC), wenn die Transaktion offline genehmigt wird
ein Application Authorisation Referral (AAR) bzw. ein Authorization Request Cryptogram (ARQC), wenn die Transaktion extern (z.B. per telefonischem Rückruf) oder online autorisiert werden soll
ein Application Authentication Cryptogram (AAC) wenn die Transaktion offline abgelehnt wird.
9. Online / Offline Decision
Ausgehend von der Antwort der Chipkarte auf den (ersten) GENERATE AC Command entscheidet das Terminal über eine Online Autorisierung. Durch die Online Autorisierung wird sichergestellt, dass der Kartenausgeber (Issuer) Transaktionen mit hohem Risiko gezielt genehmigen oder zurückweisen kann.
10. Online Processing & Issuer Authentication & Online Mutual Authentication
Im Zuge der Online Autorisierung kann das von der Chipkarte erstellte ARQC dem Online-Autorisierungssystem übermittelt werden. Das Online-Autorisierungssystem generiert eine kryptographisch gesicherte Antwort (Issuer Authentication Data). Das Terminal übermittelt die Daten an die Chipkarte. Die ´Chipkarte prüft die Daten auf Echtheit und kann zusätzlich feststellen, ob die Antwort von einem gültigen Hostsystem erstellt wurde.
11. Script Processing
Die Antwort des Online-Autorisierungssystems kann optional Scripts enthalten. Diese Scripts sind vom Terminal an die Chipkarte zu übertragen. Die Chipkarte führt die für das Terminal transparenten Scripts aus. Der Inhalt der Scripts ist karten- bzw. kartenausgeberspezifisch. EMV enthält bis auf den Transportmechanismus keine Vorgaben. Beispiele für die Anwendung von Scripts: "unblock" einer "locked" PIN; Sperre von Applikationen.
12. Completion
Nach dem Online Processing setzt das Terminal erneut einen (zweiten) GENERATE AC Befehl an die Chipkarte ab. Diese entscheidet nun endgültig (evt nach Prüfung der Issuer Authentication Data) über Annahme oder Ablehnung der Transaktion. Das Ergebnis wird dem Terminal mittels TC (Annahme) oder AAC (Ablehnung) mitgeteilt.
Das von der Chipkarte generierte Zertifikat kann im Zuge des Clearing Verfahrens zur Identifikation der Transaktion verwendet bzw. aufbewahrt werden. Ein TC kann vereinfacht dargestellt mit dem konventionellen Kreditkartenbeleg verglichen werden, der auch Informationen über die Transaktion enthält (wer?, wann?, welcher Betrag?, Unterschrift).
Wo können Sie mehr über den EMV Standard erfahren?
Die Dokumentation des EMV'96 Standards und des EMV2000 Draft Standards kann im Internet von der von den Erstellern (Europay, MasterCard, Visa) gemeinsam geschaffenen Homepage http://www.emvco.com kostenlos geladen werden.
Kommentare
LKA-RP: Große Schäden durch Phishing - Schützen Sie sich vor Daten-Klau!
Mainz (ots) - Online-Banking boomt. Mittlerweile nutzt fast jeder
dritte Deutsche die Möglichkeit zum virtuellen Bankbesuch. Die
bequeme Art, Bankgeschäfte abzuwickeln, überzeugt viele Menschen.
Rund um die Uhr - von Zuhause oder von unterwegs. Die Vorteile liegen
auf der Hand: flexiblere und kostengünstigere Finanztransaktionen.
Vor dem Hintergrund einer stetig steigenden Service-Nachfrage
treffen die Kreditinstitute umfangreiche Sicherungsmaßnahmen, um ihre
Internet-Kunden zu schützen. So finden beispielsweise die
Transaktionen vertraulicher Daten nur über geschützte Verbindungen
statt.
Diesen Schutz versuchen Kriminelle jedoch auszuhebeln. Ihre
Masche: Sie versenden entweder fingierte E-Mails oder setzen
sogenannte Trojaner ein. Beim Versenden betrügerischer E-Mails sollen
die Empfänger dazu veranlasst werden, persönliche Daten wie
Zugangsdaten, Passwörter, Transaktionsnummer etc. preiszugeben. Dabei
werden die Methoden immer raffinierter. Kamen früher E-Mails in
Umlauf, die - einfach gestrickt und schlecht formuliert - die Absicht
des Absenders auf Anhieb verrieten, so ködern die Täter ihre Opfer
heute mit professionell gestalteten Internet-Seiten, die selbst von
Profis nur schwer als gefälscht zu identifizieren sind.
Das Phishing mittels Hacking-Angriff durch Trojaner besitzt die
gleiche Zielrichtung, unterscheidet sich aber in der Vorgehensweise.
Die Trojaner "lauschen" im Hintergrund eines Internetaufenthaltes auf
den für Online-Überweisungen typischen Netzverkehr. Direkt vor der
Übermittlung der Daten durch den Kunden an den Bankrechner wird die
Verbindung zu diesem unterbrochen und eine erneute Kontaktaufnahme
zumindest für eine gewisse Zeit unmöglich gemacht.
Gleichzeitig werden die Kontoinformationen der Geschädigten
abgegriffen. Beim Phishing mittels Trojaner bemerkt der Bankkunde
meist nichts von dem illegalen Datenabgriff, da dieser unauffällig im
Hintergrund vollzogen wird.
So haben laut Landeskriminalamt Rheinland-Pfalz die statistisch
erfassten Opferfälle von 125 im Jahr 2005 auf 164 im Jahr 2006
zugenommen. Im ersten Halbjahr 2007 sind bereits 112 Fälle registriert.
Die Schadenssummen der angezeigten Fälle betrugen im Jahr 2005
171.000 Euro, im Jahr 2006 mit 383.600 Euro schon das Doppelte und im
ersten Halbjahr 2007 bereits 230.000 Euro.
Das Landeskriminalamt Rheinland-Pfalz rät zu folgenden Maßnahmen
zum Schutz vor Phishing:
· Pflege des Betriebssystems und der Internetbrowser-Software durch
regelmäßige Sicherheits-Updates.
· Einsatz von aktuellen Antivirenprogrammen und Firewalls.
· Überprüfung des Sicherheitszertifikates einer aufgerufenen
Internet-Website (z.B. durch einen "Doppelklick" auf das
Schlosssymbol in der Statuszeile).
· Möglichst keine Mails von unbekannten Absendern öffnen und auch
keine darin enthaltenen Internetlinks bestätigen.
· Niemals für angebliche Sicherheitsüberprüfungen oder einen
ähnlichen Vorwand persönliche Passwörter, Kontoverbindungen oder
andere geheime Daten im Internet eingeben.
· Online-Banking sollte nur über eine gesicherte Verbindung
durchgeführt werden. Diese erkennt man an der Bezeichnung https:// in
der Adresse der Statuszeile.
· Selbstständige Eingabe der gewünschten Internetadresse in die
Adresszeile des Internetbrowsers.
· Geldinstitute bieten beim Online-Banking unterschiedliche
Sicherheitsstandards (TAN/ iTAN/ eTAN/ smartTAN/ mTAN/ HBCI/ FinTS
...) an, über die Sie sich jeweils vorab informieren sollten.
Bei manchen dieser Standards ergibt sich auch für Sie ein
zusätzlicher Bedarf an Hardware - etwa Lesegeräte für Chipkarten.
Sollte es bereits zu einer Phishing-Attacke gekommen sein,
empfehlen sich folgende Verhaltensregeln:
· Sperren Sie sofort den Onlinezugang für das betroffene Konto bei
Ihrem Kreditinstitut.
· Prüfen Sie, ob auf dem Konto Verfügungen vorgenommen wurden, die
nicht von Ihnen stammen.
· Sichern Sie betrügerische E-Mails, die Sie erhalten haben.
· Erstatten Sie im Schadensfall Anzeige bei der Polizei.
Weitere Informationen zum Thema Phishing finden Sie im Internet unter:
www.polizei-beratung.de
www.bsi-fuer-buerger.de
ots Originaltext: Landeskriminalamt Rheinland-Pfalz
Digitale Pressemappe:
http://www.polizeipresse.de/p_story.htx?firmaid=29763
Rückfragen bitte an:
Landeskriminalamt Rheinland-Pfalz
Pressestelle
Telefon: 06131-65-2379/-2053
Fax: 06131-65-2125
E-Mail: LKA.presse@polizei.rlp.de
Kommentare
Empfehlungen zum Einsatz von Chipkarten
Chipkarten haben sich inflationär verbreitet, allein im dicken Portemonnaie ist diese Entwicklung zu spüren. Doch die stolzen Besitzer wissen meist nicht, welche Informationen dort gespeichert sind und wer die Daten auslesen kann. Vor der Entscheidung über den Einsatz von Chipkarten sollte eine Technikfolgenabschätzung durchgeführt werden, so wie dies das Datenschutzrecht fordert. Zur Auswahl geeigneter und angemessener Sicherungsmaßnahmen ist eine systematische Einschätzung der Gefahren für das informationelle Selbstbestimmungsrecht und das Recht auf kommunikative Selbstbestimmung vorzunehmen. Weiter sollten Lösungen für eine Sicherungstechnologie erarbeitet werden.
Grundschutzmaßnahmen
Fälschungssichere Authentisierungsmerkmale (Unterschrift, Foto, Hologramme).
Steuerung der Zugriffsberechtigung durch die Chipkarte selbst.
Sicherungen gegen eine unbefugte Analyse der Chip-Inhalte.
Verschlüsselungs- und Signaturfunktionen mit anerkannten Algorithmen.
Sicherung der Kommunikation durch kryptographische Maßnahmen.
Abschottung der unterschiedlichen Chipkartenanwendungen.
Gegenseitige Authentisierung durch Challenge-Response-Verfahren.
Erweiterte Sicherungsmaßnahmen
Weitere Sicherheitsfunktionen wie I/O-Kontrolle aller Schnittstellen, Interferenzfreiheit der einzelnen Anwendungen, Verzicht auf Trace- und Debug-Funktionen.
Auslagerung von Teilen der Sicherheitsfunktionen des Betriebssystems in dynamisch bei der Initialisierung bzw. Personalisierung zuladbare Tabellen.
Anonyme Chipkartenbenutzung sollte möglich sein.
Der Chipkarteninhaber sollte die Möglichkeit erhalten, auf neutralen, zertifizierten Systemumgebungen die Dateninhalte und Funktionalitäten ihrer Chipkarten einzusehen.
Für die gesamte Infrastruktur ist ein Mindestschutzniveau vorzuschreiben, das bei unbefugten Handlungen das Strafrecht anwendbar macht.
Alle Systemkomponenten datenschutzrelevanter Vorgänge sollten evaluiert werden.
Für die Informationsstrukturen sind Kontrollmöglichkeiten zu schaffen.
Sicherheitsrelevante Karten (Bankkarten) sollten über den gesamten Lebenszyklus der Karte kryptographisch gesichert sein.
Quelle: www.lfd.niedersachsen.de/master/C27948_N13173_L20_D0_I560.html
Herr Grabow
Der Landesbeauftragte für den Datenschutz Niedersachsen
Brühlstraße 9
30169 Hannover
Kommentare
Mifare Chipkarten mit verschiedenen Systemlösungen
Mifare ist ein Schreib- Lesesystem auf 13,56 MHz Basis, welches den ISO Standards 15693 und 14443 entspricht.
Mifare bietet mehrere Systemvarianten an, welche für die unterschiedlichsten Systemlösungen konzipiert sind.
Mifare Classic 1k und 4k Mifare DesFire Mifare ProX Mifare Ultralight
Mifare Chipkarten Classic 1k und 4k
Der Mifare Classic ist mittlerweile der Standard der Mifare Serie. Er wird hauptsächlich in den Bereichen öffentlicher Verkehr, bargeldlose Zahlungssysteme (Vending) und zur Zeiterfassung und Zutrittskontrolle eingesetzt.Speicherkapazität 1 kByte und 4 kByte.
Mifare Chipkarten DesFire
Mifare DESFire besitzt eine Triple DES Data Encryption Logic und unterstützt kryptografische Funktionen und ist für höhere Sicherheitsanforderungen wie z.B. Elektronische Geldbörse, E-Pass usw. geeignet.
Der Mifare DESFire unterstützt bis zu 28 verschiedene Applikationen mit 16 Files pro Applikation.Mit einer Transferrate von 424 kBit/s ist er recht schnell und für die Verarbeitung umfangreicher Prozesse geeignet.
Mifare ProX
Der Mifare ProX ist ein Dual-Interface Controller. D.h. der Chip ist sowohl kontaktlos über eine eingebaute Antenne und gleichzeitig auch kontaktbehaftet über auf der Karte eingebaute Kontaktfelder ansteuerbar.
Er entspricht den hohen Sicherheitsanforderungen für Banking, e-commerce, e-government und Netzwerksicherheitsfunktionen, kombiniert mit der zuverlässigen und schnellen Datenübertragung bei Transport- und Geldbörsefunktionen.
Mifare Ultralight
Dieser ist die neueste Entwicklung von Philips Semiconductors. Ist speziell für Anwendungen im sog. Low-Cost-Bereich für kontaklose Funktionen geeignet.
Dies sind Bereiche wie Einfachtickets im öffentlichen Personenverkehr, Treuekarten oder Event Tickets für Großveranstaltungen.
Der Ultralight hat lediglich einen 512 Bit Schreib- Lesespeicher und daher nicht mit den leistungsfähigeren Mifare Classic Chipkarten zu vergleichen.
Kommentare
