Zahlungsdaten müssen umfangreich geschützt werden PCI-Standards kennen und einhalten
Anbieter zum Thema
Kartenzahlungen nehmen zu – und wurden zum Beispiel während der Corona-Pandemie fast zu einer Notwendigkeit, wenn Geschäfte zum bargeldlosen Zahlen aufforderten. Die Zahldaten der internationalen Zahlungssysteme von MasterCard, Visa und drei weiteren Anbietern werden von den Standards der Payment Card Industry (PCI) geschützt. Für Unternehmen, die Zahldaten im Namen dieser Anbieter erheben, verarbeiten und speichern, bedeutet das, besagte Standards einzuhalten und die Konformität regelmäßig nachweisen zu können.

PCI Standards wurden als Selbstverpflichtung der Marken Visa, Mastercard, American Express, Discover und JCB eingeführt, um den Schutz der Zahldaten dieser internationalen Zahlungssysteme zu gewährleisten. Es handelt es sich also nicht um gesetzliche Regelungen, sondern um akzeptierte Industriestandards. Alle Technologien, Prozesse und Produkte, die für Zahltransaktionen notwendig und an ihnen beteiligt sind, werden von den PCI Standards abgedeckt. Es gibt neun übergreifende Standards, die zum Teil wieder in Unterstandards unterteilt sind.
- 1. Der PCI DSS (Payment Card Industry Data Security Standard) ist der bekannteste. Er regelt den Umgang mit der Kreditkartennummer, der Primary Account Number, und gilt für alle, die Kartendaten speichern, verarbeiten und übertragen.
- 2. Im Standard PCI Card Production mit Unterstandards zur logischen und physischen Sicherheit wird der Schutz der Kartenproduktion geregelt.
- 3. Der Standard PCI PTS (PIN Transaction Security) schützt Produkte: Darüber wird die Sicherheit von Geräten gewährleistet, in die man eine PIN eingibt, zum Beispiel Pinpads von Geldautomaten oder Bezahlterminals an der Kasse.
- 4. Mit dem Standard PCI PA-DSS (Payment Application Data Security Standard) wird die Zahlungsapplikation geprüft. Er wird auf das PCI Software Security Framework umgestellt. Dabei werden Zahlungsanwendungen in Hintergrundsystemen oder auf Bezahlgeräten geprüft.
- 5. Der Standard PCI 3DS (3-D Secure Verfahren) kommt bei der Zwei-Faktor-Identifikation bei Kartenzahlungen im Internet zum Einsatz.
- 6. Der PCI P2PE (Point to Point Encryption) sorgt für eine sichere Verschlüsselung, sobald die Karte in ein Bezahlgerät gesteckt wird. Daten werden erst wieder in den Hintergrundsystemen der Zahlungsabwickler entschlüsselt, dazwischen sind sie nicht im Klartext abgreifbar.
- 7. Der Standard PCI PIN schützt PINs und die Umgebungen, in denen sie verarbeitet werden. Hier ist die sichere Verschlüsselung der wesentliche Faktor.
- 8. Der Standard PCI CPoC (Contactless Payment on Commercial off-the-shelf devices) regelt die kontaktlose Bezahlung via Kreditkarte an Smartphones oder Tablets über die NFC-Schnittstelle.
- 9. Der Standard PCI SPoC (Software-based PIN entry on Commercial off-the-shelf devices) regelt den Schutz von PINs bei der Entgegennahme von Zahlungen mit Smartphones oder Tablets.
Die jeweilige Dienstleistung entscheidet, welche der PCI Standards gelten. Betroffen sind alle Händler, Dienstleister und Betriebe, die in die Transaktions-Verarbeitung der großen fünf Zahlungssysteme involviert sind. Dazu gehören Einzelhändler mit Zahlungsterminals genauso wie Zwischendienstleister, die Rechenzentren betreiben, und Banken oder Geldinstitute als eigentliche Zahlungsabwickler.
Zahlungsdienstleister verpflichten sich und andere zur Einhaltung der Standards
Zahlungsdienstleister, die sogenannten Acquirer, unterhalten Verträge mit den internationalen Zahlungssystemen. Diese verpflichten die Acquirer, dass deren angeschlossene Händler die Einhaltung des PCI DSS garantieren können. Händler müssen ihre Konformität einmal jährlich nachweisen. Abhängig von der Anzahl der Transaktionen erfordert das den Besuch eines Auditors oder ist mit einem Selbstauskunfts-Fragebogen möglich. Der Auditor stellt nach dem bestandenen Audit die Konformitätsbescheinigung (Attestation of Compliance) aus.
Auch Drittdienstleister müssen ihre Konformität überprüfen lassen – das gibt das Dienstleistermanagement des PCI DSS vor. Auch diese Überprüfung erfolgt entweder über eine Selbstauskunft oder eine Auditoren-Prüfung.
Compliance-Voraussetzung: Die Liste ist lang
Jeder Standard umfasst diverse Voraussetzungen, die auf der technischen und der organisatorischen Ebene eingehalten werden müssen. Allein für den PCI DSS gibt es rund 250 Einzelanforderungen. Die Hauptbereiche sind folgende:
- Netzwerksegmentierung, Begrenzung und Kontrolle der Verbindungen und des Traffics: So kann sichergestellt werden, dass Systeme nicht untereinander aufeinander zugreifen können. Auch Datenverbindungen werden kontrolliert.
- Härtung von Systemen: Vor ihrem Einsatz im Netzwerk werden zentrale Einstellungen angepasst, Default-Accounts verändert und Standard-Passwörter ersetzt. Auch die Nutzung sicherer Einstellungen muss gewährleistet sein. Das bedeutet eine Begrenzung der Standard-Einstellungen, das Abschalten unsicherer Protokolle oder das Entfernen von unnötigen Diensten, die durch Schwachstellen zu Sicherheitslücken werden können.
- Verschlüsselung: Sie spielt eine zentrale Rolle bei der Speicherung und Übertragung der Kartendaten. So wird verhindert, dass Daten von Angreifern mitgelesen werden können.
- Einschränkung und Kontrolle von Zutritt und Zugriff: Es muss sichergestellt werden, dass nur Autorisierte Zugriff auf Daten und Systeme erhalten. Auf der logischen Ebene sind dafür unter anderem Passwortrichtlinien umzusetzen, auf der physischen Ebene bspw. Besucherregelungen für Serverräume.
- Monitoring und Malewareschutz: Durch Überwachung der Systeme sowie durch Logging, die Protokollierung der Zugriffe und Aktionen im System, werden Auffälligkeiten schnell erkannt.
- Regelmäßige Überprüfungen: Dazu gehören jährliche Penetrationstests, vierteljährliche Schwachstellen-Scans sowie Reviews von Prozessen und Einstellungen.
- Informationssicherheitsmanagement (ISM): Im ISM werden dokumentierte Richtlinien, Prozesse und Verantwortlichkeiten festgelegt. Mitarbeiter müssen zum Beispiel in Security Awareness geschult werden, außerdem sind eine definierte Incident Response und ein Dienstleistermanagement erforderlich.
Weitere Voraussetzungen für die Einhaltung von PCI Standards sind unter anderem die sichere Entwicklung von Software, die Bewertung von Schwachstellen, zeitnahe Updates und ein geregeltes Changemanagement.
Gängige Fehler, die der Konformität entgegenstehen
Vier Fehler passieren häufig bei der Umsetzung der PCI Standards: Sie werden nicht von Anfang an berücksichtigt, laufende Aufwände zur Aufrechterhaltung der Konformität werden unterschätzt, und dem Personal fehlt das Bewusstsein für die Bedeutung der Standards.
Werden die Anforderungen der PCI Standards nicht bei der Konzeptualisierung, dem Aufbau des Netzwerks und der Strukturen beachtet, wird häufig ein späteres, aufwändiges wie teures Aufrüsten und Umstrukturieren erforderlich. Gerade die Anforderungen der PCI DSS sollten bekannt sein. Es bietet sich zum Beispiel an, die Bezahldaten in einem Netzwerksegment mit besonderem Schutz zu verarbeiteten und zu speichern, das von anderen Unternehmensbereichen abgegrenzt wird, die nicht die PCI DSS erfüllen müssen. Wird dagegen ein Netzwerk für alle Prozesse genutzt, müssen alle Systeme den strengeren PCI-Anforderungen unterliegen, was mit riesigen Aufwänden verbunden ist.
Unternehmen müssen sich darüber im Klaren sein, dass sie die Konformität dauerhaft aufrechterhalten müssen. Das bedeutet, ihre Systeme an sich stets verändernde Voraussetzungen anzupassen - an neue Standards, neue Risiken und neue Angriffe. Werden zum Beispiel Verschlüsselungsprotokolle, die bei der Übertragung und Speicherung der Zahlungsdaten eingesetzt werden, erfolgreich angegriffen, müssen die Algorithmen umgestellt werden. Auf diese notwendigen Anpassungen im System sind Firmen oft nicht vorbereitet. Gerade Updates werden gescheut, da sie laufende Systeme leicht stören können. Doch bei neuen Sicherheitslücken oder alten Systemen mit auslaufendem Support sind Aktualisierungen zwingend notwendig. Unterhalten Firmen eine Vielzahl von Servern, stellt das eine große Hürde dar: Die Umstellung kostet Zeit und Ressourcen gleichermaßen.
Die dritte Herausforderung liegt in der Schaffung von Bewusstsein: Mitarbeiter, vom Rezeptionisten im Hotel bis zur Kassiererin in der Filiale, müssen wissen, wie Bezahlterminals und Zahlungen sicher betrieben werden. Dazu gehören zwei Faktoren: Zum einen muss das Gerät selbst sicher sein, zum anderen auch sein Umfeld. Gerade, wenn Daten gespeichert werden sollen, steigen die Anforderungen für Schutz, Verschlüsselung und Zugriffskontrolle schnell. Dann ist nicht nur das entsprechende IT-Tool notwendig, sondern auch ein fachkundiger Mitarbeiter, der es konfigurieren kann.
Darüber hinaus steht die Dienstleisterbeziehung oft nicht genug im Fokus. Es mangelt an ausreichenden Prüfungen und es herrschen Unklarheiten über die Verantwortlichkeiten für die Aufrechterhaltung einzelner Schutzmaßnahmen. Damit besteht das Risiko, dass die Schutz-Kette unterbrochen wird.
Konformität mit Hilfe erlangen
Kennen Unternehmen die Anforderungen der Standards von Anfang an und berücksichtigen diese, erleichtert das vieles. Mit dem Kauf und der Einrichtung der notwendigen Systeme ist es aber noch nicht getan, vielmehr müssen regelmäßige Aufwände einkalkuliert werden, um sie auf dem aktuellen Stand zu halten. Um Notwendigkeiten zur Anpassung zu erkennen, sind außerdem regelmäßige Reviews wichtig. Diese Aufrechterhaltung der Konformität erfordert Knowhow und Ressourcen, was gerade kleine Händler oft nicht besitzen. Ein externer Berater, wie die SRC Security Research & Consulting GmbH, kann unterstützen, die Anforderungen zu verstehen und umzusetzen.
Fazit
Um Prozesse und technische Infrastruktur wie gefordert ausrichten zu können, müssen Unternehmen nicht nur wissen, welche PCI Standards und welche Anforderungen für sie gelten. Sie sollten zudem wiederkehrende Aufwände durch die Notwendigkeit der steten Aktualisierung einberechnen und das Bewusstsein der Mitarbeiter für die Anforderungen schulen.
Über die Autorin: Jana Ehlers ist Bereichsleiterin PCI bei der SRC Security Research & Consulting GmbH.
(ID:46881149)