Regelmäßig zum „Security Scan“: Kreditkartenabrechnung wird zertifiziert
Hamburg/Düsseldorf, 26. November 2006, www.ne-na.de - Elf Monate lang konnten unbekannte Hacker Kreditkartendaten und Rechnungsanschriften von Kunden des Ticketshops Kartenhaus http://www.kartenhaus.de ausspähen. Theoretisch, so spekulieren Experten, könnten sie an einem einzigen Tag die Daten von 66.000 Käufern gestohlen haben. Bereits im März fiel die US-Einzelhandelskette TJX Datendieben zum Opfer, über 45 Millionen Kundendaten wurden gestohlen.
Für Kriminelle stellen Kreditkarten eine reizvolle Beute dar, da sie vergleichsweise einfach gefälscht werden können, berichtet das ZDF-Magazin Wiso http://www.wiso.de: „Dabei genügt es meist, den Magnetstreifen einer anderen gestohlenen Karte mit den erlangten Daten zu überschreiben und dann einkaufen zu gehen, eine Unterschriftsfälschung ist dann kaum noch nötig“, so das Magazin. Auch beim Einkaufen via Internet hätten Cyberkriminelle längst ihre Finger im Spiel, „vor allem wenn es um das Einkaufen immaterieller Werte geht: zum Beispiel Lizenzschlüssel für teure Software oder andere virtuelle Waren. Dabei ist es fast unmöglich nachzuvollziehen, wohin die Daten geliefert wurden. Aber auch reale Waren in Online-Shops werden mit gestohlenen Kreditkartendaten bestellt.“ Die dreistellige Prüfnummer CVN (Credit Card Validation Number) von Kreditkarten biete offensichtlich keinen ausreichenden Schutz. Betrügern, so hat die Wiso-Redaktion recherchiert, genügen Kreditkartennummer und Ablaufdatum für den Einkauf im Netz. Laut einer Erhebung des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) http://www.bitkom.de in Zusammenarbeit mit Forsa http://www.forsa.de ist die Kreditkartenzahlung
bei Einkäufen über das Internet derzeit mit 20 Prozent nach Lastschrift (38 Prozent) und Rechnung (29 Prozent) die am häufigsten genutzte Bezahlmethode.
Zwischen 2005 und 2006, so ermittelte die Unternehmensberatung Steria Mummert http://www.steria-mummert.de, ist die Zahl rechtswidriger Einsätze von Bankkarten um mehr als 17,5 Prozent gesunken. „Bei Kreditkarten betrug der Rückgang sogar 37 Prozent. Da heute nur in etwa jedem vierten Haushalt eine der rund 23 Millionen Kreditkarten vorhanden sein dürfte, ist mit der weiteren Verbreitung auch eine starke Zunahme der Nutzung zu erwarten“, so die Erfahrungen von Omar Khorshed, Vorstandschef des Düsseldorfer Abrechnungsspezialisten acoreus AG http://www.acoreus.de. Eine weitere Akzeptanzsteigerung erwartet er durch die Zertifizierung der Kreditkartenabrechnung. Der von der Kreditkartenindustrie geforderte Payment Card Industry Data Security Standard (PCI DSS) soll nämlich vor Datenmissbrauch schützen und das Vertrauen der Kunden in diese Zahlungsmethode stärken. Initiiert wurde der Standard ursprünglich von MasterCard International und Visa International. Im September 2006 haben dann American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International ein unabhängiges Gremium namens Payment Card Industry Security Standards Council (PCI SSC) https://www.pcisecuritystandards.org gegründet, das die Einhaltung der Standards überwachen und weiterentwickeln soll.
Webshops und Dienstleister mit mehr als sechs Millionen Kreditkartenzahlungen pro Jahr sind verpflichtet, die Sicherheit ihrer Netzwerke prüfen zu lassen, unter anderem durch vierteljährliche Security Scans, die Schwachstellen in Architektur und Konfiguration der Systeme aufdecken. Außerdem ist eine jährliche Eigenbewertung der Sicherheitsmaßnahmen (Self-Assessment Questionnaire) und ein Security Audit vor Ort vorgesehen. Dazu gehören Einsichtnahme in Logdateien relevanter Anwendungen, Nachverfolgung von Kreditkartentransaktionen innerhalb der IT-Systeme, Interviews mit Mitarbeitern, die für sicherheitsrelevante Systeme verantwortlich sind und Zugang zu vertraulichen Daten haben oder aber die Besichtigung der Serverräume und Rechenzentren.
Werden die Sicherheitsanforderungen nicht erfüllt, drohen Geldstrafen, im Extremfall wird sogar die Annahme von Kreditkarten untersagt. Diese Maßnahmen richten sich ausschließlich an Acquirer (Institute, die Kreditkartenakzeptanzverträge mit dem Handel vereinbaren), Händler und Service Provider, die Kreditkartendaten auf eigenen Systemen speichern, verarbeiten oder weiterleiten. acoreus-Chef Khorshed geht davon aus, „dass mit der Zertifizierung der Kreditkartenabrechnung und der damit einhergehenden besseren Sicherung der Kreditkartendaten beim Händler das Verfahren größere Akzeptanz beim Nutzer finden wird." Das Düsseldorfer Unternehmen bietet über die Standardleistungen im Kreditkartenabwicklungsgeschäft wie Anbindung verschiedener Acquirer, Risikomanagement und Reporting die PCI-konforme Speicherung der Kreditkartendaten, wodurch E-Commerce Unternehmen Kosten für die eigene Zertifizierung sparen können. Durch die enge Partnerschaft mit den Acquirern ergibt sich außerdem ein günstiges Disagio. Darüber hinaus ermöglicht das Unternehmen eine wirtschaftliche Abwicklung des Zahlungsverkehrs. Im Vergleich zu den klassischen Payment Service Providern bietet acoreus neben der Zahlungsverkehrsabwicklung auch Unterstützung bei den vor- und nachgelagerten Prozessen sowie in der Endkundenbetreuung durch ein eigenes Call Center.
Onlinemagazin NeueNachricht www.ne-na.de, medienbüro.sohn, Ettighoffer Str. 26A, 53123 Bonn oder per E-Mail. Für Rückfragen: Gunnar Sohn, Tel: 0228 620 44 74, Mobil: 0177 620 44 74.
Für Kriminelle stellen Kreditkarten eine reizvolle Beute dar, da sie vergleichsweise einfach gefälscht werden können, berichtet das ZDF-Magazin Wiso http://www.wiso.de: „Dabei genügt es meist, den Magnetstreifen einer anderen gestohlenen Karte mit den erlangten Daten zu überschreiben und dann einkaufen zu gehen, eine Unterschriftsfälschung ist dann kaum noch nötig“, so das Magazin. Auch beim Einkaufen via Internet hätten Cyberkriminelle längst ihre Finger im Spiel, „vor allem wenn es um das Einkaufen immaterieller Werte geht: zum Beispiel Lizenzschlüssel für teure Software oder andere virtuelle Waren. Dabei ist es fast unmöglich nachzuvollziehen, wohin die Daten geliefert wurden. Aber auch reale Waren in Online-Shops werden mit gestohlenen Kreditkartendaten bestellt.“ Die dreistellige Prüfnummer CVN (Credit Card Validation Number) von Kreditkarten biete offensichtlich keinen ausreichenden Schutz. Betrügern, so hat die Wiso-Redaktion recherchiert, genügen Kreditkartennummer und Ablaufdatum für den Einkauf im Netz. Laut einer Erhebung des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) http://www.bitkom.de in Zusammenarbeit mit Forsa http://www.forsa.de ist die Kreditkartenzahlung
bei Einkäufen über das Internet derzeit mit 20 Prozent nach Lastschrift (38 Prozent) und Rechnung (29 Prozent) die am häufigsten genutzte Bezahlmethode.
Zwischen 2005 und 2006, so ermittelte die Unternehmensberatung Steria Mummert http://www.steria-mummert.de, ist die Zahl rechtswidriger Einsätze von Bankkarten um mehr als 17,5 Prozent gesunken. „Bei Kreditkarten betrug der Rückgang sogar 37 Prozent. Da heute nur in etwa jedem vierten Haushalt eine der rund 23 Millionen Kreditkarten vorhanden sein dürfte, ist mit der weiteren Verbreitung auch eine starke Zunahme der Nutzung zu erwarten“, so die Erfahrungen von Omar Khorshed, Vorstandschef des Düsseldorfer Abrechnungsspezialisten acoreus AG http://www.acoreus.de. Eine weitere Akzeptanzsteigerung erwartet er durch die Zertifizierung der Kreditkartenabrechnung. Der von der Kreditkartenindustrie geforderte Payment Card Industry Data Security Standard (PCI DSS) soll nämlich vor Datenmissbrauch schützen und das Vertrauen der Kunden in diese Zahlungsmethode stärken. Initiiert wurde der Standard ursprünglich von MasterCard International und Visa International. Im September 2006 haben dann American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International ein unabhängiges Gremium namens Payment Card Industry Security Standards Council (PCI SSC) https://www.pcisecuritystandards.org gegründet, das die Einhaltung der Standards überwachen und weiterentwickeln soll.
Webshops und Dienstleister mit mehr als sechs Millionen Kreditkartenzahlungen pro Jahr sind verpflichtet, die Sicherheit ihrer Netzwerke prüfen zu lassen, unter anderem durch vierteljährliche Security Scans, die Schwachstellen in Architektur und Konfiguration der Systeme aufdecken. Außerdem ist eine jährliche Eigenbewertung der Sicherheitsmaßnahmen (Self-Assessment Questionnaire) und ein Security Audit vor Ort vorgesehen. Dazu gehören Einsichtnahme in Logdateien relevanter Anwendungen, Nachverfolgung von Kreditkartentransaktionen innerhalb der IT-Systeme, Interviews mit Mitarbeitern, die für sicherheitsrelevante Systeme verantwortlich sind und Zugang zu vertraulichen Daten haben oder aber die Besichtigung der Serverräume und Rechenzentren.
Werden die Sicherheitsanforderungen nicht erfüllt, drohen Geldstrafen, im Extremfall wird sogar die Annahme von Kreditkarten untersagt. Diese Maßnahmen richten sich ausschließlich an Acquirer (Institute, die Kreditkartenakzeptanzverträge mit dem Handel vereinbaren), Händler und Service Provider, die Kreditkartendaten auf eigenen Systemen speichern, verarbeiten oder weiterleiten. acoreus-Chef Khorshed geht davon aus, „dass mit der Zertifizierung der Kreditkartenabrechnung und der damit einhergehenden besseren Sicherung der Kreditkartendaten beim Händler das Verfahren größere Akzeptanz beim Nutzer finden wird." Das Düsseldorfer Unternehmen bietet über die Standardleistungen im Kreditkartenabwicklungsgeschäft wie Anbindung verschiedener Acquirer, Risikomanagement und Reporting die PCI-konforme Speicherung der Kreditkartendaten, wodurch E-Commerce Unternehmen Kosten für die eigene Zertifizierung sparen können. Durch die enge Partnerschaft mit den Acquirern ergibt sich außerdem ein günstiges Disagio. Darüber hinaus ermöglicht das Unternehmen eine wirtschaftliche Abwicklung des Zahlungsverkehrs. Im Vergleich zu den klassischen Payment Service Providern bietet acoreus neben der Zahlungsverkehrsabwicklung auch Unterstützung bei den vor- und nachgelagerten Prozessen sowie in der Endkundenbetreuung durch ein eigenes Call Center.
Onlinemagazin NeueNachricht www.ne-na.de, medienbüro.sohn, Ettighoffer Str. 26A, 53123 Bonn oder per E-Mail. Für Rückfragen: Gunnar Sohn, Tel: 0228 620 44 74, Mobil: 0177 620 44 74.