Anfang April berichtete die New York Times über spektakuläre Datendiebstähle: Bei den Luxusmode-Filialisten Saks Fifth Avenue und Lord & Taylor wurden insgesamt fünf Millionen Kundendaten entwendet. Die Daten scheinen mit Hilfe einer Software gestohlen worden zu sein, die in die Kassensysteme der Geschäfte eingeschleust wurde und dort die Kartennummern entwendete.
Kann das auch in Deutschland geschehen? Ist ein solcher Datendiebstahl eine ernstzunehmende Gefahr für unsere Einzelhandelsgeschäfte? Wie können sich Händler dagegen schützen? Ralf Gladis, Geschäftsführer des Payment Service Providers Computop, äußert sich dazu:
„Davon ausgehend, was wir über den Fall aktuell wissen, ist der Datendiebstahl bei Saks und Lord & Taylor ein sehr interessanter Vorgang. Betrug hört leider nie auf: Ist eine Möglichkeit verschlossen, suchen Täter sich neue Wege. In diesem Fall war nicht – wie sonst häufig – der Online-Shop betroffen, sondern die physischen Kassen in den Ladengeschäften. Nachdem sich die Zahlungsbranche in letzter Zeit auf die Datensicherheit von Online-Shops fokussiert hat und einen hohen Sicherheitsstandard erarbeiten konnte, haben Hacker nun offenbar entdeckt, wie einfach es für sie sein kann, Daten direkt aus den Kassen der Einzelhändler zu stehlen. Aber was können Einzelhändler nun dagegen tun?
Dass Online-Shops heutzutage sicherer sind, ist das Ergebnis von Sicherheitsmaßnahmen wie Firewalls oder starker Verschlüsselung von Kartendaten. Der PCI-Standard (Payment Card Industry) ist obligatorisch für die meisten Online-Shops, für Einzelhandelsgeschäfte jedoch nur ab einer gewissen Größe. Saks und Lord & Taylor gehören offenbar nicht zur Gruppe der Händler mit PCI-Pflicht. Viele kleine und mittelständische Einzelhandelsgeschäfte sind noch nicht verpflichtet, ihre Daten ordnungsgemäß und standardisiert zu verschlüsseln. Es ist geradezu nachlässig von VISA und Mastercard, die Regeln nicht auf kleinere Einzelhandelsgeschäfte auszudehnen, und Einzelhändler unternehmen solche Bemühungen selten freiwillig.
VISA und Mastercard bieten beste Lösung
Andererseits bieten VISA und Mastercard auch die beste Lösung gegen diese Art von Datendiebstahl: Für Kartenterminals und Registrierkassen entwickelten sie den Sicherheitsstandard P2PE (Point-to-Point-Encryption). Wenn Einzelhändler Kartenterminals und Zahlungsanbieter verwenden, die P2PE unterstützen, werden die Kartendaten im Kartenterminal stark verschlüsselt. Die Kasse des Händlers bekommt die Kartendaten nie im Klartext zu sehen. Nur der Zahlungsanbieter kann sie entschlüsseln. Der Händler erhält nur eine Token- oder Ersatznummer, die für Hacker nutzlos ist.
Verschlüsselung und Verzicht auf Speicherung sind der derzeit beste verfügbare Schutz für Kartendaten
P2PE ist die neueste Technologie, die in Europa und in Deutschland immer öfter eingeführt wird – während die USA immer noch daran arbeiten, EMV-Chipkartenleser zu installieren. Wir haben mit Computop bereits Tausende von P2PE-Kartenterminals in Europa und den USA, hauptsächlich für große internationale Einzelhändler, eingeführt. Es gibt keinen Grund, warum kleinere Einzelhändler, den Sicherheitsstandard nicht ebenfalls nutzen sollten – es ist nicht teuer. Eine starke Verschlüsselung und der Verzicht auf die Speicherung von Kreditkartendaten bei den Händlern, sind derzeit der beste verfügbare Schutz für Kartendaten. Wir sollten nicht warten, bis solche Diebstähle auch bei uns in Europa häufiger auftreten. Wir können sofort und schnell etwas dagegen tun, und die Kunden des Einzelhandels werden es zu schätzen wissen.“
