Wenn die EU-Datenschutz-Grundverordnung ab Mai 2018 in Kraft tritt, drohen Unternehmen hohe Strafen. Bei Verstößen gegen die Vorschriften können künftig bis zu vier Prozent des weltweiten Jahresumsatzes bzw. bis zu 20 Millionen Euro fällig werden. Parallel verlagern sich kriminelle Aktivitäten im Verbindung mit Kreditkarten seit Jahren vom stationären Handel ins Netz. Daher sollten sich vor allem kleine und mittelgroße Onlinehändler dringend mit der Sicherheit ihrer Zahlungsangebote beschäftigen. Reputationsschäden und Strafen können für sie schnell existenzgefährdend werden.
Dass mit der globalen Ausbreitung des E-Commerce auch Online- und Kartenkriminalität zunehmend um sich greift, ist inzwischen keine Neuigkeit mehr. Während in der EU am Point-of-Sale durch Methoden wie Chip und PIN (EMV-Standard) inzwischen ein fast 100-prozentiger Schutz vor Kartenmissbrauch erreicht worden ist,[1] steigt der Diebstahl von Karteninhaberdaten im Internet weiter rasant. Hierbei sind alle Sektoren betroffen: Flugtickets, Mietwagen, Unterkünfte und auch physische Güter.
Inhaltsverzeichnis
Kerngefahr Card-Not-Present-Fraud
Nach Angaben der Europäischen Zentralbank sind mittlerweile 66 Prozent des Gesamtschadens, der durch Kartenmissbrauch entsteht, Ergebnis von sogenanntem Card-Not-Present-Fraud – dem Kreditkartenbetrug im Netz[2]. Und der Trend geht weiter. Laut Berechnungen der Beratungsfirma Javelin Strategy & Research hat diese Form der Kriminalität ohne vorliegende Kreditkarte in den USA allein in 2016 um 40 Prozent gegenüber dem Vorjahr zugenommen[3]. Die europäische Polizeibehörde bezeichnet Card-Not-Present-Fraud in ihrem Internet Organized Crime Threat Assessment 2017 daher auch als “Key Threat”[4].
Vor diesem Hintergrund müsse vor allem kleine und mittelgroße Unternehmen in Zukunft noch vorsichtiger sein. Schon jetzt erfolgen 90 Prozent aller Fälle von Kartenmissbrauch in kleinen Betrieben, bei denen nur ein geringes Volumen an Zahlungstransaktionen zu verarbeiten ist[5]. Zugleich sind 69 Prozent aller Kunden weniger bereit, mit einem Unternehmen Geschäfte abzuschließen, bei dem die Sicherheit verletzt wurde[6].
Die Gefahr ist sehr real: In den letzten zwei Jahren waren 53 Prozent aller Unternehmen in Deutschland von Datendiebstahl, Industriespionage und Sabotage betroffen, weitere 26 Prozent vermuten, dass sie es waren[7]. Die Summe aller Schäden durch Computerkriminalität ist in Deutschland im Vergleich zu 2015 um 250 Prozent gestiegen, die Kosten durch Imageschäden sogar um über 450 Prozent[8]. Gerade kleinere und mittelgroße Onlinehändler müssen daher unbedingt sichergehen, dass sie die Datenschutzanforderungen der DSGVO erfüllen und dass ihre IT- und Zahlungslösungen tatsächlich sicher sind.
Schutz durch Zertifizierung
Im Bereich Kartenzahlungen bietet die Einhaltung des PCI DSS (Payment Card Industry Data Security Standard) hervorragenden Schutz. Hierbei handelt es sich um den derzeit gängigen, von allen wichtigen Kreditkartenorganisationen unterstützten Sicherheitsstandard für die Abwicklung von Kreditkartentransaktionen. Wer PCI DSS-zertifiziert ist, speichert entsprechend den Regularien keine Kundendaten und reduziert damit das Risiko von Datendiebstahl signifikant.
Für Betriebe, denen es an Kompetenz oder Personal mangelt, um eine PCI DSS-Zertifizierung zu bekommen, stehen auf dem Markt Lösungen bereit, die in unterschiedlichem Ausmaß beim Zertifizierungsprozess assistieren.
Wer kein ausgewiesener Experte in Sachen IT-Sicherheit ist und viel Zeit sparen möchte, kann zum Beispiel Angebote finden, in denen telefonisch durch die einzelnen Zertifizierungsschritte geführt wird. Besonders bequem ist es, wenn der gewählte Anbieter die zur Zertifizierung erforderlichen Daten- oder Netzwerkscans hierbei automatisch durchführt.
Alternativ können sich Händler auch genau erklären lassen, wie sie die Scanprozesse selbst anstoßen können. Zusätzlich dazu gibt es auch Lösungen, die mehr Eigenaufwand und Eigenverantwortung erfordern. Für viele sicher gut gangbar ist es, sich mittels eines speziellen Online-Portals durch die einzelnen Zertifizierungsschritte führen zu lassen – inklusive der nötigen Sicherheitschecks.
Welcher Zertifizierungspartner ist der richtige?
Auf der Suche nach einem Zertifizierungspartner sollten Händler darauf achten, dass er für mehrere Scans pro Jahr sorgt und so ein noch besserer Schutz gewährleistet ist. Ebenso empfehlenswert ist es, wenn der Dienstleister auch eine Best-Practice-Beratung anbietet.
Onlineshops sollten darüber hinaus auf Angeboten achten, die eine automatische finanzielle Absicherung im Falle eines Datenvorfalls beinhalten. Dadurch können sie sich vor vielen Kosten schützen, zum Beispiel vor den dann anfallenden Gebühren der Kartenorganisationen sowie vor den Kosten für Untersuchungen bzw. Sicherheitsüberprüfungen vor Ort.
Mit dem richtigen Zertifizierungspartner und nach erfolgreicher PCI DSS-Zertifizierung können Online-Händler und andere Unternehmen, die über das Internet Leistungen verkaufen, für ein Jahr sichergehen, dass sie gesetzliche Sicherheitsanforderungen zuverlässig erfüllen und ihr gutes Image bewahren. Alles in allem erlangen sie so einen entscheidenden Wettbewerbsvorteil und können sich voll und ganz auf ihr Kerngeschäft konzentrieren.
Dieser Artikel wurde geschrieben von Thomas Haarmann.
Thomas Haarmann ist Country-Manager von Elavon-Deutschland und zuständig für DACH und BeNeLux.
Das Unternehmen gehört zu den weltweit führenden Anbietern für einfache und sichere Online-Zahlungen und arbeitet im Bereich Datensicherheit mit dem irischen Unternehmen Sysnet zusammen, einem Spezialisten für Datenschutz und Cybersicherheit.
[1] Europol, IOCTA 2016, S. 28
[2] EZB, Fourth Report on Card Fraud, S.7
[3] Javelin Strategy & Research
[4] Europol, IOCTA 2017, S. 43
[6] Verizon 2015 PCI Compliance Report, S. 4
