Im Zuge der Pandemie hat sich auch im Bargeldland Deutschland die kontaktlose Kartenzahlung mehr und mehr durchgesetzt. Kartenzahlungen wurden im Jahr 2021 mit einem Umsatzanteil von etwa 59 Prozent sogar zur beliebtesten Payment-Option im Einzelhandel. Ende Mai 2022 standen Kunden allerdings vielerorts vor Hinweisen wie „Vorerst nur Barzahlung möglich“. Bestimmte ältere Modelle von Kartenlesegeräten konnten keine Verbindung zu einem Netzbetreiber herstellen. Wirklich problematisch wurde die Situation, wenn die Terminals nicht per Fernzugriff aktualisiert werden konnten, sondern manuell geupdatet werden mussten. So konnten Kunden teilweise mehrere Wochen gar nicht mit Karte oder nur über das Lastschriftverfahren bezahlen.

Warum ist das Updaten dieser Geräte ein Problem und wie lässt sich das in Zukunft verhindern? Um das zu verstehen, muss man die komplexen Sicherheitsmechanismen hinter Kartenzahlungen betrachten.

Schlüsselblöcke und Zahlungen

Man könnte annehmen, dass POS-Systeme ein häufiges Ziel für Kriminelle sind – schließlich werden in diesem Jahr weltweit schätzungsweise 8,5 Billionen Dollar an digitalen Zahlungen getätigt, und selbst ein winziger Prozentsatz davon wäre für Kriminelle äußerst lukrativ. Allerdings gibt es in diesem Bereich kaum nennenswerten Betrug, da aufgrund der verschiedenen Standards der Payment Card Industry (PCI) (einschließlich PCI PIN, PCI Card Production und PCI P2PE) in den Zahlungsgeräten starke Kryptografie verwendet wird. Kryptografische Schlüssel bei der Übertragung sind eines der wichtigsten Mittel zur Sicherung von Daten in einer digitalen Welt, aber die Art, wie diese Schlüssel implementiert werden, verändert sich. Früher war dies nicht ohne weiteres aus der Ferne möglich.

Gemäß den jüngsten PCI-Vorgaben müssen verschlüsselte symmetrische Schlüssel in Strukturen verwaltet werden, die als Schlüsselblöcke bezeichnet werden. Die Schlüsselnutzung muss mit Hilfe anerkannter Methoden kryptografisch an den Schlüssel gebunden sein. Der Standard X9.143 (ehemals TR-31) für sichere Schlüsselblöcke spezifiziert eine akzeptable Methode, um Schlüssel in Blöcke zu verpacken, die fälschungssicherer sind, aber dennoch von den richtigen Parteien verwendet werden können und es ermöglichen, Schlüssel aus der Ferne mit ausreichendem Vertrauen und Sicherheit aufzuspielen. Darüber hinaus enthalten der Standard X9.24-3-2017 für die symmetrische Schlüsselverwaltung und die TR-34-Technik (die derzeit in X9.139 standardisiert wird) für die asymmetrische Schlüsselverwaltung diesen Schlüsselblockstandard. 

Die Entwicklung von Standards ist jedoch nur der erste Schritt. Das globale Zahlungsverkehrsökosystem ist sehr komplex und verfügt über tief verwurzelte Vertrauensanker, die auf eine lange Lebensdauer ausgelegt sind und nicht ohne weiteres an neue Schlüsselverwaltungsstandards angepasst werden können. Die Herausforderung besteht also nicht nur in der Entwicklung und dem Einsatz neuer Geräte (z. B. POS-Geräte, Hardware-Sicherheitsmodule) nach diesen neuen Standards, sondern auch in der Migration von Altsystemen und ihren Schlüsseln in konforme Schlüsselblöcke. Dies erfordert umfangreiche Investitionen und Planungen und ist ein wesentlicher Grund dafür, dass PCI die Umsetzungsfristen in letzter Zeit mehrfach verlängert hat. Aber schließlich wird dies weltweit vorgeschrieben, so dass bis zum 1. Juni 2025 alle Schlüssel in Schlüsselblöcken gespeichert und ausgetauscht werden, was den Prozess der Aktualisierung von Schlüsseln auf POS-Geräten wesentlich einfacher und sicherer macht.

Auswirkungen auf den Zahlungsverkehr

Da die digitale Welt immer mehr POS-Zahlungsgeräte miteinander verbindet, werden IoT-Geräte immer häufiger. Durch die Remote Key Injection können Zahlungsgeräte sicher, einfach und kostengünstig gewartet werden. Die Zahlungsstandards für Remote Key Injection sind vorhanden, und sie sollten genutzt werden, um die dauerhafte, zuverlässige und sichere Funktion von POS-Terminals zu gewährleisten.

Die Möglichkeit, Massen-Updates für Zahlungssysteme in mehreren Ländern oder sogar weltweit herauszugeben, wird Probleme wie die in Deutschland vielleicht nicht verhindern, aber sie wird die Zeit für die Behebung des Problems erheblich verkürzen können. Wenn wir in der Lage sind, Ausfälle von Tagen auf Minuten zu reduzieren, wird dies dazu beitragen, die Akzeptanz von Kartenzahlungen weiter zu steigern.

Über die Utimaco Management Services GmbH

UTIMACO ist ein global führender Anbieter von Hochsicherheitstechnologien für Cybersecurity und Compliance-Lösungen und Services mit Hauptsitz in Aachen, Deutschland und Campbell (CA), USA. UTIMACO entwickelt und produziert On-Premise und Cloud-basierte Hardware-Sicherheitsmodule, Lösungen für Schlüsselmanagement, Datenschutz und Identitätsmanagement sowie Data Intelligence-Lösungen für regulierte kritische Infrastrukturen und öffentliche Warnsysteme. In seinen Kernbereichen nimmt UTIMACO eine führende Marktposition ein

Mehr als 500 Mitarbeiter tragen Verantwortung für Kunden und Bürger weltweit, indem sie innovative Sicherheitslösungen und Services entwickeln, die ihre Daten, Identitäten und Netzwerke schützen. Partner und Kunden aus den unterschiedlichsten Industrien schätzen die Zuverlässigkeit und langfristige Investitionssicherheit der UTIMACO-Sicherheitslösungen. Weitere Informationen unter www.utimaco.com.

Firmenkontakt und Herausgeber der Meldung:

Utimaco Management Services GmbH
Germanusstr. 4
52080 Aachen
Telefon: +49 (241) 1696-0
Telefax: +49 (241) 1696-199
https://utimaco.com/de

Ansprechpartner:
Silke Paulussen
Telefon: +49 (241) 1696-150
E-Mail: pr@utimaco.com
Isabel Nöker
Hotwire
Telefon: +49 (69) 506079244
E-Mail: utimaco@hotwireglobal.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel