Schutz durch PCI-Compliance
Um im Fall der Fälle Schadensersatzforderungen durch die Kreditkartenunternehmen sowie die Akquirer - sie geben Karten aus und wickeln meist die Zahlungen ab - zu vermeiden, rät der auf bargeldlosen Zahlungsverkehr spezialisierte Frankfurter IT-Dienstleister Concardis GmbH Händlern und Dienstleistern, unbedingt darauf zu achten, ob die eingesetzte Lösung PCI-compliant ist.
Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind.
Darüber hinaus müssen je nach verwendetem Bezahlsystem noch weitere Anforderungen oder Empfehlungen berücksichtigt werden. Wer etwa 3D Secure einsetzt, benötigt ein zertifiziertes Merchant Plug-in (MPI). Ferner sollte er den 3D-Aktivierungsservice in seiner Website per iFrame steuern. Je nach Umsatz müssen die Händler zudem unterschiedliche interne und externe Audits bestehen, um ihre PCI-Compliance nachzuweisen.
- PCI-Anforderungen an die IT von Webshops
Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind. - Anforderung 1:
Firewall zum Schutz der Daten - Anforderung 2:
Keine Kennwörter in Werkseinstellung - Anforderung 3:
Schutz der Daten von Kreditkarteninhabern - Anforderung 4:
Verschlüsselte Datenübertragung in öffentlichen Netzen - Anforderung 11:
Entwicklung und Pflege sicherer Systeme und Anwendungen - Anforderung 7:
Beschränkung der Datenzugriffe auf das Notwendigste - Anforderung 8:
Eindeutige User-Kennung für Rechnerzugang - Anforderung 10:
Logging aller Zugriffe auf Kreditkartendaten - Anforderung 6:
Regelmäßige Prüfung aller Security-Systeme - Anforderung 12:
Richtlinien zur Informationssicherheit
Es bleibt ein Hase-und-Igel-Rennen
Doch egal wie ausgefeilt die Vorschriften und wie ausgeklügelt neue Security-Verfahren sind, es bleibt ein Hase-und-Igel-Rennen. Cyber-Kriminelle erkunden systematisch die Sicherheitslücken im Zahlungsverkehr und nutzen gefundene Schwachstellen gezielt aus. Bis Händler und Finanzindustrie das Schlupfloch entdeckt und Gegenmaßnahmen ergriffen haben, ist es meistens schon zu spät. Und kurze Zeit später beginnt das "Spiel" an anderer Stelle von vorne.
Deshalb sind viele Experten der Meinung, dass man sich weniger auf die Entwicklung neuer Sicherheitssysteme konzentrieren als vielmehr die Betrugsvermeidung durch Prävention verstärken sollte. Im einfachsten Fall reichen für diesen Ansatz Plausibilitätsprüfungen: "Kann es sein, dass eine Kreditkarte, die zum Tanken in Italien verwendet wurde, zwei Minuten später in New York benutzt wird?" Sowohl Karteninstitute wie auch Akquirer arbeiten mit Nachdruck an der Verbesserung ihrer Prevention-Systeme, lassen sich dabei aber nur ungern in die Karten schauen.
Drei E-Payment-Verfahren im Vergleich
Neben der Kreditkarte haben sich hierzulande vor allem drei E-Payment-Verfahren etabliert. Doch alle weisen Schwächen auf.