E-Payment - eine sichere Sache?

Sicher bezahlen im Web

03.11.2011
Von 
Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 

Schutz durch PCI-Compliance

Foto: GaToR GFX, Fotolia.de

Um im Fall der Fälle Schadensersatzforderungen durch die Kreditkartenunternehmen sowie die Akquirer - sie geben Karten aus und wickeln meist die Zahlungen ab - zu vermeiden, rät der auf bargeldlosen Zahlungsverkehr spezialisierte Frankfurter IT-Dienstleister Concardis GmbH Händlern und Dienstleistern, unbedingt darauf zu achten, ob die eingesetzte Lösung PCI-compliant ist.

Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind.

Darüber hinaus müssen je nach verwendetem Bezahlsystem noch weitere Anforderungen oder Empfehlungen berücksichtigt werden. Wer etwa 3D Secure einsetzt, benötigt ein zertifiziertes Merchant Plug-in (MPI). Ferner sollte er den 3D-Aktivierungsservice in seiner Website per iFrame steuern. Je nach Umsatz müssen die Händler zudem unterschiedliche interne und externe Audits bestehen, um ihre PCI-Compliance nachzuweisen.

Es bleibt ein Hase-und-Igel-Rennen

Doch egal wie ausgefeilt die Vorschriften und wie ausgeklügelt neue Security-Verfahren sind, es bleibt ein Hase-und-Igel-Rennen. Cyber-Kriminelle erkunden systematisch die Sicherheitslücken im Zahlungsverkehr und nutzen gefundene Schwachstellen gezielt aus. Bis Händler und Finanzindustrie das Schlupfloch entdeckt und Gegenmaßnahmen ergriffen haben, ist es meistens schon zu spät. Und kurze Zeit später beginnt das "Spiel" an anderer Stelle von vorne.

Deshalb sind viele Experten der Meinung, dass man sich weniger auf die Entwicklung neuer Sicherheitssysteme konzentrieren als vielmehr die Betrugsvermeidung durch Prävention verstärken sollte. Im einfachsten Fall reichen für diesen Ansatz Plausibilitätsprüfungen: "Kann es sein, dass eine Kreditkarte, die zum Tanken in Italien verwendet wurde, zwei Minuten später in New York benutzt wird?" Sowohl Karteninstitute wie auch Akquirer arbeiten mit Nachdruck an der Verbesserung ihrer Prevention-Systeme, lassen sich dabei aber nur ungern in die Karten schauen.

Drei E-Payment-Verfahren im Vergleich

Neben der Kreditkarte haben sich hierzulande vor allem drei E-Payment-Verfahren etabliert. Doch alle weisen Schwächen auf.