Ausfall von Kartenzahlungen: Aufsicht will Panne grundlegend aufarbeiten

Inhaltsverzeichnis

Nach dem breitflächigen Ausfall des Kartenzahlungs-Terminals H5000 prüfen jetzt auch die Aufsichtsbehörden, wie es dazu kommen konnte und ob solche Fälle in Zukunft vermeidbar sind. In Fachkreisen wird vor allem die Frage diskutiert, ob die in die Jahre gekommenen Geräte nicht längst in größerer Zahl hätten ersetzt werden müssen. So unterstützt das H5000 nicht die aktuell von Neugeräten erwarteten Standards und darf nur noch innerhalb von Übergangsfristen betrieben werden. Zur genauen Ursache des Ausfalls schweigt der Hersteller weiterhin.

Immer noch 90.000 bis 100.000 Geräte im Einsatz

Das Forschungsinstitut des Handels, EHI, beziffert die Zahl der noch im Einsatz befindlichen Kartenlesegeräte des betroffenen Typs auf bundesweit 90.000 bis 100.000, berichtet das Handelsblatt. Das wäre gemessen an den insgesamt rund 970.000 Terminals in Deutschland nahezu jedes zehnte Gerät. Laut Verifone waren aber nicht alle Terminals des Typs betroffen.

Die Bundesbank kündigte an, die Panne mit der deutschen Kreditwirtschaft grundlegend aufarbeiten zu wollen. Bundesbank, die Finanzaufsicht Bafin, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Zahlungsdienstleister stünden in engem Austausch. Die Störung trat vor einer Woche das erste Mal auf.

Seit April 2021 nicht mehr im Verkauf

Die hohe Zahl der Geräte erklärt sich vor allem dadurch, dass viele große Handelsketten auf das laut Verifone "meistverkaufte" Kartenzahlungs-Terminal Deutschlands gesetzt haben. Das H5000 wurde laut Medienberichten seit dem Jahr 2011 verkauft. Im Oktober 2013 wurde es vom BSI zertifiziert. Im November 2020 teilte Verifone in einem Bulletin mit, dass diverse Geräte – darunter das H5000 – nach dem 30. April 2021 nicht mehr verkauft werden sollen, da sie einem neuen Standard nicht mehr genügen. Für April 2023 kündigte der Hersteller das Ende der Unterstützung (End of Service) an.

Dieses neue Regelwerk, der Payment Card Industry Data Security Standard (PCI), wurde vom H5000 bis Version 3.0 unterstützt. Aktuell ist Version 4.0. Der PCI definiert Sicherheitsstandards, die Kartenlesegeräte einhalten müssen. Das Regelwerk wird in Abständen immer wieder an neue Gegebenheiten angepasst.

"Strafgebühren" für den weiteren Einsatz

Neben diesem internationalen Standard genügt das H5000 auch nicht mehr den Vorgaben, die die Deutsche Kreditwirtschaft an neue Geräte stellt. Im sogenannten Technischen Anhang (TA) definiert sie Regeln für den deutschen Zahlungsverkehr. Hinzu kommt DC POS. Dieses Regelwerk, das aktuell in der Version 3.0 gilt, beschreibt die Anforderungen an Geräte, die sowohl die Zahlung mit Girocard als auch per Kreditkarte zulassen. Kreditwirtschaft und Kreditkartenanbieter haben sich auf diese gemeinsamen Standards verständigt.

Seit dem 1. Januar 2022 dürfen nur noch neue Geräte in den Markt eingeführt werden, die der TA 7.2 entsprechen und DC-POS 3.0 unterstützen. Bis zum 31. Dezember 2024 müssen ältere Geräte, die nur TA 7.1 und DC-POS 2.5 beherrschen, abgeschaltet werden. Zu letztgenannter Gruppe gehört auch das H5000, das nicht mehr auf die neuen Standards aktualisiert werden kann. Augenscheinlich um die Händler zu motivieren, schneller umzusteigen, kündigte Mastercard für den 30. September 2022 und den 1. Juli 2023 höhere Gebühren für alte Terminals an. Offenbar wollten Einzelhändler die Fristen voll ausschöpfen, um die nötigen Investitionen in neue Geräte erst später tätigen zu müssen.

Die TA 7.2 stellt neue Anforderungen an die Unterstützung der Girocard. Die neue Version legt im Vergleich zur TA 7.1 neue Voraussetzungen bei der Sicherheit fest und trägt der Entwicklung hin zu kontaktlosen Zahlungen Rechnung.

Das sagt Verifone

Verifone beteuert auf seiner Website weiterhin, dass das Problem mit dem H5000 nicht mit einer Sicherheitslücke oder dem Ablauf eines Zertifikats zusammenhänge. Fachleute vermuteten in den vergangenen Tagen, dass ein für den Betrieb wichtiges Zertifikat aufgrund des Alters der Geräte abgelaufen sein könnte. Auch von einem Softwareupdate, das zur Jahreswende eingespielt werden sollte, aber nicht flächendeckend installiert wurde, war die Rede. Verifone spricht hingegen von einer Software-Fehlfunktion, ohne weitere Details zu nennen. Laut Hersteller könnten bestimmte kontaktlose Zahlungen und Lastschrift-Transaktionen aber noch verarbeitet werden. "Es könnte daher nützlich sein, das Lastschriftverfahren temporär über den Netzbetrieb aktivieren zu lassen", so Verifone.

Für das H5000 soll es laut Verifone inzwischen ein Update geben. Doch erste Handelsketten wie Aldi Nord haben längst damit begonnen, die betroffenen Geräte durch neue zu ersetzen.

(mki)