PCI DSS - So schützen Sie Ihre Bezahlterminals am Point of Sale vor Manipulation und Missbrauch

Zahlungsverkehr sicher gestalten mit PCI DSS

Egal ob online, mobile oder am Point of Sale, Sicherheit ist und bleibt einer der wichtigsten Faktoren im Payment-Prozess. Dank jüngster Entwicklungen wie beispielsweise der EMV Chip Technologie (Chip & Pin) konnte das Risiko eines Kartenmissbrauchs in den vergangenen Jahren effektiv reduziert werden. Doch während die Kartennutzung vermeintlich sicherer wird, lässt sich am Point of Sale ein Trend beobachten, der Händler beunruhigt – physische Angriffe und Manipulationen von stationären Bezahlterminals nehmen weiter zu. Wir möchten Ihnen zeigen, wie solche Manipulationen aussehen und welche Maßnahmen Sie schützen können. Hierbei fallen immer öfter die Begriffe PCI und Skimming - in unserem Guide lesen Sie was sich hinter den Definitionen verbirgt.

Wie werden Terminals manipuliert? – Beispiel Skimming

Um Kartenlesegeräte zu manipulieren, arbeiten Betrüger mit sogenannten Overlay-Skimmern. Ein Overlay Skimmer ist eine Plastikhülle, die der tatsächlichen Eingabeoberfläche eines Terminals täuschend ähnlich nachempfunden ist – inklusive Tastenfeld und Kartenschlitz.

Steckt ein Terminal in einer solchen Hülle, können Betrügen ohne weiteren großen Aufwand an alle wichtigen Daten eines bezahlenden Kunden gelangen. Im Detail sieht der Vorgang wie folgt aus: Ein Kunde zieht seine Karte durch den manipulierten Kartenschlitz und gibt anschließend seinen PIN über das manipulierte Tastenfeld ein. Sind Kartendaten sowie PIN vom Skinner eingelesen, werde diese via Bluetooth an ein Smartphone übermittelt.

Worauf sollten Sie und Ihre Kunden achten? Skimmer lassen das Terminal klobiger wirken und auch die Tasten sind ein wichtiges Indiz. Sind diese nur schwer zu drücken, sollte das Gerät umgehend überprüft und vorrübergehend aus dem Verkehr gezogen werden.

Praktische Tipps zur Terminalsicherheit

Damit Sie Ihren stationären Handel noch sicherer betreiben können, haben wir für Sie vier praktische Tipps zur Terminalsicherheit zusammengefasst und aufgelistet:

Geben Sie Ihr Terminal niemals an eine fremde Person ab. Auch wenn sich diese als Wartungspersonal vorstellt, überlassen Sie ihr das Terminal bitte nicht ohne Rücksprache mit ihrem Payment Service Provider. Um Überraschungen zu vermeiden, sollten Technikerbesuche daher immer mit Ihrem PSP abgestimmt sein.
Grundsätzlich gibt es keine vorgeschriebene Frequenz, in der Sie Ihr Terminal überprüfen müssen, dennoch empfehlen wir eine tägliche Kontrolle. Überprüfen Sie Ihr Terminal mindestens oberflächlich auf Manipulationen oder Manipulationsversuche. Entdecken Sie Spuren einer Manipulation oder andere Auffälligkeiten, sollten Sie umgehend die Polizei und den entsprechenden Payment Provider informieren.
Besteht der Verdacht eines Einbruchs, sollten Sie umgehend die Polizei informieren ebenso wie Ihren Payment Provider (unabhängig von der Schwere des Einbruchs). Um jeglichen Spielraum für Manipulationen zu vermeiden, sollten Sie alle Terminals austauschen lassen.
Besteht akut der Verdacht auf Manipulation, haben Sie die Möglichkeit, mithilfe Ihres eigenen mobilen Endgerätes „fremde“ Sendequellen (Bluetooth, WLAN) zu orten. Überprüfen Sie außerdem das LAN-Kabel Ihres POS-Terminals. Bei Auffälligkeiten informieren Sie die Polizei sowie Ihren Payment Service Provider.

PCI DSS Requirement 9.9 – Pflichten für stationäre Geschäfte

Seit dem 1. Juli 2015 ist es auch Pflicht, das PCI DSS Requirement 9.9 zu befolgen, um den PCI DSS Compliance-Status aufrechtzuerhalten. Werden die POS-Devices nicht geschützt, läuft der Händler in Gefahr, keine Kartenzahlungen mehr anbieten zu dürfen.

Was ist PCI überhaupt?

PCI (auch PCI-DSS genannt) bedeutet Payment Card Industry Data Security Standard und stellt ein Regelwerk im Zahlungsverkehr dar. Dieses Regelwerk bezieht sich auf den Prozess von Kreditkartentransaktionen und wird von den wichtigen Kreditkartenorganisationen unterstützt und zur Kundensicherheit beachtet. Dienstleister und Händler, die Kreditkarten-Transaktionen nutzen, müssen sich an den PCI Standard halten. Tun sie dies nicht, können Strafgebühren verhängt und Einschränkungen ausgesprochen werden, die bis hin zur Untersagung der Akzeptanz von Kreditkarten führen können. Das Regelwerk beinhaltet zwölf Anforderungen, die die Unternehmen erfüllen müssen.

Hier finden Sie weitere Informationen zu den PCI Richtlinien.

Neueste PCI DSS Regulierungen

Punkt 9.9 beschäftigt sich mit der physischen Sicherheit der Karteninhaberdaten und der Verhinderung von kriminellen Angriffen. Wird über Kriminalität in Bezug auf Karteninhaberdaten gesprochen, sind nicht nur Hacker gemeint. Auch der physische Diebstahl von Hardware, welche diese Daten beinhalten, spielt eine Rolle ebenso wie kriminelle Manipulationen. Hierauf bezieht sich der Punkt 9.9 im Standard unter der Überschrift „Protect card-readig devices and terminals, used to capture cardholder data“. Alle Händler, die POS-Devices und POS-Terminals verwenden, um Kartenzahlungen zu akzeptieren, müssen die neuesten PCI DSS Regulierungen (z.Z. PCI DSS 3.2, veröffentlicht im April 2016) beachten.

1. Bestandshaltung von Terminals/Devices

Ab dem Zeitpunkt der Erstverwendung gilt es, die physische Sicherheit der Kartenlesegeräte kontinuierlich zu kontrollieren. Bei nur einem Einzelgerät ist das eine überschaubare Aufgabe. Bei einer Vielzahl von Geräten ist die geeignete Erfassung und das laufende Monitoring essentiell, um die Sicherheit effizient gewährleisten zu können. Zu erfassen sind zum einen der genaue Standort des Terminals, zum anderen alle wichtigen Angaben über das Gerät (z.B. Modell, Seriennummer und weitere gerätespezifischen Details). Kommt es zu Änderungen, wie beispielsweise dem Standortwechsel, sollten diese unverzüglich notiert werden.

2. Regelmäßige Kontrolle der Terminals/Devices auf Manipulationen und Substitutionen

Durch regelmäßige Inspektionen können Manipulationen und Substitutionen verhindert werden. Dafür müssen die spezifischen Kontrollmechanismen für die Geräte genau festgelegt und dokumentiert werden. PCI DSS 9.9 legt jedoch nicht die Häufigkeit der Überprüfungen fest. Dies liegt in der Hand des Händlers und ist abhängig von dem Risikoprofil des jeweiligen Devices. Das Risikoprofil setzt sich aus der Art des Gerätes, dem Standort sowie der Überwachung zusammen. Der Händler ist in Eigenregie für die Prüffrequenz zuständig.

3. Schulung des Personals

Alle Mitarbeiter sollten ausgebildet werden, um Kartenleser effektiv auf Substitution oder Manipulation untersuchen zu können. Grundsätzlich sollte das Unternehmen für alle Eventualitäten gewappnet sein. Kriminelle können gefälschte Devices, die extra auf Datendiebstahl ausgelegt sind, an Unternehmen senden oder sich sogar als autorisiertes Wartungspersonal ausgeben und so an die sensiblen Daten gelangen. Daher gilt es, durch regelmäßige Schulungen des Personals ein starkes Sicherheitsbewusstsein aufzubauen. Diese Schulungen sollten vom Unternehmen protokolliert und festgehalten werden.

Weitere Sicherheit durch Verschlüsselung und Testing

Sind die Datensätze perfekt verschlüsselt, können Hacker noch so viel Energie und Ressourcen in die Kreation neuer POS-Malware stecken - ihr Diebstahl bleibt ihnen verschlüsselt. Laut Experten wäre eine Ende-zu-Ende-Verschlüsselung das wirkungsvollste Mittel zum Schutz sensibler Daten. Hierbei wären die Kundendaten während des gesamten Bezahlprozesses verschlüsselt. Zudem sollten POS-Systeme regelmäßig getestet und auf Schwachstellen geprüft werden, damit diese stets auf dem aktuellsten Stand sind.