SECURITY2. August 2022

Remote Key Injection soll Ausfälle von Zahlungsterminals verhindern

Utimaco
Rido81 / Bigstock

Der Ausfall von Kartenzahlungs-Terminals machte vielen deutschen Händlern zu schaffen und sorgte für verärgerte Kunden. Laut Utimaco könnten solche Vorfälle in Zukunft verhindert oder zumindest schneller behoben werden. Helfen soll sogenannte “Remote Key Injection”.

Ende Mai 2022 fielen deutschlandweit die Zahlungsterminals am POS aus (mehr zu den Hintergründen hier). Bestimmte ältere Modelle von Kartenlesegeräten konnten keine Verbindung zu dem Netzbetreiber herstellen. Wirklich problematisch wurde die Situation, als die Terminals nicht per Fernzugriff aktualisiert werden konnten, sondern manuell geupdatet werden mussten. So konnten Kunden teilweise mehrere Wochen gar nicht mit Karte oder nur über das Lastschriftverfahren bezahlen.

Schlüsselblöcke und Zahlungen

Laut Utimaco (Website) müssen verschlüsselte symmetrische Schlüssel in Strukturen verwaltet werden, die als Schlüsselblöcke bezeichnet werden. Die Schlüsselnutzung müsse mit Hilfe anerkannter Methoden kryptografisch an den Schlüssel gebunden sein. Der Standard X9.143 (ehemals TR-31) für sichere Schlüsselblöcke spezifiziert eine akzeptable Methode, um Schlüssel in Blöcke zu verpacken, die fälschungssicherer sind, aber dennoch von den richtigen Parteien verwendet werden können und es ermöglichen, Schlüssel aus der Ferne mit ausreichendem Vertrauen und Sicherheit aufzuspielen. Darüber hinaus enthalten der Standard X9.24-3-2017 für die symmetrische Schlüsselverwaltung und die TR-34-Technik (die derzeit in X9.139 standardisiert wird) für die asymmetrische Schlüsselverwaltung diesen Schlüsselblockstandard.

Die Herausforderung bestehe aber nicht nur in der Entwicklung und dem Einsatz neuer Geräte (z. B. POS-Geräte, Hardware-Sicherheitsmodule) nach diesen Standards, sondern auch in der Migration von Altsystemen und ihren Schlüsseln in konforme Schlüsselblöcke. Dies erfordere umfangreiche Investitionen und Planungen und ist ein wesentlicher Grund dafür, dass PCI die Umsetzungsfristen in letzter Zeit mehrfach verlängert hat. Aber schließlich werde dies weltweit vorgeschrieben, so dass bis zum 1. Juni 2025 alle Schlüssel in Schlüsselblöcken gespeichert und ausgetauscht werden, was den Prozess der Aktualisierung von Schlüsseln auf POS-Geräten wesentlich einfacher und sicherer macht.

Auswirkungen auf den Zahlungsverkehr

Da die digitale Welt immer mehr POS-Zahlungsgeräte miteinander verbinde, würden IoT-Geräte immer häufiger. Durch Remote Key Injection könnten Zahlungsgeräte sicher, einfach und kostengünstig gewartet werden. Die Zahlungsstandards hierfür seien bereits vorhanden, und sie sollten genutzt werden, um die dauerhafte, zuverlässige und sichere Funktion von POS-Terminals zu gewährleisten.

Die Möglichkeit, Massen-Updates für Zahlungssysteme in mehreren Ländern oder sogar weltweit herauszugeben, werde Probleme wie die in Deutschland vielleicht nicht verhindern, aber sie könne die Zeit für die Behebung des Problems erheblich verkürzen.

Über Utimaco

Utimaco ist Anbieter von Sicherheitstechnologie für Cybersecurity und Compliance-Lösungen Das Unternehmen entwickelt und produziert On-Premise und cloudbasierte Hardware-Sicherheitsmodule, Lösungen für Schlüsselmanagement, Datenschutz und Identitätsmanagement sowie Data-Intelligence-Lösungen für regulierte kritische Infrastrukturen und öffentliche Warnsysteme.ft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert