Kommentar von Solarwinds
Apple-Pay und Netzwerksicherheit
Nachdem ich jetzt ein gutes Dutzend Mal mit Apple-Pay eingekauft habe, muss ich sagen, es hat etwas. Dabei ist es nicht die am meisten angepriesene Funktion, die nahezu sofortige, mit einer Hand mögliche Bezahlung, die mich besonders beeindruckt. Es sind eher die kleinen Details, wie sofortige Warnungen, sobald Aktionen zu einer verbundenen Karte im Bezahlsystem erfolgen. Sie können in einem Monat jede wiederkehrende – und vielleicht auch vergessene – automatische Zahlung der Karte überprüfen.
Apple-Pay ist so praktisch, dass sogar einige große Handelsketten in den USA schon wenige Tage nach der Einführung begannen, es an ihren Kassen abzulehnen. Der Grund hierfür ist einfach: Die Händler erhielten einen Eindruck davon, wie schnell Apple-Pay Anklang fand und schossen quer, um stattdessen ihr eigenes alternatives Bezahlsystem "CurrentC" zu etablieren. Blankes Entsetzen stellte sich dann bei Netzwerkadministratoren und Sicherheitsteams ein, als Tage später bei einem Angriff auf "CurrentC"-Kundendaten gestohlen wurden.
Bankenkrieg gefährdet die Netzwerksicherheit
Um hier nun in die Tiefe zu gehen, müssen wir erst einmal den Hintergrund betrachten. Apple-Pay ist nicht nur eine praktische Einrichtung eines Anbieters, der sein beachtliches Fachwissen bei Online-Transaktionen auch auf den Point-of-Sale-(PoS-)Bereich anwenden möchte. Eigentlich ist es eher ein Schachzug von Kreditkarten-Verrechnungsstellen und Kreditkartenausstellern (Banken), um die Flut der Debitkarten von Verbrauchern in den USA einzudämmen. Bei Kartentransaktionen im Wert von über 4 Billionen US-Dollar im Jahr 2013 sollte man meinen, die Kreditkartenbranche würde sich über einem Anteil von zwei bis drei Prozent bei jedem Verkauf freuen. Aber dem ist wohl nicht so. Das Debitkartenvolumen überholte das der Kreditkarten bereits im Jahr 2004 und liegt nun fast beim doppelten Volumen von Kreditkarten. Dafür gibt es einen einfachen Grund: Die Händler scheuen keine Mühen, Kreditkarten mit Debitkarten auszustechen, um die von Verrechnungsstellen und Banken veranschlagten Gebühren zu umgehen. Die Banken sind nach Jahren mit Gewinnen in Milliardenhöhe nicht gerade begeistert, diese schwinden zu sehen. Sie sind sogar gewillt, Apple 0,15 Prozent von jeder Transaktion zuzugestehen, um wieder mitzumischen.
Das Problem beim Trend zu Debitkarten besteht darin, dass – so zumindest die weit verbreitete Auffassung – Händler im Grunde keine Ahnung von Netzwerksicherheit haben. Die US-Unternehmen Target, Home Depot, Dairy Queen und sogar JPMorgan wurden alle schon erfolgreich angegriffen. Dabei sind Debitkartendaten ein besonders lohnendes Angriffsziel, da sie direkt mit einzelnen Bankkonten verknüpft sind anstatt mit Kreditkartenunternehmen. Allerdings sind sie doch nicht ganz so unsicher wie ihr Ruf.
Als Administratoren haben wir uns bis in die Nacht hinein mit der Interpretation von Richtlinienberichten zur Sicherheitsverwaltung von Firewalls geplagt, nach Schwachstellen gesucht und PCI-Compliance-Audits über uns ergehen lassen. Doch die Aussicht auf 50 Millionen und mehr erbeutete Kontendaten einzelner Marken hat Angreifer in die toten Ecken unseres Netzwerks getrieben – die der externen Anbieter. Angesichts dessen, dass schon so etwas Grundlegendes wie die Optimierung der HLK-Anlage ein Unternehmen 400 Millionen US-Dollar kosten kann, ist es vielleicht besser, es einfach dem Kunden durch die Wahl des Zahlungsmittels zu überlassen, die Sicherheit zu fördern – auch wenn weniger hoch entwickelte Marken darunter leiden könnten.
- Apple-Pay und Netzwerksicherheit
- Erfolg durch Kundenvertrauen
Lesen Sie mehr zum Thema
