Auf dem EHI Payment Kongress 2023 in Bonn sprach Moderator Olaf Schrage von einem klassischen Zielkonflikt in Bezug auf die Störung mit dem Verifone „H5000“-Kartenterminal, die 2022 aufgetreten war: Ein solches System zu betreiben sei – nicht zuletzt wegen der regelmäßig steigenden Sicherheitsanforderungen – hochkomplex. Zugleich aber dürfe es nicht viel kosten und solle weit über den Abschreibungshorizont hinaus genutzt werden. Das System des Marktführers, obwohl bereits lange abgekündigt, hatte zuvor zuverlässig funktioniert. Auch wegen fehlender Eindringlichkeit in der Kommunikation bestand daher für keinen Stakeholder konkreter Handlungsdruck.
Doch irgendwann war es so weit – und dann folgte der Zusammenbruch. Laut einer Umfrage des Handelsverband Deutschland (HDE) waren 22 Prozent der teilnehmenden Handelsunternehmen betroffen, davon drei Viertel länger als sieben Tage, und auch nach drei Wochen liefen noch nicht alle Systeme wieder fehlerfrei. Dennoch konnten Hersteller, Netzbetreiber und Händler dank gemeinsamer Anstrengungen die Krise meistern. Ein Update sorgt nun dafür, dass die Geräte wieder zuverlässig arbeiten, wie Michael Trinks von Verifone Deutschland berichtete. Allerdings konnte die Software nicht remote ausgetauscht werden, sondern musste mit hohem Aufwand ins Feld gebracht werden.
Verfallsdatum für Terminals
Um solche Krisen in Zukunft zu verhindern, sollten Händler Systeme früher austauschen und nicht auf den Fehler warten, riet Ulrich Binnebößel vom HDE. Selbst aktiv zu werden und beispielsweise Ersatzterminals bereitzuhalten sieht er als Lösungsmöglichkeit. Auch eine Zwei-Geräte-Strategie in den Filialen könne das Risiko reduzieren. Sogenannte Soft-POS-Lizenzen, die kurzfristig aktiviert werden können und die Zahlungsabwicklung über Smartphone oder Tablet ermöglichen, bieten sich seiner Ansicht nach ebenfalls als Back-up-Lösung an. Im Gegensatz zu Computern haben Zahlterminals einen Lebenszyklus von 15 bis 18 Jahren. Die Pflege über einen so langen Zeitraum ist aufwendig. Ottmar Bloching vom Zahlungsdienstleister Payone erwartet, dass die Geräte in Zukunft ein Verfallsdatum bekommen werden.
Möglichen Cyber-Attacken mit einem eigenen Team begegnen
Ottmar BlochingFür den Handel stellt sich die Frage: Wann investieren? Oliver Bertram von Rossmann beschrieb das Dilemma: Wenn die Innovationsgeschwindigkeit hoch sei, falle es oft schwer, den richtigen Zeitpunkt zu treffen, um ein neues System einzuführen. Er wünscht sich mehr Wettbewerb, schnellere Zulassungsverfahren und setzt vor allem auf kleine, innovative Zahlverfahren. Bertram kündigte an, dass Rossmann bald selbst eine neue, kundenfreundlichere Lösung in ihre Märkte bringen will.
Die Runde erkannte einen Trend zu alternativen Betriebssystemen bei den Zahlterminals, vorrangig Android. Allerdings bedeutet dies neue Herausforderungen. Matthias Hönisch vom Bundesverband Deutscher Volksbanken und Raiffeisenbanken (BVR) fürchtet, dass es dann länger dauern wird, Terminals in den Markt zu bringen. Bedingt durch die vielfältigen Software-Layer solcher App-basierten Lösungen werden die Systeme komplexer, schwieriger zu testen und bieten deutlich mehr Angriffspunkte für Cyber-Kriminalität.
Der Handel im Visier
Angriffe auf Computersysteme sind ein weltweit stetig wachsendes Problem. Ottmar Bloching von Payone berichtete, dass auch bei seinem Unternehmen die Vorfälle massiv zugenommen haben. Der Payment-Anbieter hat ein eigenes Team aufgebaut, um den Attacken zu begegnen. Die Mitarbeitenden befinden sich im regelmäßigen Austausch mit ihren internationalen Kollegen und nutzen zur Abwehr neueste Methoden, die sie ständig aktualisieren. Auch der BVR zählt immer mehr ausgeklügelte Angriffe auf seine Systeme.
Mehr Wettbewerb, schnellere Zulassungsverfahren und kleine, innovative Zahlmethoden
Oliver Bertram
Ralph Woern vom Zertifizierungsdienstleister Adsigo warnte vor der systematischen Vorgehensweise krimineller Hacker-Gruppen. Die Angreifenden sind seinem Bericht nach organisiert, agieren weltweit und verfügen über versierte Spezialisten. Zuerst versuchen sie mittels Phishing oder Hacking, Eingang in das System zu finden, arbeiten sich dann durch das gesamte Netzwerk und übernehmen die Kontrolle. Erst wenn auch das letzte Back-up verschlüsselt ist, kommt die Forderung. Woern zitierte eine Studie der Mastercard-Tochter Riskrecon, nach der in den letzten neun Jahren die Cyber-Angriffe auf Serviceprovider um 150 Prozent zugenommen haben, im Handel im gleichen Zeitraum um 400 Prozent.
Das bedeutet: Weniger geschützte Ziele rücken in den Fokus der Täter. Ulrich Binnebößel forderte die Handelsunternehmen auf, sich zeitnah mit dem Thema zu beschäftigen. Gemäß einer Investitionsumfrage des HDE investiert die Retailbranche zwar verstärkt in Digitalisierung, aber kaum in Cyber- Sicherheit. Der Verband arbeitet eng mit dem Bundesamt für Sicherheit in der Informationstechnik zusammen und unterstützt seine Mitglieder mit einem Leitfaden.
Darüber hinaus verweist er auf die Möglichkeit der Nutzung von „My Cyber Risk“, einem Monitoringtool, das Mastercard vor allem für kleinere und mittlere Unternehmen entwickelt hat. Olaf Schrage resümierte: „Mehr Invest in moderne Terminal- Lösungen, mehr Invest in die Security. Der Handel muss zusehen, dass er dieses Geld erst einmal erwirtschaftet.“
EHI-Studie: Paypal dominiert im E-Commerce
Die US-Wallet Paypal hat es im Jahr 2022 zum ersten Mal geschafft, den Kauf auf Rechnung – die hierzulande seit Jahren führende Zahlungsart – bei den Umsatzanteilen im E-Commerce zu überholen. Das ist eins der Ergebnisse der EHI-Online-Payment-Studie 2023.
EHI-Studie: Kundschaft bleibt der Karte treu
Nach drei Jahren Pandemie mit disruptiven Entwicklungen – weg vom Bargeld hin zur Karte – haben die Verbraucher:innen ihr Zahlungsverhalten an den Einzelhandelskassen nicht wieder verändert. Das belegt die aktuelle EHI-Studie „Zahlungssysteme im Einzelhandel 2023“.