Informelle Sicherheitsanalyse des Paydirekt-Bezahldienstes

Abstract

Paydirekt ist ein Online-Bezahldienst, der von den deutschen Banken und Sparkassen entwickelt und betrieben wird. Er wirbt mit einfacher Zahlung und hohen Sicherheitsstandards. Ebendiese Sicherheit wurde in dieser Arbeit im Rahmen einer informellen Analyse betrachtet.

Nach der einleitenden Erläuterung (Abschnitt 1) und der Erklärung der Motivation in Abschnitt 2, wurde für die Analyse in Abschnitt 3 das eingesetzte Protokoll aus der Dokumentation [50] extrahiert und vorgestellt und im Anschluss die gewünschten Sicherheitsziele (Abschnitt 4.1) definiert. Dann wurden Annahmen über die Sicherheit (Abschnitt 4.2) und die Fähigkeiten von Angreifern (Abschnitt 4.3) getroffen und diese für das Aufdecken möglicher Angriffsvektoren in Abschnitt 5 verwendet.

Dabei konnten mehrere Angriffe gefunden werden, die Sicherheitsziele verletzen und anderen Parteien finanziellen Schaden verursachen. Auch die Authentizität, das Einverständnis des Nutzers, die Verfügbarkeit des Bezahlsystems und weitere Ziele, konnten durch die vorgestellten Angriffe verletzt werden.

Zum Schluss konnten wir in Abschnitt 6 Sicherheitsvorkehrungen vorschlagen, welche die gefundenen Angriffe stark erschweren oder verhindern können. Neben der Umsetzung dieser Gegenmaßnahmen und ebenfalls der Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik und dem Payment Card Industry Data Security Standard raten wir im Fazit (Abschnitt 7) auch die Durchführung einer formalen Sicherheitsanalyse von paydirekt und anderen Online-Bezahldiensten in Zukunft.