21.11.2017 - 11:50

Interview: Mehr Sicherheit für Kartenzahler und Händler

Während Mobile Payment in Deutschland ein Nischendasein führt werden Kartenzahlungen immer beliebter. Doch damit gehen Sicherheitsrisiken einher. Der Payment-Experte Günther Froschermeier erklärt, worauf Händler achten müssen.
CCV bietet Lösungen im Bereich elektronischer Transaktionsverarbeitung mit Zulassungen gemäß internationalen und nationalen Standards. Durch seine intensive Vernetzung mit dem Handel hat das Unternehmen tiefe Einblicke in die dortigen Entwicklungen. Günter Froschermeier zählt zu den Gründungsmitgliedern der EL-ME GmbH, die heutige CCV Deutschland. Er leitet den gesamten Technikbereich der CCV.

Auch wenn Deutschland voraussichtlich noch lange eine Bargeldnation bleiben wird, finden hierzulande immer mehr Verbraucher Gefallen an der Kartenzahlung. So holten sie allein im vergangenen Jahr fast drei Milliarden Mal ihre Bankkarten aus der Tasche, um damit einzukaufen. Allerdings lassen sich die dabei übermittelten Daten abfangen, wenn keine ausreichenden Sicherheitsvorkehrungen getroffen werden. In den USA mussten 2017 beispielsweise bereits die Hotelkette Holiday Inn, die Chipotle-Restaurants und die Kmart-Supermärkte entsprechende Vorfälle einräumen. Wie sich Unternehmen und Händler vor solchen Angriffen wappnen können, erläutert Günther Froschermeier vom Bezahllösungsspezialisten CCV Deutschland.

GFM: Warum ist es Kriminellen überhaupt möglich, Kartendaten zu entwenden?

Günther Froschermeier: Meistens nutzen sie Schwachstellen im System aus, zum Beispiel, indem sie Sicherheitslücken in den Unternehmensservern oder der Kassen-Terminal-Infrastruktur aufspüren. Zudem profitieren sie davon, dass Daten teils unverschlüsselt vom Kartenlesegerät an die Kasse übertragen werden.

GFM: Welche Gegenmaßnahmen gibt es?

Günther Froschermeier: Wir empfehlen eine PCI P2PE-Lösung, die sensible Daten gleich nach der Eingabe sicher verschlüsselt und nicht direkt an das Kassensystem überträgt. Stattdessen werden die Zahlungsinformationen verschlüsselt an ein externes Hardware-Sicherheitsmodul gesendet und erst von dort an die Bank zur Autorisierung übergeben. Selbst für den Händler bleiben sie deshalb völlig unsichtbar, weshalb er auch größtenteils nicht mehr dafür verantwortlich ist, dass die Kartenzahlung sicher und reibungslos funktioniert. Diese Aufgabe übernimmt der Anbieter der Lösung, der sogenannte Solution Provider.

GFM: Bietet eine P2PE-Lösung weitere Vorteile?

Günther Froschermeier: Die POS- bzw. POI-Terminals sind bei PCI P2PE so standardisiert, dass sie mehrere Sprachen und Währungen sowie Banken weltweit unterstützen. Dadurch lassen sich den Konsumenten zahlreiche nationale und internationale Zahlungsarten offerieren, was natürlich den Umsatz fördert. Dank der Verschlüsselung ist es ihnen sogar möglich, über eigentlich unsichere mobile Geräte zu bezahlen. Händler sind dabei dennoch nicht an einen Acquirer gebunden, sondern dürfen diesen frei wählen.

Weiterhin kann P2PE Zeit und Kosten bei der Zertifizierung für den „Payment Card Industry Data Security Standard“ (PCI-DSS) sparen, da die Netzinfrastruktur, das Kassensystem und die Peripherie des Händlers nicht mehr geprüft werden müssen und keine zusätzlichen Sicherheitsmaßnahmen wie VPN, Netzwerksegmentierung, Scans oder Penetrationstests notwendig sind. Händler haben zudem bei der obligatorischen Selbstbeurteilung nur noch 33 statt der sonst üblichen maximal 320 Fragen zu beantworten.

GFM: An wen richtet sich P2PE generell?

Günther Froschermeier: P2PE ist vor allem für Händler mit einem weit verzweigten Filialnetz interessant, die sich die PCI-DSS-Zertifizierung erleichtern und ihren Kunden größtmögliche Sicherheit gewähren wollen.

GFM: Wie gewährleisten Lösungsanbieter die Sicherheit der an sie übertragenen Daten?

Günther Froschermeier: Ich kann natürlich nicht für alle sprechen. Bei CCV wird die komplette Supply Chain abgesichert, um gegen alle denkbaren Arten von Angriffen geschützt zu sein. Die lückenlose Überwachung von Hardwarelieferungen, die Richtung Händler ausschließlich in versiegelten Einzelkartons erfolgen, sorgt dafür, dass sich keine manipulierten Geräte in das System einschmuggeln lassen. Unsere Mitarbeiter werden zudem bei jeder Tätigkeit ständig erfasst und können deshalb nicht unbemerkt in die Abläufe eingreifen. Desweiteren unterliegt der gesamte Software-Entwicklungsprozess einer strengen, laufenden Kontrolle.

GFM: Was ist notwendig, um ein P2PE-zertifizierter Anbieter wie CCV zu werden?

Günther Froschermeier: Aufgrund der einzuhaltenden Sicherheitsstandards müssen Unternehmen sehr strenge Auflagen erfüllen, bevor sie sich P2PE-zertifizierter Solution Provider nennen dürfen. Überprüft werden unter anderem die eingesetzte Hardware, Software und die Logistik-Prozesse hinsichtlich der Einhaltung der PCI-DSS und P2PE-Regeln. Es ist ein recht komplexes Thema. Da die Zertifizierung sehr aufwändig ist lohnt es sich alles oder Komponenten von einem bereits bestehenden und zertifizierten P2PE-Anbieter wie CCV zu beziehen.

PCI-DSS:

Der Payment Card Industry Data Security Standard legt fest, wie Händler und Dienstleister Kreditkartendaten speichern, übermitteln und abwickeln müssen. Welche Regeln dabei genau befolgt werden müssen, ist vom Transaktionsvolumen des Unternehmens abhängig. Zusätzlich wird berücksichtigt, ob es in der Vergangenheit bereits Sicherheitsprobleme gab. Wer die Regulierungen nicht beachtet, muss mit Strafzahlungen sowie Einschränkungen bei der Kreditkartenannahme rechnen. Im schlimmsten Fall kann dem Händler oder Dienstleister die Akzeptanz von Kreditkarten sogar komplett untersagt werden.

PCI P2PE:

PCI P2PE ist ein vom PCI Security Standards Council 2012 geschaffener Standard, der die Sicherheit im Zahlungsverkehr durch eine End-to-End-Verschlüsselung deutlich verbessern soll. Bevor eine P2PE-Lösung eingesetzt werden darf, muss sie zuerst von einem durch das PCI Security Standards Council bestätigten P2PE Qualified Security Assessor geprüft werden.

posten in:


Ressort: M-Payment, Interviews
Maximilian Feigl

,,

Kompendium Location Technologies and Services

Eine Übersicht über aktuelle Technologien, Marketingstrategien und Servicelösungen in der Verbindung von realer und Online-Welt. Mit dabei sind Unternehmen wie CCV, Cinram, Coca Cola, Epson, Ingram Micro, LANCOM Systems, Osram und PAYBACK.
Opens external link in new window...mehr


Nächste Veranstaltungen

Keine Artikel in dieser Ansicht.