Kreditkartensicherheit 3.0 – PCI DSS in der deutschen Hotelbranche
IHA, ConCardis, USD
Ein Thema, drei Perspektiven. Jennifer Lange, PCI Verantwortliche der ConCardis GmbH, Torsten Schlotmann, PCI Auditor der usd AG und Stefan Dinnendahl, Geschäftsführer des Hotelverbandes Deutschland (IHA), über den Sicherheitsstandard der Kreditkartenindustrie PCI DSS und seine Bedeutung für die Hotelbranche.
Herr Dinnendahl, der PCI DSS Standard ist ja grundsätzlich für alle Unternehmen verbindlich, die Kreditkartendaten speichern, verarbeiten oder übertragen. Die Hotelbranche ist neben dem Online-Handel aber besonders im Fokus. Wie erklären Sie sich das?
Stefan Dinnendahl: Nun, Kreditkarten spielen in den Buchungs- und Bezahlprozessen unserer Mitglieder eine wichtige Rolle. Sie gehören auch in Deutschland zu den bevorzugten Zahlungsmitteln der Hotelgäste. Leider sind Hotels daher auch für Hacker und Kartenbetrüger interessante Ziele und Sicherheit bei uns also ein relevantes Thema.
Würden Sie sagen, dass der Standard aus diesem Grund eine große Akzeptanz in der Hotellerie findet, das Sicherheitsbewusstsein also hoch ist?
Stefan Dinnendahl: Ich beobachte durchaus, dass in der Branche ein Bewusstsein entstanden ist, wie wichtig und sinnvoll PCI DSS für mehr Sicherheit ist. Gleichermaßen stellt die Umsetzung der Anforderungen unsere Mitglieder vor sehr große Herausforderungen. Nicht alle Anforderungen lassen sich immer einfach in vorhandene Abläufe der Hotels integrieren, ohne dabei den Tagesbetrieb zu beeinträchtigen. Und genau da wollen wir hilfreich sein. Deshalb versuchen wir mit unserem Preferred Partner und Acquirer ConCardis gerade die mittleren und kleineren Hotels zu sensibilisieren und zu unterstützen. Zum Beispiel haben wir gemeinsam einen runden Tisch eingerichtet, wo die dringendsten Fragen direkt mit der Kreditkartenindustrie besprochen bzw. geklärt werden können.
Frau Lange, Sie betreuen das Thema PCI DSS für die ConCardis GmbH und ihre Kunden. Wie stellen Sie sich hier auf?
Jennifer Lange: Als Acquirer sind wir durch die Kreditkartenorganisationen verpflichtet, die PCI DSS Compliance unserer Kunden zu monitoren. Gleichzeitig hat sich ConCardis von Beginn an so aufgestellt, dies nicht nur einzufordern, sondern auch dabei zu unterstützen. Hierzu haben wir unter anderem die PCI DSS Plattform der ConCardis bereitgestellt, die assistentengestützt und mit telefonischem Support des PCI Competence Centers durch den Nachweis der Sicherheitsanforderungen führt. Beides hat sich in den letzten Jahren wunderbar etabliert und wird von unseren Kunden sehr gut angenommen.
Herr Schlotmann, als PCI Auditor haben Sie bereits einige Hotels auf ihrem Weg zur PCI DSS Zertifizierung beraten. Was sind hier Ihre Beobachtungen?
Torsten Schlotmann: Dazu muss ich vorab sagen, dass die Hotels, die ich betreue, in der Regel sehr große Hotels bzw. Hotelketten sind, denn nur dann wird ein Vor-Ort-Audit benötigt. Hier haben wir in den letzten Jahren sehr gute Erfahrungen in der Zusammenarbeit mit Hotelkunden gemacht. Ein Großteil der von PCI DSS betroffenen Hotels erbringt seinen Nachweis jedoch in Form einer Selbstauskunft über Fragebögen, die sogenannten SAQs. Wie von Frau Lange erwähnt, werden diese auch plattformgestützt angeboten. Dann erfolgt die Beratung durch das PCI Competence Center. Beides ein Service, den die usd im Auftrag des Acquirers erbringt.
Welche Erfahrungen gibt es denn im Umgang mit den kleineren Hotels?
Jennifer Lange: Gerade bei den kleinen Hotels haben wir die Erfahrung gemacht, dass Aufklärung sehr wichtig ist. Das PCI Competence Center berichtet uns, dass Gesprächslängen in diesem Kundenumfeld über dem Durchschnitt liegen, dafür aber umso wichtiger sind, um Sicherheitsbewusstsein zu schaffen und Unsicherheiten mit Blick auf die Umsetzung der Sicherheitsanforderungen zu beheben.
Torsten Schlotmann: Zur Verbesserung des Sicherheitsbewusstseins, oder Security Awareness, wie die Anforderung im PCI DSS heißt, haben wir im Übrigen auch ein Online Security Awareness-Training und ergänzend verschiedene Awareness-Plakate entwickelt, die mit etwas Humor die häufigsten Fehlverhalten in puncto Sicherheit aufgreifen und zeigen, wie sich stattdessen richtig verhalten werden sollte. Gerade bei Hotels mit Arbeitszeiten im Schichtbetrieb und Saisonarbeitskräften lassen sich Präsenzschulungen nur schwierig organisieren und sind zudem kostenintensiv. Wir beteiligen uns dazu nun auch an einem durch den Bund geförderten Forschungsprojekt, das genau auf das Thema Sicherheitsbewusstsein im Mittelstand abzielt.
Frau Lange, was bedeutet es für Sie als Acquirer, wenn eine neue Version des Sicherheitsstandards vom PCI Security Standards Council herausgegeben wird?
Jennifer Lange: Wir erwarten Änderungen am Standard naturgemäß immer sehr gespannt. Vor allem, weil Änderungen gleichzusetzen sind mit veränderten Anforderungen, die letztendlich unsere Kunden betreffen und mit Mehraufwand für sie verbunden sein können. Wir bemühen uns also immer um frühzeitige Kommunikation und ganz praktische Hilfestellung, bis hin zu möglichen Anpassungen unserer Produkte.
In Kooperation mit ConCardis und dem IHA ist bereits 2013 ein Leitfaden für Hotels von Experten der usd erarbeitet worden. Herr Dinnendahl, was sind die Erfahrungen damit bislang?
Stefan Dinnendahl: Der Leitfaden wurde in der Branche sehr gut angenommen, weil er die Anforderungen des generischen Sicherheitsstandards in die Praxis des Hotels adaptiert hat und vor allem sinnvolle Hinweise und Tipps enthielt, wie sich diese möglichst effizient umsetzen lassen.
Jennifer Lange: Genau deshalb haben wir nun auch wieder eine Überarbeitung durch die usd beauftragt.
Gibt es denn relevante Neuerungen für Hotels in PCI 3.0?
Torsten Schlotmann: Ja, durchaus. Zum Beispiel rund um die physische Sicherheit von POS-Terminals gibt es Neuerungen, auf die wir im Leitfaden natürlich auch eingehen. Außerdem haben wir einen neuen Fragebogentyp des Standards in die Erläuterungen des Leitfadens mit aufgenommen, den sogenannten SAQ B-IP, der sich auf PTS-zertifizierte Terminals bezieht, die mittels IP ihre Daten versenden. Gerade mit Blick auf Hotels erschien uns dieses Thema besonders relevant. In diesem Zusammenhang werden dann wiederum neue Anforderungen zum Beispiel an die Netzwerksegmentierung durch den Standard gestellt. Auch in puncto Dienstleister der Hotels gibt es in PCI 3.0 Konkretisierungen, die berücksichtigt werden müssen.
Stefan Dinnendahl: Anlässlich unserer IHA-Beiratssitzung im April in Köln hatten wir das Thema PCI 3.0 auf der Tagesordnung und haben uns gefreut, dass Herr Schlotmann dort noch einmal explizit auf die Neuerungen eingangen ist.
Jennifer Lange: Und für alle, die jetzt nachlesen möchten, stellen wir den Leitfaden kostenlos zur Verfügung.
Der Leitfaden wird mit freundlicher Unterstützung von ConCardis und usd kostenlos zur Verfügung gestellt. Hier geht es zur aktuellen Version.
Leitfaden Kreditkartensicherheit für Hotels - PCI 3.0
