Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Software & Services > So klappt es mit dem Update aus der Wolke

Lahm gelegte Terminals für Kartenzahlung

So klappt es mit dem Update aus der Wolke

12. Juli 2022, 12:56 Uhr | Martin Fryba
„Durch Remote Key Injection können Zahlungsgeräte sicher, einfach und kostengünstig gewartet werden“, Mario Galatovic, VP Product Management bei Utimaco
© Utimaco

Der wochenlange Ausfall von Kartenzahlungs-Terminals machte vielen deutschen Händlern zu schaffen. So einfach war die Panne nicht zu beseitigen. Warum und wie es besser geht? Mario Galatovic von Utimaco schlägt eine Lösung vor: Remote Key Injection.

Im Zuge der Pandemie hat sich auch im Bargeldland Deutschland die kontaktlose Kartenzahlung mehr und mehr durchgesetzt. Kartenzahlungen wurden im Jahr 2021 mit einem Umsatzanteil von etwa 59 Prozent sogar zur beliebtesten Payment-Option im Einzelhandel. Ende Mai 2022 standen Kunden allerdings vielerorts vor Hinweisen wie „Vorerst nur Barzahlung möglich“. Bestimmte ältere Modelle von Kartenlesegeräten konnten keine Verbindung zu einem Netzbetreiber herstellen. Der Handelsverband HDE fordert Konsequenzen aus der jüngsten Panne, wie ICT CHANNEL berichtet.

Kein Fernzugriff möglich
Wirklich problematisch wurde die Situation, wenn die Terminals nicht per Fernzugriff aktualisiert werden konnten, sondern manuell geupdatet werden mussten. So konnten Kunden teilweise mehrere Wochen gar nicht mit Karte oder nur über das Lastschriftverfahren bezahlen.

Warum ist das Updaten dieser Geräte ein Problem und wie lässt sich das in Zukunft verhindern? Um das zu verstehen, muss man die komplexen Sicherheitsmechanismen hinter Kartenzahlungen betrachten.

Schlüsselblöcke und Zahlungen
Man könnte annehmen, dass POS-Systeme ein häufiges Ziel für Kriminelle sind – schließlich werden in diesem Jahr weltweit schätzungsweise 8,5 Billionen Dollar an digitalen Zahlungen getätigt, und selbst ein winziger Prozentsatz davon wäre für Kriminelle äußerst lukrativ. Allerdings gibt es in diesem Bereich kaum nennenswerten Betrug, da aufgrund der verschiedenen Standards der Payment Card Industry (PCI) (einschließlich PCI PIN, PCI Card Production und PCI P2PE) in den Zahlungsgeräten starke Kryptografie verwendet wird. Kryptografische Schlüssel bei der Übertragung sind eines der wichtigsten Mittel zur Sicherung von Daten in einer digitalen Welt, aber die Art, wie diese Schlüssel implementiert werden, verändert sich. Früher war dies nicht ohne weiteres aus der Ferne möglich.

Gemäß den jüngsten PCI-Vorgaben müssen verschlüsselte symmetrische Schlüssel in Strukturen verwaltet werden, die als Schlüsselblöcke bezeichnet werden. Die Schlüsselnutzung muss mit Hilfe anerkannter Methoden kryptografisch an den Schlüssel gebunden sein. Der Standard X9.143 (ehemals TR-31) für sichere Schlüsselblöcke spezifiziert eine akzeptable Methode, um Schlüssel in Blöcke zu verpacken, die fälschungssicherer sind, aber dennoch von den richtigen Parteien verwendet werden können und es ermöglichen, Schlüssel aus der Ferne mit ausreichendem Vertrauen und Sicherheit aufzuspielen. Darüber hinaus enthalten der Standard X9.24-3-2017 für die symmetrische Schlüsselverwaltung und die TR-34-Technik (die derzeit in X9.139 standardisiert wird) für die asymmetrische Schlüsselverwaltung diesen Schlüsselblockstandard. 

Die Entwicklung von Standards ist jedoch nur der erste Schritt. Das globale Zahlungsverkehrsökosystem ist sehr komplex und verfügt über tief verwurzelte Vertrauensanker, die auf eine lange Lebensdauer ausgelegt sind und nicht ohne weiteres an neue Schlüsselverwaltungsstandards angepasst werden können

Migration von Altsystemen und ihren Schlüsseln
Die Herausforderung besteht also nicht nur in der Entwicklung und dem Einsatz neuer Geräte (z. B. POS-Geräte, Hardware-Sicherheitsmodule) nach diesen neuen Standards, sondern auch in der Migration von Altsystemen und ihren Schlüsseln in konforme Schlüsselblöcke. Dies erfordert umfangreiche Investitionen und Planungen und ist ein wesentlicher Grund dafür, dass PCI die Umsetzungsfristen in letzter Zeit mehrfach verlängert hat. Aber schließlich wird dies weltweit vorgeschrieben, so dass bis zum 1. Juni 2025 alle Schlüssel in Schlüsselblöcken gespeichert und ausgetauscht werden, was den Prozess der Aktualisierung von Schlüsseln auf POS-Geräten wesentlich einfacher und sicherer macht.

Auswirkungen auf den Zahlungsverkehr
Da die digitale Welt immer mehr POS-Zahlungsgeräte miteinander verbindet, werden IoT-Geräte immer häufiger. Durch die Remote Key Injection können Zahlungsgeräte sicher, einfach und kostengünstig gewartet werden. Die Zahlungsstandards für Remote Key Injection sind vorhanden, und sie sollten genutzt werden, um die dauerhafte, zuverlässige und sichere Funktion von POS-Terminals zu gewährleisten.

Die Möglichkeit, Massen-Updates für Zahlungssysteme in mehreren Ländern oder sogar weltweit herauszugeben, wird Probleme wie die in Deutschland vielleicht nicht verhindern, aber sie wird die Zeit für die Behebung des Problems erheblich verkürzen können. Wenn wir in der Lage sind, Ausfälle von Tagen auf Minuten zu reduzieren, wird dies dazu beitragen, die Akzeptanz von Kartenzahlungen weiter zu steigern.

Mario Galatovic ist VP Product Management bei Utimaco

Anbieter zum Thema

Rittal GmbH & Co. KG
Riello UPS GmbH
grommunio GmbH
ECOM Electronic Components Trading GmbH
dtm Datentechnik Moll GmbH
Matchmaker+
zu Matchmaker+

Lesen Sie mehr zum Thema

Branchenlösungen RZ-Kühlung DLA Piper
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
d.velop AG

d.velop AG
Western Digital Deutschland GmbH

Western Digital Deutschland GmbH
Riello UPS GmbH

Riello UPS GmbH
WatchGuard Technologies

WatchGuard Technologies
grommunio GmbH

grommunio GmbH
Yealink (Xiamen) Network Technology CO., Ltd

Yealink (Xiamen) Network Technology CO., Ltd