Sind mobile Kreditkartenlesegeräte sicher?

Gibt es irgendetwas, das Sie tun können, um Kreditkartentransaktionen zu sichern, die über ein Smartphone getätigt werden?

Im März 2011 startete der CEO von VeriFone einen kühnen Angriff – manche würden es als Schmutzkampagne bezeichnen – gegen den Konkurrenten seines Unternehmens, Square. Beide Unternehmen verkaufen Geräte und Dienste, die es Einzelpersonen ermöglichen, Kreditkartenzahlungen von anderen über ein Smartphone entgegenzunehmen. Douglas Bergeron von VeriFone behauptete, dass Square Kreditkarteninformationen nicht verschlüsselte, bevor sie an ein Smartphone übertragen wurden. Im Wesentlichen behauptete Bergeron, dass das Square-Gerät, das kostenlos mit dem Dienst verschenkt wurde, Kreditkarteninformationen in die Hände von Skimmern legte. Ein Hacker musste lediglich eine Anwendung entwickeln, die die unverschlüsselten Daten empfängt, Ihre Karte scannt und die Informationen dann verwendet, um betrügerische Einkäufe zu tätigen.

Ob dieser Angriff legitim war, ist umstritten. Square behauptete, den Payment Card Industry Data Security Standard (PCI-DSS) erfüllt zu haben, bei dem es sich um eine Reihe von Kriterien zum Schutz von Karteninhaberdaten handelt. Einige sagen jedoch, dass diese Kriterien nicht ausreichen, um die Verbraucher zu schützen, und dass sie erheblich verbessert werden müssen.

Als Jack Dorsey, der CEO von Square, antwortete, bestritt er die Behauptung über die Verschlüsselung nicht, sondern brachte vielmehr Punkte darüber vor, dass Karteninformationen bereits unsicher sind. Es ist beispielsweise nicht erforderlich, eine spezielle Anwendung zu entwerfen, damit ein Kellner Karteninformationen aufschreiben kann, wenn er Ihre Karte in einem Restaurant ausführt. Trotz Dorseys Verteidigung von Square kündigte sein Unternehmen bald darauf Pläne an, seinem Lesegerät eine Verschlüsselungsfunktion hinzuzufügen. Dorsey hat jedoch auch darauf hingewiesen, dass Karten zusätzlichen Schutz eingebaut haben und dass Finanzorganisationen Verbraucher nicht für betrügerische Gebühren verantwortlich machen [Quelle:Rao]. Aber als sich der CEO von ROAMData einmischte, wies er darauf hin, dass sowohl Verbraucher als auch Händler dank des grassierenden Kartenbetrugs mit Ärger und zusätzlichen Kosten konfrontiert sind [Quelle:Graylin]. Und der CEO von MagTek warf sogar seinen Senf dazu und argumentierte, dass sowohl die Produkte von Square als auch von VeriFone ohne einen Authentifizierungsmechanismus keine angemessenen Sicherheitsfunktionen hätten [Quelle:Hart].

Sicherheit ist ein berechtigtes Anliegen von Verbrauchern und Händlern. Aber das Problem geht tiefer als bei mobilen Lesegeräten. Der Gründer des Sicherheitsberatungsunternehmens iSEC Partners, Alex Stamos, sagt, dass das Problem wirklich auf die veraltete Magnetstreifen-Kreditkartentechnologie zurückzuführen ist [Quelle:Moscaritolo].