Anfang April berichtete die New York Times über spektakuläre Datendiebstähle: Bei den Luxusmode- Filialisten Saks Fifth Avenue und Lord & Taylor wurden insgesamt fünf Millionen Kundendaten entwendet. Die Daten scheinen mithilfe einer Software gestohlen worden zu sein, die in die Kassensysteme der Geschäfte eingeschleust wurde und dort die Kartennummern entwendete.
Kann so etwas auch in Deutschland geschehen? Ist ein solcher Datendiebstahl eine ernstzunehmende Gefahr für unsere Einzelhandelsgeschäfte beziehungsweise deren Kunden? Wie können sich Händler dagegen schützen?
Eine andere Art von Betrug
Davon ausgehend, was wir über den Fall aktuell wissen, ist der Datendiebstahl bei Saks und Lord & Taylor ein sehr interessanter Vorgang. Betrug hört leider nie auf: Ist eine Möglichkeit verschlossen, suchen Täter sich neue Wege. In diesem Fall war nicht - wie sonst häufig - der Online-Shop betroffen, sondern die physischen Kassen in den Ladengeschäften.
Nachdem sich die Zahlungsbranche in letzter Zeit auf die Datensicherheit von Online-Shops fokussiert hat und einen hohen Sicherheitsstandard erarbeiten konnte, haben Hacker nun offenbar entdeckt, wie einfach es für sie sein kann, Daten direkt aus den Kassen der Einzelhändler zu stehlen. Aber was können Einzelhändler nun dagegen tun?
Dass Online-Shops heutzutage sicherer sind als früher, ist das Ergebnis von Sicherheitsmaßnahmen wie Firewalls oder starker Verschlüsselung von Kartendaten.
Datenverschlüsselung bei kleineren Einzelhändlern verpflichtend machen
Der bereits 2004 eingeführte PCI-Standard (Payment Card Industry) ist obligatorisch für die meisten Online-Shops, für Einzelhandelsgeschäfte jedoch nur ab einer gewissen Größe. Saks und Lord & Taylor gehören offenbar nicht zur Gruppe der Händler mit PCI-Pflicht.
Viele kleine und mittelständische Einzelhandelsgeschäfte sind noch nicht verpflichtet, ihre Daten ordnungsgemäß und standardisiert zu verschlüsseln. Es ist geradezu nachlässig von Visa und Mastercard, die Regeln nicht auf kleinere Einzelhandelsgeschäfte auszudehnen, und Einzelhändler unternehmen solche Bemühungen selten freiwillig.
P2PE-Verschlüsselung ist der beste Schutz
Andererseits bieten Visa und Mastercard auch die beste Lösung gegen diese Art von Datendiebstahl: Für Kartenterminals und Registrierkassen entwickelten sie den Sicherheitsstandard P2PE (Pointto- Point-Encryption).
Wenn Einzelhändler Kartenterminals und Zahlungsanbieter verwenden, die P2PE unterstützen, werden die Kartendaten im Kartenterminal stark verschlüsselt. Die Kasse des Händlers bekommt die Kartendaten nie im Klartext zu sehen. Nur der Zahlungsanbieter kann sie entschlüsseln. Der Händler erhält nur eine Token- oder Ersatznummer, die für Hacker nutzlos ist.
P2PE ist die neueste Technologie, die in Europa und in Deutschland immer öfter eingeführt wird - während die USA immer noch daran arbeiten, EMV-Chipkartenleser zu installieren. Zahlen zufolge, die im September 2017 auf dem U.S. Payments Forum Member Meeting präsentiert wurden, wurden 2017 erst 55 Prozent der Kartenumsätze in den USA über Chipkarten abgewickelt. Für Ende 2017 wurde die Zahl der chipfähigen Geldautomaten auf 80 Prozent geschätzt. Und selbst unter den 200 größten Händlern in den USA akzeptieren vier Prozent noch keine chipgestützten Transaktionen.
Auch für kleinere Händler finanzierbar
Computop hat bereits Tausende von P2PE-Kartenterminals in Europa und den USA, hauptsächlich für große internationale Einzelhändler, eingeführt.
Es gibt keinen Grund, warum kleinere Einzelhändler den Sicherheitsstandard nicht ebenfalls nutzen sollten - es ist nicht teuer.
Eine starke Verschlüsselung und der Verzicht auf die Speicherung von Kreditkartendaten bei den Händlern, sind derzeit der beste verfügbare Schutz für Kartendaten. Wir sollten nicht warten, bis solche Diebstähle auch bei uns in Europa häufiger auftreten. Wir können sofort und schnell etwas dagegen tun, und die Kunden des Einzelhandels werden es zu schätzen wissen.
Ralf Gladis, Geschäftsführer, Computop Wirtschaftsinformation GmbH, Bamberg
