Geldinstitute > Strategie

01.12.2017 von Sascha Kremer, Director Carrier Development bei Cradlepoint

Einheitliche Standards zur Kreditkartenzahlung

Kartenzahlungen bedürfen eines großen Maßes an Vertrauen seitens der Kunden. Ein einheitlicher so genannter „Payment Card Industry Data Security Standard“ (kurz: PCI DSS) soll hier für mehr Sicherheit sorgen. Jedes Unternehmen, das seinen Kunden Kartenzahlungen anbietet, muss die Anforderungen des PCI DSS erfüllen. Die Umsetzung des PCI DSS ist mit Legacy-Netzwerken aufwendig und kostenintensiv. Moderne Netzwerktechnologien wie SD-WAN erleichtern die Um- und Durchsetzung des Sicherheitsstandards.

Autor: Sascha Kremer, Director Carrier Development bei Cradlepoint

In den letzten Monaten sorgten einige Fälle, bei denen sensible Kundendaten von Cyberkriminellen entwendet wurden, für Schlagzeilen. Allen voran der Fall Yahoo. Das Unternehmen musste eingestehen, dass sämtliche Kundenkonten im Jahr 2013 von einem breiten Datendiebstahl betroffen waren. Die Diebe entwendeten neben Namen, Geburtsdaten und E-Mail-Adressen auch Passwörter und Sicherheitsfragen. Noch gravierender der Fall Equifax: Der US-amerikanischen Wirtschaftsauskunftei gingen hochsensible Daten von 145 Millionen Kunden verloren, darunter neben Namen und Geburtsdaten auch Sozialversicherungsnummern, die in den USA, analog zum deutschen Postident-Verfahren, zur Identifizierung bei Vertragsabschlüssen verwendet werden.

Bargeldlos zahlen: Bequemlichkeit versus Verletzlichkeit

Beide Fälle demonstrieren uns, wie verwundbar wir alle gegenüber Cyberangriffen sind, ganz besonders wenn wir bargeldlos bezahlen. Egal, ob wir unsere Kredit- oder EC-Karte im Ladengeschäft, Supermarkt oder im Online-Shop „durchziehen“: Immer werden sensible Daten übertragen - übers Internet. Laut Statista wurden in Deutschland im Jahr 2016 allein per Kreditkarte über eine Milliarde Transaktionen abgewickelt. Tendenz steigend.

Wenn Kunden mit elektronischen Mitteln bezahlen, bedeutet das nicht nur einen Bequemlichkeitsfaktor. Kunden schenken dem Händler auch eine große Portion Vertrauen. Denn im Moment des Bezahlvorgangs wissen sie nicht, was mit ihren Daten passiert. Und zur Abwicklung eines Bezahlvorgangs müssen zumindest die Kartennummer, der Name des Karteninhabers, das Ablaufdatum und der Servicecode transferiert werden – genug Daten, um im Falle eines Missbrauchs zum Beispiel online einkaufen zu können.

Schutz von Karteninhaberdaten: Globale Verantwortung

Der Schutz von Kredit- und Scheckkartendaten ist daher keine lästige Pflicht für den einzelnen Händler, sondern gemeinsame Verantwortung gegenüber den Kunden und letztendlich auch gegenüber der Gesellschaft. Damit leuchtet ein, warum der Antrieb der Zahlungskartenbranche so hoch ist, einen einheitlichen Sicherheitsstandard durchzusetzen. Die damit verbundenen Anforderungen wurden im PCI DSS – Payment Card Industry Data Security Standard – zusammengefasst. Dieser liegt aktuell in Version 3.2 vor und gilt als äußerst robust und gereift.

Der PCI DSS 3.2 beinhaltet sowohl technische als auch betriebliche Anforderungen. Jedes Unternehmen, welches seinen Kunden Kartenzahlungen anbietet, unabhängig in welchem Umfang, muss die Anforderungen des PCI DSS erfüllen. Verstöße ziehen empfindliche Strafen nach sich: Den Entzug des Händlerstatus, hohe Geldstrafen und die Haftbarkeit für Konsequenzen, die sich aus einem Datenverlust ergeben.

Die grundlegenden Richtlinien des PCI DSS 3.2

Folgende grundlegende Richtlinien umfasst der PCI DSS 3.2:

  • Ein sicheres LAN bzw. WAN: Das komplette Unternehmensnetzwerk muss gegen Angriffe von außen gesichert sein, zum Beispiel durch Firewalls. Auch die Anwendung von Antiviren- und Antimalware-Software ist ein Muss. Diese Anforderung gilt auch für sämtliche Komponenten im WAN, also Geräte, aber auch Orte, wie Filialen-Netzwerke sowie Anwendungen. Der PCI DSS fordert in diesem Zusammenhang auch ein Netzwerkdiagramm.
  • Geschützte Karteninhaberdaten: Wenn Karteninhaberdaten gespeichert werden, müssen diese verschlüsselt oder anderweitig „maskiert“ gelagert und übertragen werden. Generell dürfen nur die Kartennummer, der Name des Karteninhabers, das Ablaufdatum und der Servicecode gespeichert werden. Weitere Daten, etwa der PIN-Code, dürfen Unternehmen für die Transaktion zwar nutzen, aber nicht gemeinsam mit den anderen Daten speichern.
  • Kontinuierliche Pflege des LANs bzw. WANs: Eine weitere Anforderung ist Software, die das Management des WANs erlaubt, aber auch seine Orchestrierung.
  • Starke Maßnahmen zur Zugriffskontrolle: Dies betrifft die Mitarbeiter, die den Zugang zu Karteninhaberdaten anhand des Informationsbedarfs und der Zuständigkeiten reglementieren (auch physisch), Kosten und Nutzen dafür abwägen und den Zugriff auf Karteninhaberdaten dokumentieren.
  • Einsatz von Belastungstests und Administrationssoftware: Dies umfasst die fortlaufende Überwachung des Netzwerks, also wer greift auf welche Ressourcen zu und wann, insbesondere auf die Karteninhaberdaten. Die Sicherheit des Unternehmensnetzwerks muss regelmäßig getestet und entsprechend angepasst werden. Außerdem fordert der PCI DSS festgeschriebene Prozesse, die die Administration regeln.
  • Compliance-Richtlinien: Auch die menschliche Komponente muss mit einbezogen werden, das heißt es braucht Sicherheitsrichtlinien für die Mitarbeiter hinsichtlich Zugang, Umgang mit und Nutzung von sensiblen Daten.

Diese Anforderungen müssen zwingend erfüllt sein, damit sich ein Unternehmen als „PCI compliant“, also „PCI konform“ bezeichnen darf. Diese Konformität wird übrigens jedes Jahr aufs Neue geprüft und erteilt. Eine dauerhafte Zertifizierung verleiht das PCI Konsortium nicht.

Über die „harten“ Anforderungen hinaus gibt die PCI Interessengemeinschaft einige weitere Empfehlungen an Unternehmen, die Karteninhaberdaten verarbeiten. Darunter wird zum Beispiel empfohlen, Netzwerksegmentierung zu nutzen, also die Netzwerke, in denen Karteninhaberdaten verarbeitet werden, von anderen operativen Netzwerken zu trennen. WLAN sollte nur nach strenger Kosten-Nutzen-Abwägung zum Einsatz kommen. Und die Auslagerung von Kartentransaktionen an Drittanbieter wird als Option, gerade für kleinere Händler, ins Spiel gebracht - wobei diese Praxis den Händler nicht davon entbindet, den PCI DSS anzuwenden und durchzusetzen.

Umsetzung des PCI DSS: Wie moderne Netzwerktechnologien helfen

Dies klingt hochkompliziert, aufwendig und teuer. Und das wäre es auch, wenn man LANs und WANs herkömmlich, nämlich hardware-orientiert, denkt, aufbaut und verwaltet. Dank moderner, cloudbasierter Technologien ist die Orchestrierung und Unterhaltung von Unternehmensnetzwerken jedoch simpler und kostengünstiger denn je, ohne Abstriche in puncto Sicherheit machen zu müssen. Konkret sprechen wir vom Software-definierten WAN (SD-WAN) sowie Software-definierten Perimetern (SD-Perimeter) auf Gerät- und Anwendungsebene. SD-WAN-Technologien erlauben es:

  • Sichere LANs und WANs zu entwerfen, inklusive der Personen, Orte und Dinge darin, bis auf die Anwendungsebene;
  • Diese WANs zu überwachen und, wenn notwendig, Maßnahmen zu ergreifen um etwa Verbindungen zu kappen, Netzwerke zu isolieren oder zu reparieren, unabhängig vom Ort, an dem sich das IT-Team befindet (gerade für sehr verteilt arbeitende Handelsunternehmen ein gewichtiges Kostenargument);
  • Schnell auf sich verändernde IT-Infrastrukturen und Organisationsstrukturen zu reagieren.

Auch wir bieten mit unserem NetCloud Manager einen Netzwerk-Management-Service innerhalb unserer Cloud-Plattform. Für diesen Service durchlaufen wir jährlich den PCI DSS-Compliance-Prozess und können hier aus Erfahrung sprechen, wenn es darum geht Vorteile zu unterstreichen. Software-definierten Unternehmensnetzwerken gemein ist ein gewisser Automatisierungsgrad: SD-WANs optimieren und reparieren sich ein großes Stück weit selbst. Letztendlich führt kein Weg am software-definierten WAN vorbei, wenn CIOs den PCI DSS 3.2 technisch sauber und zu kalkulierbaren Kosten umsetzen wollen. Was bleibt ist die Sensibilisierung der Mitarbeiter. Das können SD-WANs noch nicht.