Datenklau im Online-Handel – so schützen Sie Ihre Kunden

Die vor zehn Jahren eingeführten Payment Card Industry Data Security Standards (PCI-DSS) sollen Kunden und E-Commerce-Händler vor immer geschickter vorgehenden Kriminellen schützen, deren Ziel es ist, persönliche Daten zu stehlen. Dennoch haben es Betrüger heute mehr denn je auf Online-Händler abgesehen: 2014 entfielen mit 54 Prozent mehr als die Hälfte aller globalen Daten-Angriffe auf E-Commerce-Websites. Die Gründe hierfür sind naheliegend: Die Zahlungsdaten von Kunden sind begehrt und lassen sich leicht zu Geld machen. Gleichzeitig bringt der starke Boom von E-Commerce und M-Commerce zusätzliche Risiken für Händler mit sich. Diesen ist es angesichts des starken Wettbewerbs wichtiger geworden, Kundendaten zu analysieren, um daraus Rückschlüsse auf Kaufverhalten und künftige Bedürfnisse zu ziehen. Der Nebeneffekt: Persönliche Kunden- und Kartendaten werden gespeichert, in einer Organisation an verschiedenen Stellen verwendet und möglicherweise innerhalb der Lieferkette auch an Partner weitergegeben. Dieser Beitrag betrachtet drei Risiken, mit denen E-Commerce-Händler heutzutage konfrontiert werden, und zeigt hilfreiche Techniken auf, um eine effektive Datenschutz-Strategie zu entwickeln.

 Zunehmende Risiken

Erhöhtes finanzielles Risiko

Die Zahl der von Datenschutzverletzungen betroffenen Unternehmen ist in den vergangenen Jahren stetig gestiegen, und das trotz Rekordzahlen im Bereich der PCI-DSS-Compliance. Dabei werden die Angriffe immer komplexer und raffinierter – zunehmend finden sich auch große, namhafte Händler unter den geschädigten Unternehmen. Solche Datenschutzverletzungen können den Verlust von Millionen von Kartendaten, Passwörtern und anderen persönlichen Informationen zur Folge haben. Für ein Unternehmen in Deutschland beträgt der durchschnittliche Verlust bei einer Datenschutzverletzung etwa 4,4 Millionen Euro.

 Stetig steigendes Datenvolumen

Mittlerweile verlassen sich Online-Händler zunehmend auf Datenanalytiker, die potenziellen Kunden auf der Basis von „Customer Insights“ ein personalisiertes und verbessertes Einkaufserlebnis ermöglichen sollen. Die Analyse von Kundentransaktionen und Konsumentenverhalten macht es auf der anderen Seite jedoch häufig schwieriger und kostspieliger, die Zahlungsdaten im Einzelhandel zu schützen. Für Daten, die vom Händler auf eigenen Servern, in eigenen Geschäftssystemen und Anwendungen gespeichert bleiben (man bezeichnet dies als „at rest“/im Ruhezustand), ist das Risiko einer Datenschutzverletzung oft größer als bei Daten, die direkt auf das Zahlungssystem bezogen sind („in transit“). Um der Zahlungsdaten-Compliance zu entsprechen, müssen all diese Daten, selbst wenn sie verschlüsselt sind, jährlich kontrolliert werden. Da mehr und mehr Daten innerhalb und außerhalb von Unternehmen in Bewegung sind (insbesondere solche, die an Partner in der Logistikkette weitergegeben werden), ist der Prozess der Nachverfolgung und Sicherung mit erhöhtem Aufwand verbunden. Es wird folglich zunehmend aufwändiger, die PCI-DSS-Compliance zu gewährleisten.

Neue Lösungen

Die gesteigerte Komplexität der PCI-DSS-Compliance könnte viele Händler dazu veranlassen, sich nach alternativen Lösungen zur Sicherung ihrer Zahlungsdaten umzuschauen. Hier gelten zwei Methoden als besonders nützlich und effektiv.

1. Token-Nutzung: Schutz der gespeicherten Daten

Diese Technologie erhöht die Sicherheit von Karteninhaber-Daten im Ruhezustand („at rest“) und ersetzt Kontonummer und andere sensible Daten durch alternative Identifikationsmöglichkeiten (oder Token). Die „Tokenisierung“ schafft mehr Sicherheit beim mobilen Bezahlen, indem sie die Kartennummer des Kunden durch eine Zeichenkette ersetzt und so an die ausführende Bank sendet. Sobald dieser Prozess korrekt abgeschlossen wurde, verlieren die Zahldaten ihre Relevanz und sind somit wertlos für Betrüger. Der gewählte Ansatz der Token-Nutzung ist jedoch nur anwendbar, wenn er mit den bestehenden Zahlungsanwendungen der Online-Händler und ihren Geschäftssystemen und -prozessen kompatibel ist. Online-Händler haben die Vorteile dieser Technologie erkannt. In einer von Chase Paymentech durchgeführten Studie gaben mehr als die Hälfte der Online-Händler (56 Prozent) an, dass die Verwendung von Token für die PCI-DSS-Compliance nützlich ist.

Da die Token-Nutzung in der Regel erst nach der Autorisierung erfolgt, sorgt sie nicht für Sicherheit in der ersten Akzeptanzphase. Eine mögliche Lösung für diese Phase ist die Nutzung einer Hosted Payment Page. Diese kann entweder in Form einer separaten Website oder durch ein Bestellformular, das auf einer sicheren Seite gehostet wird, erfolgen. Die Kunden geben ihre vertraulichen Zahlungsdaten direkt in diese sichere Umgebung ein. Anschließend läuft die Transaktion wie gewohnt ab. Da die Zahlungsdaten weder vom Händler empfangen noch gespeichert werden, kann diese Lösung dabei helfen, die Anforderungen hinsichtlich der PCI-DSS-Compliance zu erfüllen. In unserer Umfrage gaben 65 Prozent der Händler in Deutschland an, dass Hosted Payment Pages für die PCI-DSS-Compliance nützlich sind. Gleichzeitig nutzten jedoch nur 39 Prozent der Befragten bereits eine Hosted Payment Page.

Autor: Peiam Arad ist Vice President of Sales and Business Development bei Chase Paymentech Europe Limited. In dieser Position berät er Online-Händler nachhaltig und langfristig bei ihrem Unternehmenswachstum, dem Datenschutz, der Betrugsbekämpfung und der Wahl des optimalen Zahlungsverfahrens. Peiam Arad leitet alle Aktivitäten der DACH-Region in den Bereichen Sales, Business Development und Marketing und bringt über 15 Jahre Erfahrung in internationalen Unternehmen der Finanzbranche mit. Chase Paymentech Europe Limited ist eine Tochtergesellschaft von JPMorgan Chase Bank, N.A. (JPMC) und wird von der Irischen Zentralbank reguliert.

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags