Institut für Internet-Sicherheit – if(is)

Bezahlungen über das System werden in jedem Fall über einen Yapital-Server abgewickelt, der zwischen Kunde und Händler vermittelt. Yapital erfährt somit in Echtzeit, wer welche Transaktionen mit wem tätigt. Da sowohl Händler als auch Kunden bei Yapital registriert sein müssen, kennt Yapital die Identitäten beider Teilnehmer, so dass keiner der beiden anonym ist. Weitere Instanzen sind in vielen Fällen nicht beteiligt, es sei denn, der Händler nutzt einen Payment Service Provider zur Abwicklung der Zahlung.

Die Datenschutzbestimmungen von Yapital sehen neben den üblichen Zusagen, Informationen für Behörden zu Strafverfolgungszwecken preiszugeben auch vor, dass Informationen denen zugänglich gemacht werden, mit denen der Kunde in einer „geschäftlichen Beziehung“ steht. Außerdem erhalten die Händler, bei denen eingekauft und Yapital als Zahlungsmittel verwendet wurde, durch Yapital den Namen des Kunden. Zusätzlich stimmt der Kunde durch die Datenschutzbestimmungen zu, dass die erhobenen Daten für statistische Auswertungen verwendet werden dürfen).

Die Server, auf denen Yapital Daten verarbeitet, stehen den Datenschutzbestimmungen zufolge, allesamt in Europa, genauer in Luxemburg. Sie unterliegen daher dem europäischen bzw. luxemburgischen Datenschutzrecht, so dass zumindest die, im Vergleich zu amerikanischen Systemen, strengeren Datenschutzregeln gelten und der Zugriff für amerikanische Behörden nicht möglich ist.

Aufgrund der Tatsache, dass es sich noch um ein recht junges und unbekanntes System handelt, sind bisher keinerlei Angriffe auf das System bekannt geworden, bei denen Daten entwendet wurden.

Die Sicherheit des Systems liegt in der Zentralisierung, denn für jede Aktion, die durchgeführt werden soll, ist der Kontakt mit den Yapital-Servern nötig. Dies führt dazu, dass die Manipulation von Zahlungen für einen Angreifer schwierig ist, da er zum einen die Verbindung zwischen dem Händler und Yapital manipulieren müsste, um die Transaktion zu verändern. Zum anderen wäre ebenfalls die Manipulation der Verbindung zwischen dem Kunden und Yapital notwendig, die in der Regel über eine andere Internetverbindung erfolgt. Denn dem Kunden müsste die vermeint-lich richtige Transaktion dargestellt werden, weil dieser die Transaktionsdaten auf seinem Gerät angezeigt bekommt und diese bestätigen muss. Beide Verbindungen sind dabei über HTTPS mit einer Schlüssellänge von 2048 Bit gesichert, was den Angriff zusätzlich erschwert. Würde dem Angreifer all dies gelingen, erhält der Kunde aber in jedem Fall eine E-Mail, in der die Transaktionsdaten noch einmal dargestellt werden.

Weiterhin beruht die Sicherheit des Kundenkontos auf der Wahl des Passwortes. Gelangt es in die Hände eines Angreifers, kann dieser mit dem Kundenkonto Einkäufe tätigen oder Geld auf andere Yapital-Konten übertragen. Aus diesem Grund hat Yapital für die Wahl des Passwortes vergleichsweise strenge Regeln, wobei die Mindestlänge des Passwortes mit acht Zeichen noch unterhalb der Empfehlung des Instituts für Internetsicherheit von mindestens zehn Zeichen liegt. Um diese Art von Missbrauch rasch erkennen zu können, versendet Yapital nach jeder erfolgten Zahlung eine E-Mail an den Kunden, in der die Transaktionsdaten und die kosten-freie Rufnummer des Supports genannt werden. Auf diese Weise soll der Kunde den Missbrauch schnell melden können, um weitere unberechtigte Zahlungen zu verhindern.

Die Verbreitung von Yapital ist derzeit noch recht übersichtlich. Als junges, europäisches Unter-nehmen mit deutscher Mutter befinden sich die meisten der rund 4.260 Akzeptanzstellen (Stand Dezember 2014) im stationären Handel in Deutschland. Als Partner wurden, neben einigen bekannten Händlern wie REWE, Douglas oder Gravis, auch einige Unternehmen der Otto Group, wie Sportscheck und Görtz, sowie kleinere Läden gewonnen. Im Onlinehandel ist die Verbreitung von Yapital ebenfalls noch sehr überschaubar, wenngleich auch hier einige der oben genannten Unternehmen und weitere Onlineshops, wie Rakuten oder Otto.de, Yapital mittlerweile als Bezahloption anbieten Um Kunden trotz der geringen, eigenen Verbreitung die Möglichkeit zu bieten, mit Yapital zu be-zahlen, stellt Yapital seinen Kunden eine kostenfreie MasterCard-Kreditkarte zur Verfügung, mit denen an allen MasterCard-Akzeptanzstellen bezahlt werden kann.
Vorrausetzung hierfür ist jedoch ein entsprechendes Guthaben auf dem Yapital-Konto, da es sich um eine Prepaid-Kreditkarte handelt. Zudem ist Yapital Partnerschaften mit Herstellern von Kassensystemen und Bezahlterminals, sowie Payment Service Providern eingegangen, um die Verbreitung des eigenen Systems künftig weiter zu steigern. Diese sollen eine einfache Integration in Onlineshops und am POS ermöglichen.

Weiterhin strebt Yapital Partnerschaften mit Banken an, damit dem Kunden die direkte Integration in sein bekanntes Onlinebanking angeboten werden kann und die Registrierung erleichtert wird, denn alle Daten, die für die Registrierung verlangt werden, sind der Bank bereits bekannt. Für die Bank würde sich der Mehrwert ergeben, dem Kunden eine neue Dienstleistung anbieten zu können und damit erster Ansprechpartner für Finanzdienste zu bleiben. In Summe werden, aufgrund der derzeit noch geringen, eigenen Verbreitung, aber der Möglichkeit, trotzdem mit der MasterCard-Kreditkarte zu bezahlen, und der Aussicht auf zukünftige, größere Verbreitung durch die zahlreichen Partnerschaften, drei von fünf Punkten vergeben.