Bezahl-Apps umfassend testen

Sicherer Point of Sale?

Die Zahl mobiler Point-of-Sale-Systeme steigt und Experten gehen von weiterem Wachstum im Bereich der mobilen Zahlungslösungen im Endverbrauchersegment aus – sowohl online als auch im Einzelhandel. Doch sind diese Systeme sicher?

Obwohl Point-of-Sale-Systeme immer häufiger zum Einsatz kommen, ist dies kein Garant für ihre Sicherheit – eine umfassende Analyse im Vorfeld ist daher ratsam.

Viele Einzelhändler setzen inzwischen auf diese Technologien, weshalb angenommen werden könnte, dass die Lösungen sicher sind und anhand von Standards wie PCI (Payment Card Industry) und PA (Payment Application) zertifiziert wurden. Allerdings hat das PCI Council aber noch keinen Standard für mobile Bezahlsysteme veröffentlicht, da es befürchtet, dass bei der rasanten Entwicklung ein Standard bereits vor seiner Veröffentlichung veraltet sein könnte.

Auf der Webseite des Councils finden sich zahlreiche Dokumente zum Thema mobiles Bezahlen, die alle folgende Aussagen gemeinsam haben: „Nutzen Sie zugelassene Technologien. Point-to-Point-Verschlüsselung ist obligatorisch.“ Bislang wurde aber keine dieser Lösungen anhand bestehender Standards und insbesondere anhand von PCI DSS geprüft.

Es ist deshalb anzunehmen, dass die neuen Zahlungstechnologien oft weniger sicher sind. Neue Technologien gehen häufig übereilt in Produktion und wurden nicht immer auf ihre Sicherheit hin geprüft. Sobald Hacker diese Geräte anvisieren, werden sie auch Schwachstellen finden.

Die meisten Apps der letzten Jahre können in die folgenden Kategorien eingeteilt werden:

  • Mobile Apps, die das Lesen von Zahlungskarten erlauben – häufig von Taxifahrern verwendet
  • Apps, die Anwendern erlauben, Zahlungsdaten einzugeben, welche die Apps dann zur Autorisierung übertragen – mobile POS-Apps im wahrsten Sinn des Wortes
  • Apps, die ebenfalls Zahlungsdaten entgegennehmen, aber nur an eine „konventionelle“ web-basierte Bezahl-App weiterleiten. In diesem Fall passt die mobile App also nur das Layout an den Bildschirm des Mobilgeräts an und ist die „neue Verpackung“ einer bereits existierenden E-Commerce-/Bezahl-App.
  • Die neuesten Alternativen zum mobilen Bezahlen nutzen Tokens, um den Bezahlvorgang zu bearbeiten, ohne dabei die Kartendaten zu übertragen.

Zertifizierte Compliance-Experten ziehen zur Bewertung der Apps den Payment Application Data Security Standard (PA-DSS) zu Rate. Der trifft allerdings in den meisten Fällen nicht zu, obwohl er sich auf Apps bezieht. Allerdings weist er einige Schlupflöcher auf, weshalb viele E-Commerce-Plattformen diesem Standard nicht unterliegen. Die Anforderungen gelten beispielsweise nicht für Apps, die intern oder von Dritten entwickelt, aber nur intern eingesetzt werden. Das Gleiche trifft auf Apps zu, die im SaaS-Modell genutzt werden. Es empfiehlt sich deshalb, PCI DSS auch auf Apps anzuwenden und Mobilgeräte als Teil der angebotenen Services sowie als Teil der Umgebung zu betrachten, in der die Daten der Karteninhaber hinterlegt sind. Sobald Mobilgeräte wie physikalische POS-Geräte bewertet werden, wie sie auch im Einzelhandel zum Einsatz kommen und einem klar wird, dass sich hunderte oder gar tausende von Mobilgeräten in der Nähe befinden, auf die man keinerlei Einfluss hat, betrachtet man das Thema Sicherheit mit ganz anderen Augen.

In einem derartigen Szenario können nicht alle der zwölf PCI-DSS-Anforderungen erfüllt werden. Trotzdem können hier bewährte Methoden helfen, Sicherheitsvorfälle zu verhindern. Dazu müssen Netzwerkbetreiber in der Lage sein, alle Komponenten des Netzwerks, insbesondere Endpunkte wie die Mobilgeräte, zu kennen und zu überwachen – rät Tenable Networks Security. Erst durchgängiges Monitoring kann feststellen, ob alle Systeme sicher konfiguriert und gewartet sind, dass die nötigen Patches aufgespielt sind, alle Schutzmaßnahmen bereitstehen und Systeme zur durchgängigen Überwachung die Logs aller Vorfälle und Prüfungen bereithalten.

Bei der Auswahl der Zahlungslösung sollten deshalb die folgenden grundlegenden Sicherheitsprinzipien im Zentrum stehen: Die auf den Geräten befindlichen Daten sollten geschützt und wenn möglich verschlüsselt sein, ebenso wie die Kommunikation bei der Übertragung der Daten. Das besondere Augenmerk sollte dabei den Punkten gelten, an denen alle Transaktionen der mobilen Apps zusammentreffen, da sie am meisten Schutz bedürfen. PCI DSS sollte dabei als Basis dienen.

Bildquelle: Thinkstock/ iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok