Dieser Artikel beschreibt einfache Maßnahmen die Firmen implementiert haben um die Daten Ihrer Kunden, die mit Kreditkarte bezahlen, zu schützen. Bei Kreditkartenbetrug sind die Geschädigten nicht die eigentlichen Kreditkarten-Kunden, sondern zumeist die Händler die diese Daten verarbeiten. Der Betrug führt häufig zu kostspieligen Schadensersatzansprüchen oder es werden Strafzahlungen fällig. Der eigentliche Schaden entsteht für Unternehmen wenn der Missbrauch veröffentlicht wird. Dadurch verlieren Kunden ihr Vertrauen in den Onlinehändler, die Hotelkette oder andere auf Kreditkartenzahlungen angewiesene Unternehmen.
Da die Self Assessment Questionnaires hinreichende Informationen zu technischen Sicherheits-Maßnahmen geben, als auch der PCI-DSS Sicherheitsstandard die 12 einzuhaltenden Maßnahmengebiete gut erläutert, werden im folgenden zumeist nicht elektronische Maßnahmen aufgeführt. Jeder Unternehmer kann diese ohne externe Hilfe einführen und somit einen Grundschutz aufbauen um sich damit vor Diebstahl und Mißbrauch der Kreditkartendaten zu schützen. Er schützt damit tatsächlich nicht nur seine Kunden, sondern auch sein Unternehmens-Image.
Welche Informationen auf einer Kreditkarte sind wertvoll?
Kriminelle benötigen die Kreditkartennummer (PAN) sowie die Prüfziffer. Diese Informationen stehen einmal eingestanzt auf jeder Kreditkarte drauf, bzw. befindet sich aufgedruckt auf der Rückseite einer Karte. Ebenso sind diese beiden Informationen auf dem Magnetstreifen untergebracht. Deshalb ist es für einen Angreifer hilfreich ein sog. POS Terminal (Point of Sales, bzw. Kartenlesegerät) zu modifizieren, sodass die Daten auf dem Magnetstreifen bereits beim Einlegen der Karte ausgelesen und kopiert werden können. Natürlich ist es auch interessant den Chip einer Kreditkarte zu stehlen. Doch zu seiner Verwendung wird zusätzlich eine PIN benötigt die der ursprüngliche Besitzer der Karte eigentlich nur im Kopf haben sollte. Ohne die PIN ist der Chip wertlos weil sich darin ein Sicherheitsmodul befindet welches Zugang zu den Krypto-Funktionen nur mit der PIN erlaubt.
Wer nutzt Kreditkartendaten?
Typische verarbeitende Systeme befinden sich bei Onlinehändlern sowie Tankstellen, Hotels, Raststätten als auch große Einkaufsketten. Zahlungsdienstleister stellen die Terminals sowie die Infrastruktur zur Übertragung der Kreditkartendaten zur Verfügung.
Wo werden Kreditkartendaten verarbeitet?
Der Lebenslauf einer Kreditkarte beginnt bei der herausgebenden Hausbank, dem sog. Issuer. Per Post werden Sie bis zum Kontoinhaber versendet; die PIN zum Nutzen des Sicherheits-Chips wird üblicherweise per separater Post zugestellt.
Der Nutzer verwendet die Karte z.B. physikalisch an Tankstellen in Hotels oder Geschäften. Dort gibt es verschiedene Wege die die Daten nehmen können. Entweder sie werden elektronisch am sog. Point of Sale (POS) eingelesen und die Daten werden vom Magnetstreifen abgescannt. Oder sie werden vom Chip abgelesen auf den der Nutzer den Zugriff per PIN frei schaltet. Sollte das Zahlterminal (POS) ausfallen, besteht die alternative Zahlungsmethode in der „Ritsch-Ratsch“ Methode. Die Daten werden dabei auf Papier gezogen sodass der Händler die Daten später von Hand nachtragen und verbuchen kann. Also existiert dann eine erste Kopie der Kreditkartennummer auf Papier bzw. elektronisch im POS Terminal. Per DialUp Leitung oder IP-Anbindung werden die Daten dann an den Zahlungsdienstleister und weiter an die Bank gesendet, welche die Kartenumsätze dieses Vertragspartners abrechnet, auch als Acquirer oder Acquiring Bank bezeichnet.
Der Nutzer kann eine Kreditkarte ebenfalls im Onlinehandel einsetzen. Hierbei gibt er die Kreditkartennummer von Hand in ein Onlineformular ein und wird i.d.R. nach seiner Prüfziffer gefragt. Einige Händler bieten als zusätzlichen Service die Hinterlegung der Kreditkartennummer in ihrem Shopsystem an, was nach PCI-DSS Sicherheitsstandard eine Zertifizierung erfordert. Der Onlinehändler hat seinerseits eine Anbindung an den Acquirer und rechnet gegen diese dann das Geschäft über (verschlüsselte) Internetverbindungen ab.
Im Fokus stehen also folgende Elemente bzw. Übertragungsmedien: Papierkopien, Point of Sale, Verbindungskabel zum eigenen Netzwerk bzw. der Wählverbindung, der Zahlungsdienstleister, Internetanbindung sowie möglicherweise eigene Computer die am selben Netzwerk angeschlossen sind.
Was benötigen Kriminelle für Betrugsfälle?
Für einen Mißbrauch von Kassensystemen müssen Computer kompromittiert werden über die Kreditkartendaten zwecks Abrechnung laufen. Im Heise Verlag wurde veröffentlicht dass bei einer US-amerikanischen Restaurant-Kette mehrere Millionen Kundendaten gestohlen wurden. Auch sogenannte „Skimming“ Angriffe sind bekannt, bei denen Daten von Kreditkarten aus den Leseterminals eines Baumarkts kopiert wurden. Auf dem Magnetstreifen sind alle nötigen Daten vorhanden und für einen Mißbrauch geeignet.
Für einen Mißbrauch im Onlinehandel müssen Computer bzw. Serversysteme kompromittiert werden. Es ist nicht mehr nötig direkt vor Ort die Lesegeräte zu verändern und Angriffe zielen auf das Sammeln großer Mengen von Kreditkartendaten zum späteren Verkauf ab. Die ausgelesenen Daten werden dann durch die Angreifer auf eine Blanko Karte kopiert die vom Original nicht mehr zu unterscheiden ist. Somit ist der Mißbrauch der Daten zum Beispiel in einem anderen Land oder ebenfalls auf Onlineshopsystemen somit nahezu anonym möglich.
Zusammenfassung verschiedener Sicherheitsmaßnahmen
Der Sicherheitsstandard PCI-DSS (Payment Card Industry Data Security Standard) wurde durch Zusammenlegen der Sicherheitsregeln der Unternehmen Visa, American-Express, Mastercard sowie JCB etabliert. Er unterscheidet in verschiedene Bezahlprozesse und leitet davon unterschiedlich starke Sicherheitsanforderungen ab.
Isolierter Bezahlprozess ohne Präsenz von Kreditkarten
Wenn der Händler im E-Commerce oder Versandhandel alle Kreditkartenfunktionen ausgelagert hat, sind zur Sicherheit der Kreditkartendaten nur wenige Regeln zu beachten. Die Daten werden lediglich per Mail oder Telefon erhoben und in nicht elektronischer Form zur Abrechnung weiter verarbeitet. In diesem Fall muss der Zugang zu den Papierkopien klar geregelt werden und es dürfen keinerlei elektronische Kopien erstellt und gespeichert werden. Außerdem müssen Sicherheitsregeln (in einer Policy) für den Umgang mit Kreditkarteninformationen für alle Mitarbeiter aufgestellt und überprüft werden.
Isolierter Bezahlprozess über Wählverbindung
Für Händler, die lediglich sogenannte Aufdruck Maschinen verwenden („Ritsch-Ratsch“) beziehungsweise unabhängige Wähl-Terminals im Einsatz haben, kann es zutreffen dass keine elektronische Speicherung der Kreditkartendaten erfolgt. In diesem Fall müssen von den zwölf Sicherheitsbereichen im PCI-DSS lediglich fünf berücksichtigt werden. Dazu zählen grds. Schutz von Kartenhalterdaten (Anforderung 3), Verschlüsselung bei Übertragung über öffentliche Netze (4), Zugangsschutz durch das „Need-to-know“ Prinzip (7), physikalischer Zugriffsschutz (9) und Aufstellen sowie Pflegen einer Sicherheits-Leitlinie (12).
Bezahlprozess über IP-Verbindung zum Zahlungsdienstleister
Händler die eine Anbindung zu Ihrem Kreditkarten Servicedienstleister über IP-Netze, also Internet eingerichtet haben können sich auf ihren Dienstleister berufen. Er sollte die aktuellsten PCI Standards einhalten und darf keine Kreditkartendaten auf dem Terminal speichern und es sollten nur PTS-zertifizierte Geräte im Einsatz sein. Dennoch gelten weitere Regeln für den sicheren Betrieb der POS Terminals. Außer der Anforderung 5 (Schutz vor Malware und regelmäßige Aktualisierung von Antivirensoftware) müssen alle anderen elf PCI-DSS Requirements eingehalten werden.
Praktische Anforderungen für den Händler sind die regelmäßige Kontrolle auf Manipulation der POS-Terminals. Dazu sollte eine Liste aller PTS mit Seriennummern und ihren Aufstellungsort gepflegt werden. Weiterhin ist es wichtig das bei Bezahlung über Web/Virtuelle Terminals keine Verbindung zu Computern aus dem eigenen Netz existiert. Das bedeutet dass lediglich Plugins vom Zahlungsdienstleister im eigen Shopsystem verwendet werden dürfen sodass die Zahlungsinformationen vom Endkundenbrowser direkt zum Dienstleister laufen. Auch bei Kundentelefonaten dürfen keine Kreditkartendaten aufgenommen werden.
Bezahlprozess über Webbasierte Virtuelle Terminals
Händler die eine Abrechnung über einen Computer mit virtuellem Terminal eingeführt haben, müssen dafür sorgen dass es keine Verbindung zu anderen IT-Systemen gibt. Berücksichtigt werden muss dabei auch eine mögliche WLAN Vernetzung, die unter keinen Umständen gestattet ist. Auch das Kassensystem darf nicht mit dem Virtuellen Terminal per IP verbunden sein. Gegebenenfalls ist eine Anbindung an das Bezahlterminal per USB möglich. Die Papierbelege der täglich gesammelten Bezahlvorgänge müssen nach Ablauf der gesetzlichen Aufbewahrungsfrist entweder im Aktenvernichter mit dem sog. Cross-Cut entsorgt werden (DIN 32757-1 Stufe 3) oder von einem zertifizierten Entsorgungsunternehmen vernichtet werden. Papierkopien müssen in verschließbaren Schränken abgelegt werden. Zusätzlich bietet es sich an Vertraulichkeitsklassen für Dokumente einzuführen und diese Papierkopien als „vertraulich“ zu markieren. Insbesondere im Hotelgewerbe muss darauf geachtet werden dass Reservierungsanfragen per Email, die Kreditkarteninformationen enthalten direkt nach Prüfung auf Bonität des Kunden gelöscht werden müssen. Dabei muss auch der Email-Papierkorb gelöscht werden. Weiterhin ist zu berücksichtigen dass keine Daten in Tabellen gespeichert werden dürfen oder zumindest zeitnah gelöscht werden müssen. Da dies häufig nicht passiert, gilt dieses als elektronische Speicherung und ist nicht zulässig. In diesem Fall muss der Händler strengere Regeln einführen.
Bezahlung über Zahlungsanwendungen im Internet
Sofern die Zahlungsanwendung und Internetanbindung im selben Netzwerk betrieben werden, es keine Verbindung zu internen IT Systemen gibt, es nur Papierkopien von Empfangsbestätigungen mit Kreditkarteninformationen und keine elektronische Speicherung der Kartenhalterdaten erfolgt, fällt der Händler in die vorletzte Kritikalitäts-Klasse des PCI-DSS Standards. Es gelten hier unter anderem auch Anforderungen für eine mögliche Fernwartung des Computers auf dem die Zahlungsanwendung läuft. Diese Fernwartung muss über ein sog. VPN mit Zertifikat und Benutzername/Passwort abgesichert, nur dann aktiviert werden wenn die Fernwartung notwendig ist sowie ein spezieller Account (ein Konto) für den Zugriff durch den Fernwartungs-Dienstleister eingerichtet werden. Außerdem müssen auf dem Computer mit der Zahlungsanwendung Protokolle geschrieben werden, sodass festgestellt werden kann welcher Benutzer wann genau am System angemeldet war.
Alle anderen Händler, die die vorherigen Anforderungen nicht erfüllen
Alle Diensteanbieter und Händler die Karteninformationen elektronisch speichern, müssen weitaus mehr Sicherheitsregeln einhalten. Dann sind zum Beispiel die folgenden Elemente im Fokus des PCI-DSS Sicherheitsstandards: das Bürogebäude, DSL-Router, Desktops, Laptops, Switche, Telefonanlage, die Mitarbeiter und ihre Smartphones, möglicherweise sogar das zu Hause betriebene NAS, Software auf den Computern und VPN-Clients. Unternehmen die IT teilweise in einem Rechenzentrum betreiben, müssen auch die Systeme dort einer Sicherheitsprüfung unterziehen wie Datenbanken, Github-Server, Webserver oder FTP Zugänge. Darüber hinaus sind die Diensleisterverträge zu überprüfen, Lizenzverträge zu sichten oder auch Kundenverträge zu kontrollieren.
Kompensierende Maßnahmen
Sollten bestimmte Maßnahmen nicht umsetzbar sein, so lassen sich üblicherweise sog. kompensierende Maßnahmen einführen. Darunter verstehen die Sicherheitsexperten ganz grundsätzlich alternative Methoden die das Ausnutzen einer Schwachstelle verhindern. Im PCI Kontext bedeutet dies dass die alternative Maßnahme die eigentliche Schwachstelle adressieren muss. Sie sollte vergleichbaren Schutz bieten und erheblich die Risiken minimieren. Genau hier setzt der Standard auch an und fordert in diesem Fall die Durchführung einer Risikoanalyse.
Anhang C im PCI Self Assessment Questionnaire beschreibt das Vorgehen hierzu folgendermaßen:
- Abhängigkeiten darstellen: Das Unternehmen muss beschreiben weshalb eine Sicherheitsanforderung nicht umgesetzt werden kann. Als Beispiel sei hier der „Root“ bzw. „Administrator“ Zugang zu Servern genannt, die nicht an ein Active Directory angebunden werden können.
- Ziel der PCI-DSS ursprünglichen Sicherheitsmaßnahme erörtern: Im Beispiel wird das PCI-DSS Ziel nur eindeutige Benutzernamen zu akzeptieren bevor der Zugang gewährt wird. Die Idee dahinter ist es dass Benutzernamen nicht geteilt werden dürfen und andererseits immer nachvollziebar ist welche eindeutige Person am System angemeldet war.
- Risiko ermitteln wenn diese Maßnahme nicht eingeführt werden kann: Sofern es keine eindeutigen Benutzernamen gibt kann nicht sicher gestellt werden dass es keine mehrfach vergebenen Benutzernamen auf verschiedenen Systemen gibt und damit auch keine verbindliche Aussage über die Anmeldung gemacht werden kann.
- Definieren einer alternativen Maßnahme: Es werden „Root“ Zugänge nur über das „su“ Kommando von den Desktop-Computern der Mitarbeiter zugelassen. Somit ist sicher gestellt dass die Anmeldung sowie jede einzelne Aktion eines Mitarbeiters protokolliert wird.
- Überprüfen der alternativen Maßnahme: Mitarbeiter Anmeldungen können zwar über nicht einheitliche Benutzernamen erfolgen, Ihre Anmeldung sowie die ausgeführten Kommandos können überwacht werden.
- Aufrechterhaltung: In diesem letzten Schritt muss dokumentiert werden wie das Unternehmen verhindert, dass die „su“ Konfiguration verändert oder entfernt werden kann, wodurch Benutzer Kommandos mit Root-Rechten ausgeführt und dabei nicht überwacht werden könnten.
Weitere kompensierende Maßnahmen könnten eingeführt werden um zum Beispiel eine Verschlüsselung der Datenbank zu vermeiden auf der Kreditkarteninformationen gespeichert werden. Während Datenbankverschlüsselung einen zusätzlichen Aufwand bezüglich Lizenzkosten und Rechenzeit für die Ver- und Entschlüsselung bedeutet, können eine Kombination von netzwerkbasierten Überwachungstools und hostbasierten Monitoringmechanismen die ausschließlich bekannte Transaktionen zur Datenbank zulassen, eine Alternative darstellen.
Negativbeispiel für kompensierende Maßnahmen stellen Network Access Controls da, die als eine Art Wunderwaffe gegen alle möglichen Schwachstellen verkauft werden. Die Realität sieht häufig anders aus. Netzwerkkontrollen erlauben bestimmten Servern sich mit einer Datenbank zu verbinden. Sofern also einer dieser erlaubten Server kompromittiert wurde, können von der Datenbank „erlaubt“ Kreditkarteninformationen abgezogen werden.
Zusammenfassung
Ganz allgemein gilt, an allen Stellen die mit Kreditkarteninformationen zu tun haben, seien es Systeme, Menschen oder auch Dokumente, müssen Sicherheitsmaßnahmen eingeführt werden. Alle oben genannten Anforderungen geben Hinweise darauf wie diese stärksten PCI-DSS Sicherheitsanforderungen vermieden werden können. Angefangen bei der ausschließlichen Speicherung auf Papier bis zur kompletten Auslagerung an Zahlungsdienstleister ohne elektronische Verbindung zu eigenen Systemen. So können einerseits Kosten für Sicherheitsmaßnahmen vermieden und andererseits massiver Reputationsschaden bei Verlust von Kreditkarteninformationen für das eigene Unternehmen vermieden werden.