eCommerce Anzeige
/ e-Commerce Recht & Sicherheitsfragen / Machen Sie bösen Jungs zu Weihnachten keine Geschenke

Machen Sie bösen Jungs zu Weihnachten keine Geschenke

Es ist fast wieder soweit: Die Regale sind gefüllt und die erste warme Lichter strahlen einen auf den Straßen an, die Festtage stehen so gut wie vor der Tür und Händler, Hotels und Gaststätten drücken die Daumen, dass 2017 ein Umsatzstarkes Weihnachtsgeschäft für sie bereithält.
Stefica Divkovic an 18. Dezember 2017 - 16:38 in e-Commerce Recht & Sicherheitsfragen
Stefica Divkovic - Managing Director DACH, Verizon Enterprise Solutions

Stefica Divkovic ~ Managing Director DACH, Verizon Enterprise Solutions

Ganz gleich, was die Saison für den Handel bringen wird, eines ist jetzt bereits sicher: Die Verbraucher werden einen Großteil ihres Geldes online ausgeben; der Umsatz im europäischen E-Commerce-Geschäft wird in diesem Jahr auf 602 Mrd. Euro geschätzt. Westeuropa führt die Märkte hier an. Im direkten Vergleich der Länder liegt das Vereinigte Königreich an der Spitze – hier werden circa 33 Prozent der europäischen Online-Verkäufe stattfinden. Auch in Deutschland ist dieser Trend längst angekommen: 2016 lag die Bundesrepublik mit 82 Prozent an online shoppenden Verbrauchern auf Platz drei, hinter dem Vereinigten Königreich (87 Prozent) und Dänemark (84 Prozent).

Dabei wird das digitale Einkaufen mit mobilen Endgeräten immer beliebter, oftmals werden für die Tätigung eines Kaufs gleich mehrere Geräte verwendet. So sucht jemand zum Beispiel auf seinem Laptop nach einem Produkt, prüft die Verfügbarkeit auf dem Smartphone und bezahlt mithilfe eines anderen, smarten Geräts – die Entwicklung geht hin zum Omnichannel-Einkaufserlebnis und macht es umso wichtiger, dass Unternehmen die Daten Ihrer Kunden einschließlich Zahlungskarten-Informationen Device- und Channel-übergreifend sicher aufbewahren.

Die Entwicklung der Kartensicherheit

Kredit- und Debitkarten gibt es seit den 1950ern bzw. 1970ern. Im Verlauf der Jahre sind den Karten verschiedene Sicherheitsmerkmale – vom Hologramm bis hin zu raffinierten elektronischen Features – hinzugefügt worden. Gestohlene Karten zu verwenden oder Karten zu fälschen ist so erheblich schwieriger geworden, aber Kriminellen geben nicht einfach klein bei. Sie konzentrieren sich jetzt vermehrt für sogenannte CNP-Angriffe (Card Not Present). Diese umfassen Transaktionen, die per Telefon oder online erfolgen. Letztere sind aufgrund der enormen Zunahme beim E-Commerce von besonderem Interesse.

Um gegen diese zunehmende Form der Kriminalität vorzugehen, experimentieren Kartenherausgeber mit einer Reihe neuer Kartenmerkmale. Hierzu zählt das elektronische Display, das alle 30 Sekunden einen neuen Code generiert. Die einzige Technik, die es jedoch bislang zu einer weiten Verbreitung geschafft hat, ist 3D Secure, eine Variante der Zwei-Faktoren-Authentifizierung. Wird eine Online-Transaktion eingeleitet, muss der Karteninhaber in einem separaten Formular ein Passwort eingeben. Falls das noch nicht vergeben wurde, müssen zusätzliche persönliche Informationen wie etwa Geburtsdatum eingegeben werden, um ein solches Passwort einzurichten.

Neben der Veränderung der Karten selbst befassen sich deren Herausgeber mit der Frage, wie man die Betrugserkennung optimieren kann. Dies hat den Vorteil, dass man gegenüber dem Benutzer unsichtbar bleibt und ihn damit nicht davon abhält, Transaktionen vorzunehmen. Eine vielversprechende Methode ist die Verwendung von Standortdaten des Smartphones, damit gesichert ist, dass der Benutzer sich auch dort aufhält, wo die Transaktion stattfindet. Ist das nicht der Fall, kann die Transaktion blockiert werden, oder es werden zusätzlich Daten zur Verifikation abgefragt.

Zusätzliche Sicherheitsmaßnahmen sind jedoch nur ein Teil der Antwort. Die Einzelhändler müssen für robuste Sicherheitsvorkehrungen in ihrem Geschäft sorgen. Andernfalls bleiben die Daten ihrer Kunden angreifbar – und eine Datenverletzung kann jedem das Weihnachtsfest verderben.

Daten während und nach der Transaktion schützen

Einzelhändler müssen Daten während der Transaktion schützen, nachdem die Zahlung erfolgt ist und wenn die Daten gespeichert werden, weshalb einige wichtige Punkte beachtet werden sollten:

  • Augen auf bei Anzeichen von Gerätemanipulation: Zur Erfassung von Zahlungsdaten eingesetzte Endgeräte sollten regelmäßig kontrolliert werden. Diese Kontrolle schließt auch die Schulung von Mitarbeitern ein, so dass sie in der Lage sind, Manipulationsanzeichen zu erkennen. Zudem sollten Endgeräte immer sicher aufbewahrt werden, wenn sie nicht benutzt werden.
  • Daten verschlüsseln: Websites und Apps sollten mit Secure-Coding-Techniken unter Verwendung der neusten Version von TLS aufgesetzt werden. Bei persönlichen Zahlungen schützt Point-to-Point-Encryption (P2PE) die am Point-of-Sale (POS) erfassten Daten, bis sie in eine sichere Entschlüsselungsumgebung gelangen.
  • Hohe Standards Identifizierungs- und Verarbeitungsrichtlinien: Vergewissern Sie sich, dass sämtliche Methoden zur Verarbeitung von Zahlungskartendaten (einschließlich der von Dritten) über robuste Identifizierungs- und Verarbeitungsrichtlinien verfügen. Hierzu gehört das Abändern sämtlicher Standard-Passwörter, die Verwendung starker Authentifizierung und die Gewährleistung, dass Anwender Accounts nicht gemeinsam nutzen. Daten sollten nicht länger als absolut notwendig aufbewahrt und nur mit anderen geteilt werden, sofern dies für ihre Arbeit erforderlich ist. All das ist simple Sicherheitshygiene und man staunt immer wieder, wie viele Unternehmen bereits hieran scheitern.
  • In Mitarbeiter investieren lohnt sich: Mitarbeiter können sich als wertvollstes Asset oder größte Schwachstelle erweisen. Schulungen helfen Personal dabei, Bedrohungen zu erkennen und Alarm zu schlagen. Die Überwachung und Messung von Sicherheitskontrollen hilft dabei, die Effektivität von Sicherheitsmaßnahmen zu erfassen und unterstützen so den Aufbau eines nachhaltigen Kontrollsystems, das sowohl bei Veränderungen im Unternehmen wie in der Bedrohungslandschaft wirksam bleibt.

Unsere Forschung ist zu dem Ergebnis gekommen, dass bei Cyberattacken die Größe eines Unternehmens keine Rolle spielt. Eine einzige Datenverletzung kann jedoch nachhaltige Auswirkungen auf die Reputation eines Unternehmens haben. PCI DSS Compliance kann die Chancen einer Cyberattacke innerhalb von Organisationen reduzieren, da durch sie die voranstehenden Sicherheitsmaßnahmen abgedeckt – und viele andere mehr.

Mit PCI DSS konform zu sein, ist keine Garantie, dass nichts passiert, aber es ist ein großer Schritt in die richtige Richtung. Bei allen Datenverletzungen in Verbindung mit Zahlungskarten, die das Verizon Threat Research Advisory Center (VTRAC) Team seit 2010 untersucht hat, war nicht eine der betroffenen Firmen und Behörden zum Zeitpunkt des Vorfalls zu 100 % konform. Sichere Aufbewahrung von Kundendaten heißt nicht, einen entsprechenden Test einmalig zu bestehen. Sicherheitskontrollen werden tagtäglich auf die Probe gestellt, und müssen robust und widerstandsfähig sein. Wann immer Kunden einen Kauf tätigen, tun sie dies im Vertrauen auf die Marke. Man sollte sie nicht enttäuschen!

Stefica Divkovic

Stefica Divkovic ist Managing Director DACH, Verizon Enterprise Solutions.

More Posts

0 Kommentare beitragen

Senden Sie uns eine Mitteilung Hier

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest

Share This