Kreditkarten sollen durch die PCI-Standards sicherer werden. Doch der Einzelhandel hält sie für überflüssig. derhandel.de sprach mit zwei Experten über Sinn und Unsinn von PCI.

Foto: B+S Card Service
Foto: B+S Card Service
Herr Russo, was verbirgt sich hinter dem Kürzel PCI DSS?

Russo: Der "Payment Card Industry Data Security Standard" dient zur Erhöhung der Sicherheit von Kreditkartendaten. Er soll dazu beitragen, dass überall auf der Welt, wo Kartendaten verarbeitet, übermittelt oder gespeichert werden, ein festgelegtes Mindestniveau an Sicherheitsvorkehrungen herrscht. Um die Zahlungsabwicklung mit Kreditkarten besser zu schützen, einigten sich die führenden Kartenunternehmen Visa, Mastercard, JCB, American Express und Discover auf diesen gemeinsamen, weltweit gültigen Standard. PCI DSS umfasst zwölf zentrale Anforderungen - von der Einrichtung einer Firewall über Zugriffspolitiken bis hin zu regelmäßigen Tests der Sicherheitssysteme.

Welche Händler müssen sich mit dem Standard auseinandersetzen?

Schier: Grundsätzlich gilt der PCI-Standard für alle Unternehmen, die mit Kreditkartendaten in Berührung kommen. Insbesondere kleinere Händler haben jedoch viele Prozesse rund um die Kartenzahlung an Dienstleister ausgegliedert, sie müssen dann nicht alle Anforderungen selbst erfüllen. Doch sie sollten sich darüber im Klaren sein, dass sie nach den neuen Vertragsbedingungen gegebenenfalls für ihre Dienstleister haftbar sind. Es ist also auch wichtig, ein Augenmerk darauf zu richten, ob die Partner PCI-zertifiziert sind.

Mit dem PCI-Standard sind teils enorme Kosten für Händler verbunden. Warum übernehmen die Kartengesellschaften nicht den finanziellen Aufwand für die Sicherheit ihres Zahlungssystems?

Schier: Dort, wo wir die Kontrolle über die Prozesse haben und die ­Sicherheit erhöhen können, tun wir dies schon seit Jahren auf unsere Kosten. Die Kreditkartenunternehmen sind aber nur ein Teil einer großen Familie. Wir haben keinen Einfluss auf die Terminalhersteller, Softwareentwickler, Zahlungsdienstleister oder die Infrastruktur bei den Händlern. Wir nehmen unsere Verantwortung sehr ernst, können aber nur mittelbar - über die Verpflichtung zum PCI-Standard - auf jedes einzelne Glied der Kette einwirken. American Express stellt seinen Vertragspartnern, die mehr als 50.000 Kartentransaktionen im Jahr abwickeln, eine kostenfreie Hotline für technische Fragen zur Verfügung und übernimmt darüber hinaus die Kosten für die vierteljährlichen Sicherheitsscans im ersten Jahr.

Namhafte deutsche Händler kritisieren neben den Kosten, dass Aufwand und Ertrag in keinem Verhältnis stehen. Der Standard gewährleiste keine höhere Sicherheit als die Datenschutzgesetze ohnehin vom Handel verlangen, so die Kritik.

Schier: Das deutsche und europäische Datenschutzniveau ist in der Tat sehr hoch. Wer sich an diese Vorschriften hält, erfüllt rund 80 bis 90 Prozent der PCI-Anforderungen. Das ist für die europäischen Händler ein großer Vorteil, sie müssen nur abgleichen, welche zusätzlichen Vorkehrungen noch erforderlich sind. Als weltweit tätige Unternehmen sind die Kreditkartenorganisationen jedoch auf die Einhaltung eines global verbindlichen Standards angewiesen.

Russo: Nach meiner Erfahrung hat sich die Meinung zum PCI-Standard in Europa in den vergangenen zwei Jahren stark gewandelt. Als wir anfingen, wurde unsere Arbeit sehr kritisch beäugt. Datensicherheitsvorfälle, die stark im Fokus der Öffentlichkeit standen, lieferten jedoch einen zusätzlichen Ansporn, sodass viele unserer europäischen Partner den PCI-Standard jetzt so schnell wie möglich umsetzen wollen. Sicherheit ist immer eine Frage der Ebenen. Die Datenschutzgesetze sind eine, der PCI-Standard ist eine weitere Ebene, die zudem sehr exakt auf die Bedürfnisse im Umgang mit Kartendaten zugeschnitten ist. Je mehr Sicherheitsebenen man einzieht, desto schwieriger wird es für Angreifer.

Aber auch PCI DSS bringt keine 100-prozentige Sicherheit. Datendiebstähle bei zertifizierten Unternehmen wie Heartland oder Hannaford in den USA zeigen doch ­Lücken im System, oder?

Russo: Nur weil jemand den Finger hebt und behauptet, er sei PCI-konform, heißt das noch nicht, dass dies auch zutrifft. Die Zertifizierung stellt immer nur eine Momentaufnahme dar - angemessener Datenschutz ist jedoch ein 24-Stunden-Job. Eine 100-prozentige Sicherheit gibt es grundsätzlich nicht. Doch selbst wenn es Hackern gelingen sollte, an Daten zu gelangen, obwohl alle Anforderungen korrekt erfüllt wurden, können die durch den PCI-Standard erforderlichen Kontrollen dazu beitragen, dass ein Datenleck schneller entdeckt und gestopft wird.

Bei einer Anhörung zum Thema PCI DSS im Repräsentantenhaus Ende März wurde dennoch erneut die Forderung diskutiert, Kreditkartendaten generell nur noch verschlüsselt zu übertragen. Was ist die Position des Councils?

Bob Russo wacht über die Sicherheitsregeln der Kreditkartenindustrie.
Bob Russo wacht über die Sicherheitsregeln der Kreditkartenindustrie.
Russo: Die Verschlüsselung der Daten bedeutet enorme Kosten - insbesondere für kleinere Händler - und die Zahlungsprozesse würden sich oftmals verlangsamen. Auf der anderen Seite sehen wir nicht den großen ­Sicherheitsgewinn, da die Daten ­irgendwo auch wieder entschlüsselt werden müssen und ein Schlüssel­management notwendig ist. Es steht jedem Unternehmen frei, seine Daten zu verschlüsseln, wir sehen jedoch keine Notwendigkeit, dies verbindlich im Standard vorzuschreiben.

Wie lautet Ihr Plädoyer für PCI DSS gegenüber einem Händler, der den Standard als überflüssig ablehnt?

Schier: Es ist sehr schwierig, einen Business Case für den PCI-Standard zu rechnen, es gibt schließlich kein "Return-on-Investment". Aber Datensicherheit ist ein Vertrauensthema. Wenn es bei einem Händler zum Diebstahl von Kreditkartendaten im großen Stil kommt, dann kann dies im schlimmsten Fall existenzgefährdend für das Unternehmen sein.

Russo:
PCI DSS ist eine hervorragende Waffe, um sich gegen den Diebstahl von Kreditkartendaten zu wappnen, und für den Handel geht es dabei immer um die Daten seiner Kunden. Wenn bekannt wird, dass ein Händler nicht alle notwendigen Vorkehrungen getroffen hat, um diese sensiblen Kundendaten ausreichend zu schützen, dann kostet das dem Händler unendlich viel Reputation.

Interview: Hanno Bender

Bob Russo ist General Manager des PCI Security Standards Council. Das Gremium wurde im September 2006 von den fünf großen Kreditkartenorganisa­tionen gegründet und überwacht die Regularien und die Weiterentwicklung des Standards.

Dr. Kathrin Schier ist Merchant Data Security Manager beim Kreditkartenanbieter American Express. Die renommierte PCI-Expertin hat über IT-Sicherheit promoviert.

Dieses Interview erschien in der Mai-Ausgabe des Wirtschaftsmagazins Der Handel.