PaylobbyGuides › PCI und Skimming bei POS-Terminals

PCI DSS - So schützen Sie Ihre Bezahlterminals am Point of Sale vor Manipulation und Missbrauch

Zahlungsverkehr sicher gestalten mit PCI DSS

Egal ob online, mobile oder am Point of Sale, Sicherheit ist und bleibt einer der wichtigsten Faktoren im Payment-Prozess. Dank jüngster Entwicklungen wie beispielsweise der EMV Chip Technologie (Chip & Pin) konnte das Risiko eines Kartenmissbrauchs in den vergangenen Jahren effektiv reduziert werden. Doch während die Kartennutzung vermeintlich sicherer wird, lässt sich am Point of Sale ein Trend beobachten, der Händler beunruhigt –  physische Angriffe und Manipulationen von stationären Bezahlterminals nehmen weiter zu. Wir möchten Ihnen zeigen, wie solche Manipulationen aussehen und welche Maßnahmen Sie schützen können.

Wie werden Terminals manipuliert? – Beispiel Skimming

Um Kartenlesegeräte zu manipulieren, arbeiten Betrüger mit sogenannten Overlay-Skimmern. Ein Overlay Skimmer ist eine Plastikhülle, die der tatsächlichen Eingabeoberfläche eines Terminals täuschend ähnlich nachempfunden ist – inklusive Tastenfeld und Kartenschlitz.

Steckt ein Terminal in einer solchen Hülle, können Betrügen ohne weiteren großen Aufwand an alle wichtigen Daten eines bezahlenden Kunden gelangen. Im Detail sieht der Vorgang wie folgt aus: Ein Kunde zieht seine Karte durch den manipulierten Kartenschlitz und gibt anschließend seinen PIN über das manipulierte Tastenfeld ein. Sind Kartendaten sowie PIN vom Skinner eingelesen, werde diese via Bluetooth an ein Smartphone übermittelt.

Worauf sollten Sie und Ihre Kunden achten? Skimmer lassen das Terminal klobiger wirken und auch die Tasten sind ein wichtiges Indiz. Sind diese nur schwer zu drücken, sollte das Gerät umgehend überprüft und vorrübergehend aus dem Verkehr gezogen werden.

Praktische Tipps zur Terminalsicherheit

Damit Sie Ihren stationären Handel noch sicherer betreiben können, haben wir für Sie vier praktische Tipps zur Terminalsicherheit zusammengefasst und aufgelistet:

PCI DSS Requirement 9.9 – Pflichten für stationäre Geschäfte

Seit dem 1. Juli 2015 ist es auch Pflicht, das PCI DSS Requirement 9.9 zu befolgen, um den PCI DSS Compliance-Status aufrechtzuerhalten. Werden die POS-Devices nicht geschützt, läuft der Händler in Gefahr, keine Kartenzahlungen mehr anbieten zu dürfen.

Was ist PCI überhaupt?

PCI (auch PCI-DSS genannt) bedeutet Payment Card Industry Data Security Standard und stellt ein Regelwerk im Zahlungsverkehr dar. Dieses Regelwerk bezieht sich auf den Prozess von Kreditkartentransaktionen und wird von den wichtigen Kreditkartenorganisationen unterstützt und zur Kundensicherheit beachtet. Dienstleister und Händler, die Kreditkarten-Transaktionen nutzen, müssen sich an den PCI Standard halten. Tun sie dies nicht, können Strafgebühren verhängt und Einschränkungen ausgesprochen werden, die bis hin zur Untersagung der Akzeptanz von Kreditkarten führen können. Das Regelwerk beinhaltet zwölf Anforderungen, die die Unternehmen erfüllen müssen.

Hier finden Sie weitere Informationen zu den PCI Richtlinien.

Neueste PCI DSS Regulierungen

Punkt 9.9 beschäftigt sich mit der physischen Sicherheit der Karteninhaberdaten und der Verhinderung von kriminellen Angriffen. Wird über Kriminalität in Bezug auf Karteninhaberdaten gesprochen, sind nicht nur Hacker gemeint. Auch der physische Diebstahl von Hardware, welche diese Daten beinhalten, spielt eine Rolle ebenso wie kriminelle Manipulationen. Hierauf bezieht sich der Punkt 9.9 im Standard unter der Überschrift „Protect card-readig devices and terminals, used to capture cardholder data“. Alle Händler, die POS-Devices und POS-Terminals verwenden, um Kartenzahlungen zu akzeptieren, müssen die neuesten PCI DSS Regulierungen (z.Z. PCI DSS 3.2, veröffentlicht im April 2016) beachten.

1. Bestandshaltung von Terminals/Devices

Ab dem Zeitpunkt der Erstverwendung gilt es, die physische Sicherheit der Kartenlesegeräte kontinuierlich zu kontrollieren. Bei nur einem Einzelgerät ist das eine überschaubare Aufgabe. Bei einer Vielzahl von Geräten ist die geeignete Erfassung und das laufende Monitoring essentiell, um die Sicherheit effizient gewährleisten zu können. Zu erfassen sind zum einen der genaue Standort des Terminals, zum anderen alle wichtigen Angaben über das Gerät (z.B. Modell, Seriennummer und weitere gerätespezifischen Details). Kommt es zu Änderungen, wie beispielsweise dem Standortwechsel, sollten diese unverzüglich notiert werden.

2. Regelmäßige Kontrolle der Terminals/Devices auf Manipulationen und Substitutionen

Durch regelmäßige Inspektionen können Manipulationen und Substitutionen verhindert werden. Dafür müssen die spezifischen Kontrollmechanismen für die Geräte genau festgelegt und dokumentiert werden. PCI DSS 9.9 legt jedoch nicht die Häufigkeit der Überprüfungen fest. Dies liegt in der Hand des Händlers und ist abhängig von dem Risikoprofil des jeweiligen Devices. Das Risikoprofil setzt sich aus der Art des Gerätes, dem Standort sowie der Überwachung zusammen. Der Händler ist in Eigenregie für die Prüffrequenz zuständig.

3. Schulung des Personals

Alle Mitarbeiter sollten ausgebildet werden, um Kartenleser effektiv auf Substitution oder Manipulation untersuchen zu können. Grundsätzlich sollte das Unternehmen für alle Eventualitäten gewappnet sein. Kriminelle können gefälschte Devices, die extra auf Datendiebstahl ausgelegt sind, an Unternehmen senden oder sich sogar als autorisiertes Wartungspersonal ausgeben und so an die sensiblen Daten gelangen. Daher gilt es, durch regelmäßige Schulungen des Personals ein starkes Sicherheitsbewusstsein aufzubauen. Diese Schulungen sollten vom Unternehmen protokolliert und festgehalten werden.

Weitere Sicherheit durch Verschlüsselung und Testing

Sind die Datensätze perfekt verschlüsselt, können Hacker noch so viel Energie und Ressourcen in die Kreation neuer POS-Malware stecken - ihr Diebstahl bleibt ihnen verschlüsselt. Laut Experten wäre eine Ende-zu-Ende-Verschlüsselung das wirkungsvollste Mittel zum Schutz sensibler Daten. Hierbei wären die Kundendaten während des gesamten Bezahlprozesses verschlüsselt. Zudem sollten POS-Systeme regelmäßig getestet und auf Schwachstellen geprüft werden, damit diese stets auf dem aktuellsten Stand sind.

Quellen:

https://www.thepaypers.com/expert-opinion/are-you-meeting-your-pci-obligations-to-secure-your-payment-transactions-/769220
https://blog.advantio.com/pci-dss-requirement-9.9-card-reading-devices-terminals
https://www.computerwoche.de/a/pos-kassensysteme-vor-hackern-schuetzen,3326278
https://www.kartensicherheit.de/oeffentlich/kartensicherheit-fuer-haendler/sicherheitstipps-fuer-haendler.html

Kostenlos Angebot anfordern?

AGBs

  • Ich akzeptiere die AGBs und Datenschutzerklärung

Payment Ratgeber
Debitkarten

Debitkarten

Debitkarten sind aus dem täglichen Zahlungsverkehr nicht mehr wegzudenken. Finden Sie hier alle wichtigen Informationen.

E-Wallet

E-Wallet

Wie schneidet das noch recht neue Zahlungsmittel, E-Wallet, gegenüber traditionellen Bezahlmethoden ab?

Lastschrift

Lastschrift

Lastschrift ist immernoch ein äußerst beliebtes Zahlungsmittel. Finden Sie heraus worauf Sie dabei achten sollten.

Prepaidkarten

Prepaidkarten

Die Alternative zur herkömmlichen Kreditkarten bilden die Prepaidkarten. Was sie von anderen Zahlungsmethoden unterscheidet finde Sie hier heraus.

Kreditkarten

Kreditkarten

Kreditkartenzahlung wird online immer beliebter. Finden Sie heraus welche Vor- und Nachteile diese Methode hat und worauf Sie dabei achten sollten.

Internationaler E-Commerce

Internationaler E-Commerce

Die Vorlieben bei Bezahlmethoden sind von Land zu Land unterschiedlich. Finden Sie hier einen idealen Einstieg in das Payment im Internationalen E-Commerce.

Bezahlsysteme im Internet

Bezahlsysteme im Internet

Finden Sie heraus, welche die beliebtesten Bezahlsysteme im Internet sind und verschaffen sie sich einen Überblick über die jeweiligen Vor- und Nachteile.

Kriterien bei der PSP-Auswahl

Kriterien bei der PSP-Auswahl

Erfahren Sie auf welche Aspekte Sie achten müssen, wenn sie einen für Sie passenden Service Provider finden möchten. Hier gibt es die wichtigsten Kriterien bei der PSP-Wahl.

Entscheidende Kosten im Payment

Entscheidende Kosten im Payment

Schaffen Sie sich einen Überblick über die entschiedenden Kosten im Payment-Prozess und erfahren Sie welche einmaligen oder fixen Gebühren auf Sie zukommen können.