„WICH­TIG IST DIE 3-D-SE­CU­RE-AU­THEN­TI­FI­ZIE­RUNG“

Tho­mas von der Ga­then, Pro­ku­rist und Si­cher­heits­ver­ant­wort­li­cher bei SIX Payment Ser­vice Aus­tria, über die Si­cher­heits­me­cha­nis­men im di­gi­ta­len Zah­lungs­ver­kehr

KURIER_DIGITAL FUTURE - - SICHERHEIT -

Müs­sen Nut­zer beim On­line-Shop­ping um ih­re Da­ten ban­gen? Wel­che Stan­dards gibt es zur Spei­che­rung der Da­ten? Tho­mas Von der Ga­then: Im Fall un­ver­schul­de­ten Miss­brauchs trägt der Kun­de nie das Ri­si­ko. Sämt­li­che Schä­den wer­den ge­tra­gen oder nach Prü­fung rück­erstat­tet. Der Kun­de muss sich kei­ne Sor­gen um Be­las­tun­gen sei­ner Kar­te oder sei­nes Kon­tos ma­chen. Es gibt grund­sätz­lich den in­ter­na­tio­na­len PCI-Stan­dard (Payment Cards In­dus­try, Anm. d. Red.). Die­ser be­sagt, dass je­der, der Da­ten ver­ar­bei­tet oder Zu­griff dar­auf hat, ge­wis­se Da­ten ver­schlüs­selt spei­chern muss oder gar nicht erst spei­chern darf. Ein CVC2, der Card Ve­ri­fi­ca­ti­on Co­de, der nur auf der Rück­sei­te der ech­ten, phy­si­schen Kar­te ables­bar ist, darf bei­spiels­wei­se nie ge­spei­chert wer­den, auch nicht ver­schlüs­selt, auch die Kar­ten­num­mer darf nur ver­schlüs­selt ge­spei­chert wer­den. Wenn der PCI-Stan­dard ein­ge­hal­ten wur­de, kön­nen die Da­ten in ih­rer Ge­samt­heit gar nicht ab­ge­grif­fen wer­den.

Wo­von hängt es ab, ob ein 3-D-Se­cu­reEin­ga­be­feld bei ei­ner On­li­ne­zah­lung kommt? Es hängt da­von ab, ob der Händ­ler das 3-D-Se­cu­re-Ver­fah­ren un­ter­stützt oder nicht. Das ist im End­ef­fekt ei­ne Ri­si­ko­ent­schei­dung des Händ­lers. Es gibt gro­ße On­line­händ­ler, die nut­zen ihr ei­ge­nes Ri­si­ko­ma­nage­ment­sys­tem, dann er­folgt kei­ne 3-D-Se­cu­re-Au­then­ti­fi­zie­rung. Die­se Händ­ler ha­ben an­de­re Prüf­me­cha­nis­men. Für die Mehr­heit der Händ­ler lohnt sich die­se In­fra­struk­tur und der Auf­wand nicht, sie kön­nen auf 3-D-Se­cu­re zu­rück­grei­fen. Si­cher­heit für den Kar­ten­in­ha­ber steht im­mer im Vor­der­grund, aber letzt­end­lich geht es dar­um, Schä­den vor vor­ne­her­ein zu ver­mei­den. Denn auch für ei­nen Händ­ler ist je­der Scha­dens­fall mit Auf­wand ver­bun­den.

Grund­sätz­lich müss­ten al­le Be­tei­lig­ten aber an die­sem zu­sätz­li­chen Vor­gang in­ter­es­siert sein, um die Iden­ti­tät der Per­so­nen zu über­prü­fen … Was im­mer über­prüft wird, ist die Exis­tenz der Kar­te, der Sta­tus der Kar­te und der ver­füg­ba­re Ein­kaufs­rah­men. Was nicht ge­prüft wer­den kann, ist, ob der Ver­wen­der ei­ner Kar­te tat­säch­lich der Kar­ten­in­ha­ber ist. Des­we­gen ist das The­ma Au­then­ti­fi­zie­rung so wich­tig. Hier gibt es ver­schie­de­ne Ver­fah­ren, un­ter an­de­rem 3-D-Se­cu­re.

Wie wer­den Auf­fäl­lig­kei­ten ent­deckt? Wir be­trei­ben hier rund um die Uhr Mo­ni­to­ring im Hin­ter­grund. Wir se­hen uns Mus­ter an – da­hin­ter steckt ein gro­ßer IT-Auf­wand – und zu­sätz­lich be­ur­tei­len Fach­leu­te die ver­däch­ti­gen Da­ten und kon­tak­tie­ren Kun­den, wenn et­was auf­fäl­lig ist. Wir ent­de­cken mitt­ler­wei­le in mehr als 80 Pro­zent der Fäl­le den Be­trugs­ver­such noch be­vor es der Kun­de merkt.

„Auch für ei­nen Händ­ler ist je­der Scha­dens­fall mit Auf­wand ver­bun­den.“

Tho­mas von der Ga­then, Si­cher­heits­ver­ant­wort­li­cher bei SIX Payment Ser­vice, Wien

Newspapers in German

Newspapers from Austria

© PressReader. All rights reserved.