Sicher Kasse machen

Sicher Kasse machen

Wie steht es um die Sicherheit beim Zahlvorgang im deutschen Einzelhandel?

Keyfacts über Kartennutzung

  • Kartenzahlungen sind sicher, wenn grundlegende Regeln beachtet werden
  • Dilemma des Handels: Bequemlichkeit siegt über Sicherheit
  • Beim bargeldlosen Zahlen, Sicherheit nicht nur technisch betrachten
Zusammenfassung lesen

Es ist so praktisch: Beim Einkaufen schnell die Karte gezückt, Unterschrift oder PIN und schon ist der Kaufpreis beglichen. Jedoch – war die Geldtransaktion auch sicher? Zumeist ja. Im Verhältnis zu den täglich in Deutschland vorgenommenen Kartenzahlungen sind die Fälle, in denen es Kriminellen gelingt auf fremde Kartendaten zuzugreifen, eher gering. Aber, eine totale Sicherheit gibt es nicht. Jeden Tag kommt es zu Fällen von Datendiebstahl an Kartenterminals – Skimming ist hierfür der Fachbegriff.

Standen vor ein paar Jahren noch hauptsächlich die Geldautomaten der Banken im Fokus krimineller Banden, sind es aktuell vor allem die Transaktionsterminals des Einzelhandels. Der Grund hierfür ist einfach: Die Banken haben zuletzt massiv in ihre Sicherheit investiert. Kaum ein Automat, der heute nicht von einer Kamera überwacht wird. Natürlich gibt es auch hier immer wieder Fälle von Datendiebstahl, denn die Kriminellen sind erfinderisch. Aber meist suchen sie den Weg des geringstmöglichen Risikos für ihre Handlungen – und der führt sie oftmals an die Kassen des Einzelhandels.

Einzelhandel rückt in den Fokus der Karten-Kriminellen

Ja, es stimmt: Wenn man das Zahlenfeld bei der Eingabe des PINs abdeckt, kann die Person hinter einem die Zahlen nicht erhaschen – wenn sie denn überhaupt ein Interesse daran hat. Was aber, wenn das Gerät manipuliert wurde und es selbst die Daten an Kriminelle übermittelt? Vielleicht wurde eine Folie als Zwischenebene eingezogen, die die Daten erfasst. Oder die Software des Geräts wurde manipuliert. Die Kriminellen sind hier ausgesprochen innovativ. Als Kunde können Sie leider nur bedingt etwas für die Sicherheit Ihrer Zahlung tun – ja, schützen Sie Ihren PIN, betrachten Sie die Geräte zur Dateneingabe mit offenen Augen und prüfen Sie regelmäßig Ihren Kontostand. Aber: Es liegt an den Einzelhändlern, die Sicherheit beim Zahlen zu stärken.

Der Einzelhandel ist hier auch bereits sehr rührig. Jedoch steht er vor einem Dilemma: Was wiegt schwerer – die Sicherheit beim Zahlen oder die Bequemlichkeit der Kunden? Obwohl seit Jahren die PIN-Eingabe der sicherere Weg der Zahlungsbestätigung ist, wird auch weiterhin oftmals nur eine Unterschrift gefordert. Der Kunde bevorzugt dies. Auch wird diese zumeist kaum mit der auf der Karte verglichen – der Kunde könnte sich unbegründet verdächtigt fühlen. Ein weiterer Aspekt kommt hinzu: Das Abgleichen der PIN mit dem Zentralrechner des Kartenemittenten ist ein weiterer technischer Schritt – und diesen berechnen die Zahlungsdienstleister dem Einzelhändler extra.

Wenn die Gefahr im System sitzt

Was aber, wenn die Sicherheitslücke gar nicht durch ein manuelles Manipulieren der Transaktionsterminals entstanden ist? Sondern zum Beispiel die Betriebssoftware der Geräte gehackt wurde? Als Einzelhändler sollte man darauf achten, Geräte eines Herstellers zu erwerben, für den Cyber Security ein wichtiger Teil der eigenen DNA ist. Verantwortungsvolle Hersteller betreiben hier viel Aufwand – bereits in der Entwicklung ihrer Geräte, wie auch in der Nachsorge indem sie kontinuierlich Sicherheitsupdates bereitstellen.

Generell sollten Einzelhändler sich jedoch nicht nur auf den Gerätehersteller verlassen, sei er noch so renommiert. Neben einer guten technischen Ausstattung, sollte man auch immer das große Ganze im Blick behalten: Welche Angriffsmethoden sind bei Kriminellen aktuell en vogue? Werden Angriffe die abgewehrt wurden, aber stattfanden, von der eigenen Unternehmens-IT überprüft und ausgewertet? Habe ich im Unternehmen Prozesse, um z.B. Kunden zu informieren sollten meine Sicherheitssysteme eines Tages versagen? Bin ich gegenüber Behörden oder meiner Bank in solch einem Fall meldepflichtig?

Sicherheit in allen Bereichen mitdenken

Unternehmen sollten eine Kultur der Sicherheit in ihren Strukturen verankern. Es gilt ein Bewusstsein in der Belegschaft zu formen, dass digitale Bezahlvorgänge angreifbar sind – und dies auf vielen Ebenen. Die Verkäuferin sollte stutzig werden, wenn ein Kunde an einer Selbstbedienungskasse ungewöhnlich lange braucht. Genauso wie der Mitarbeiter der IT-Abteilung, wenn das System anders als normal agiert.

Es sind definitiv nicht nur technische Aspekte, die für ein Mehr an Sicherheit beim Bezahlvorgang sorgen. Genauso wichtig ist ein gewisses Maß an konstruktivem Misstrauen und gesundem Menschenverstand. Dann ist auch die Sicherheit bei digitalen Weiterentwicklungen des Zahlvorgangs wie z.B. dem Zahlen mit dem Handy oder dem „Darüberwischen“ mit einer Bezahl-Karte mit einem NFC-Chip, sicher zu gestalten und absolut kein Hexenwerk.

04. Dezember 2017
Zusammengefasst

»Unternehmen sollten eine Kultur der Sicherheit in ihren Strukturen verankern. Es gilt ein Bewusstsein in der Belegschaft zu formen, dass digitale Bezahlvorgänge angreifbar sind – und dies auf vielen Ebenen.«

Es ist so praktisch: Beim Einkaufen schnell die Karte gezückt, Unterschrift oder PIN und schon ist der Kaufpreis beglichen. Jedoch, war die Geldtransaktion auch sicher? Der Einzelhandel steht vor einem Dilemma: Was wiegt mehr – die Sicherheit beim Zahlen oder die Bequemlichkeit der Kunden?

Marko Vogel Director, Security Consulting
Ganzen Artikel lesen

Kommentare

Tun Unternehmen genug für die Sicherheit Ihrer Kunden?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen