Zum Schutz der Karteninhaber

Zahlungen über das Internet werden immer beliebter, das Marktvolumen soll sich laut einer Studie von Forrester Research in den nächsten fünf Jahren mehr als verdoppeln. Täglich werden dabei unzählige Kreditkarten-Transaktionen getätigt. Mit dem rasanten Wachstum steigt jedoch auch das Risiko, Opfer von Internetkriminellen zu werden. Sie sehen hier eine neue «Einnahmequelle». Deshalb sind alle Webshop-Anbieter gefordert, die Daten bestmöglich zu schützen, um so das Vertrauen der Kunden nicht zu untergraben.

Die 12 Richtlinien des PCI Data Security Standard

Bei uns noch kein Thema

Um den aktuellen und kommenden Bedrohungen bei Online-Einkäufen gerecht zu werden, müssen sich seit Ende September alle Firmen, die in irgendwelcher Form Kreditkartendaten speichern oder verarbeiten, an den Payment Card Industry Data Security Standard (PCI DSS) halten. In zwölf Punkten (siehe Kasten rechts und Seite 52) schreiben die «grossen» Kreditkartenfirmen wie Visa oder Mastercard ihren Business-Partnern vor, was sie ab sofort an Security-Massnahmen umzusetzen haben. Bisher gingen sie recht kulant um, aber im Hinblick auf das kommende, grosse Risikopotential unternehmen sie etwas. Hält sich jemand nicht an die Auflagen, drohen ihm hohe Strafen – der die Kreditkartengebühren werden erhöht.



Der PCI DSS ist für einen Standard mit nur 20 A4-Seiten Umfang recht schlank und einfach gehalten. «Er sollte von einem KMU mit Webshop ohne enorm grossen Aufwand erreicht werden können», meint Cyrill Osterwalder, CEO der Visonys AG, die zur Payment Card Industry Security Vendor Alliance (siehe Kasten Seite 52) gehört und Betroffene bei der Erfüllung der Vorgaben unterstützt. Auf den ersten Blick also eine einfache Sache. Allerdings sieht Osterwalder auch zwei Knackpunkte: Zum einen fehle da und dort in den Unternehmen das nötige Know-how zur Umsetzung, zum anderen stehe im Standard nichts darüber, bis zu welchem Detailgrad man die Punkte erfüllen muss.

Bis zur effektiven Umsetzung des PCI DSS sind in der Schweiz jedoch erst sehr wenige Unternehmen gekommen. In unseren Nachbarländern Österreich und Deutschland ist man da laut Osterwalder bereits viel weiter. In den USA und Grossbritannien ebenfalls. Die Gründe sieht er darin, dass die Kreditkartenfirmen wie Visa bisher vor allem auf die ganz Grossen Druck ausüben, das heisst auf Firmen mit mehreren Millionen Transaktionen pro Jahr. Davon gibt es in der Schweiz nicht sehr viele.





Visualisierung von Visonys Airlock

SBB lagert Daten aus

Ein Schweizer Unternehmen, das sich bereits an die Umsetzung des PCI DSS gemacht hat, sind die SBB. «Wir legen grossen Wert nicht nur auf die Praktikabilität unseres Online-Ticketshops, sondern auch auf die Datensicherheit», erklärt SBB-Mediensprecher Roland Binz. Seit Mitte Oktober erfüllt man dank einer Zusammenarbeit mit einem von unabhängiger Stelle zertifizierten Payment Service Provider die PCI-DSS-Anforderungen. Dadurch sind neu in den Systemen der SBB keine Kreditkartendaten der Kunden mehr gespeichert. «Dies ist für uns – neben Sicherheitsmerkmalen wie dem CVV2 Code oder 3D-Secure – ein zusätzliches Sicherheitsinstrument, weil so bei den SBB keine Daten mehr zu holen sind», so Binz zu den Vorteilen der Auslagerung. Statt den «realen» Daten befindet sich in den SBB-Systemen künftig nurmehr eine Alias-Information.



Die Umsetzung des PCI DSS verlief laut Aussage von Binz ohne nennenswerte Probleme: «Heute nutzen über 500’000 User mehr oder weniger regelmässig den SBB-Ticketshop im Internet. Die Umstellung war natürlich eine grosse Herausforderung und bedurfte einer mehrmonatigen, sorgfältigen Planungs-, Vorbereitungs- und Umsetzungsphase.»

Intern oder extern?

Wie eingangs erwähnt, muss sich jedes Unternehmen, das in irgendeiner Form mit Kreditkartendaten in Berührung steht, an den Payment Card Industry Data Security Standard halten. Auf einen Schlag sind also aktuell sehr viele Unternehmen davon betroffen. Darunter gibt’s bestimmt auch einige, die sich bisher kaum gross um Sicherheit gekümmert haben. Deshalb verwundert es auch nicht, dass sich ein paar Firmen gegen den Standard, der eigentlich simpel abgefasst ist, wehren, «weil er zu schwer zu erreichen sei», erklärt Cyrill Osterwalder. Er kann die Ängste zum Teil verstehen, versichert aber, dass trotz einer Einführung des PCI DSS nicht gleich das ganze Business zerstört wird, wie es einige befürchten.



Um dem neuen Standard Herr zu werden, gibt es für KMU zwei Lösungswege, einen internen oder einen externen. In beiden Fällen sollte der erste Schritt identisch sein: eine Übersicht über den aktuellen Stand und die Ziele, die man erreichen möchte. Ist man sich darüber im klaren, muss man sich entscheiden, ob man intern über genügend Security-Know-how verfügt oder ob man einen Consultant beizieht, der auf PCI spezialisiert ist. Danach müssen die gewünschten Massnahmen umgesetzt und die benötigte Hard- und Software angeschafft werden. Analog dem SBB-Beispiel kann man die komplette Angelegenheit natürlich auch von Anfang an mit einem Payment Service Provider gemeinsam planen und die kritischen Punkte auslagern. Eine Methode, die heute wohl bereits von einigen KMU angewandt wird.




Konkret lassen sich Webshops effizient durch eine vorgelagerte Web Application Firewall (WAF) sichern, wie beispielsweise Visonys Airlock, die direkt sieben der zwölf PCI-DSS-Anforderungen erfüllt. Sie terminiert Verbindungen und Protokolle und filtert alle Daten und Requests auf sämtlichen Ebenen. Ebenfalls beinhaltet die WAF eine vorgelagerte Benutzerauthentifizierung gekoppelt an ein sicheres Session-Handling und viele weitere Security-Features.

Kein umfassender Schutz

Mit der Einhaltung des PCI DSS ist ein Unternehmen aber nicht auf einen Schlag vollkommen sicher. So ist es zum Beispiel durch Bestechung eines Mitarbeiters möglich, an die gewünschten Daten zu kommen. «Hundertprozentige Security gibt es nirgends», weiss Osterwalder, «das ist jedoch kein Grund, nicht möglichst viel dafür zu tun. Und mit dem PCI DSS erreicht die Security im Umgang mit Kreditkartendaten einen massiv besseren Level.»



Ein interessanter Aspekt noch zum Schluss: Zum allerersten Mal kann dank dem PCI DSS eine Firma nicht mehr selbst bestimmen, was sie an IT-Security aufwenden möchte, sondern muss sich an die Vorgaben eines Business-Partners halten. Ein Modell, das man in den USA nun bereits auch in anderen Branchen sehen kann, vor allem, wenn es um sensible Kundendaten geht.

Wer was fordert und wer einem dabei hilft

Der PCI SSC (Payment Card Industry Security Standards Council) ist ein unabhängiges Gremium, das von den Kreditkartenunternehmen American Express, Discover Financial Services, JCB, Mastercard Worldwide und Visa International gegründet wurde. Ihr Ziel ist, einen sicheren Zahlungsverkehr mit Kredit- und Debitkarten zu gewährleisten.

Dazu hat der PCI SSC den PCI DSS (Payment Card Industry Data Security Standard) eingeführt. Ihn müssen alle Unternehmen zwingend einhalten, die Daten von Kredit- und Debitkarten speichern, verarbeiten oder übermitteln. Behilflich bei der Erfüllung dieser Auflagen sind die Mitglieder der PCI SVA (Payment Card Industry Security Vendor Alliance). Zu dieser Allianz gehören mit Visonys und United Security Providers auch zwei Schweizer Unternehmen.

(mv)