Wie steht es um die Sicherheit im E-Payment? Ralf Gladis, Mitgründer und Geschäftsführer des Payment Service Providers Computop, zeichnet im Gespräch mit ChannelPartner ein eher positives Bild der aktuellen Situation. Geht es um die Gefährdung durch Hackerangriffe Cyberkrimineller, so sind dagegen heute durchgehend effektive Schutzmechanismen im Einsatz. "Für Payment Service Provider gilt der sogenannten PCI-Datensicherheitsstandard, der zum Schutz von Kreditkartendaten entwickelt wurde. Die Sicherheit wird dabei durch die Verschlüsselung von Kreditkartendaten erreicht. Dies ermöglicht eine schnelle und nahtlose Abwicklung von E-Commerce- und Card-not-Present-Transaktionen mit einem hohen Maß an Vertrauen zwischen Händlern, Kunden, Banken und Zahlungsdienstleistern", erklärt der E-Payment-Experte. Außerdem stelle sein Unternehmen sicher, dass eine durchgehende IT-Verfügbarkeit, der Einsatz schutzstarker Firewalls und die Umsetzung organisatorischer Sicherheit gemäß ISO-Richtlinien eine effektive Absicherung gewährleisteten.
Aus diesem Grund haben sich Cyberkriminelle in den letzten Jahren hauptsächlich auf sogenannten Fraud bzw. Betrugsmethoden verlagert. Ein häufiges Beispiel stellt der Identitätsdiebstahl dar, bei dem Kriminelle an die Daten von Online-Kunden geraten und diese für ihre verbrecherischen Zwecke einsetzen. Doch auch hier existieren mittlerweile effektive Schutzmechanismen. Dazu gehören die inzwischen flächendeckend angebotene Zwei-Faktor-Authentisierung, aber auch verhaltensorientierte Betrugsabwehrmaßnahmen wie die sogenannten Velocity Checks, die zum Beispiel untypisch häufige Bestellungen identifizieren sollen. Auch wenn diese Abwehrmaßnahmen von den Anbietern gerne mit dem Etikett "KI" beworben werden, handelt es sich dabei in der Regel vor allem um Machine Learning Anwendungen. Doch hat deren Weiterentwicklung dazu beigetragen, dass Schutz-Level gegen Online Fraud immer höher zu legen.
Der heute höchste Schutzstandard ist in Gefahr
Dennoch sieht Computop-Chef Ralf Gladis keinen Grund dazu, beruhigt die Füße hochzulegen - im Gegenteil: die technische Entwicklung sorgt seiner Ansicht nach für eine neues Gefährdungsszenario, das den meisten noch gar nicht bewusst ist. "Quantencomputern können die komplexesten Berechnungen schnell durchführen und die heute ausreichende Verschlüsselung in wenigen Tagen knacken", sagt der E-Payment-Experte. Während Quantencomputer bisher vor allem als Zukunftstechnologie betrachtet wurden und als zu groß, zu teuer und zu schwer zu kühlen galten, nimmt die Entwicklung nun einen Kurs, der auch Cyberkriminellen entgegenkommen könnte. So ist es nur noch eine Frage der Zeit, bis Quantencomputer auch bei Zimmertemperatur betrieben werden können und in der Anschaffung bereits ab einer Million Euro verfügbar sind. Zudem bereiten Unternehmen wie IBM Anwendungen vor, die den Einsatz von Quantencomputing-as-a-Service greifbar machen.
Das Besondere an Quantencomputern ist im E-Payment-Kontext, dass sie gerade das bislang als am sichersten geltende Verfahren angreifbar machen. Bisher gingen Experten nämlich davon aus, dass die sogenannte asynchrone Verschlüsselung nach dem RSA-Verfahren den höchsten Sicherheitsstandard bietet. "Das nach den Erfindern Rivest Shamir Adleman benannte Verfahren verwendet mathematische Algorithmen, um die persönlichen Daten der Kunden zu verschlüsseln. Selbst mit einem Brute-Force-Angriff würde es wahrscheinlich Jahre dauern, bis ein klassischer Computer die großen Zahlen des Algorithmus berechnen und die Verschlüsselung knacken könnte", erklärt Ralf Gladis. Quantencomputer seien mit ihrer Leistungsstärke aber in der Lage, die mathematische Grundlage der asynchronen Verschlüsselung anzugreifen und machten diese damit grundsätzlich unsicher.
E-Commerce-Anbieter müssen jetzt Abwehrkapazitäten aufbauen
Was soll man tun, wenn der technologische Fortschritt selbst das heute am sichersten betrachtete Verschlüsselungsverfahren angreifbar macht? Die Lösung heißt aus Sicht von Computop-Chef Gladis Kryptoagilität: "Wir müssen an technologischen Entwicklungen arbeiten, die es ermöglichen, Sicherheitsschlüssel und Verschlüsselung schnell zu ändern, indem wir Software einsetzen, die Kommunikation und Datenbanken neu verschlüsseln kann, wenn Algorithmen geknackt werden." So habe das National Institute of Standards and Technology (NIST) in den USA bereits vier quantenresistente Verschlüsselungsverfahren identifiziert. Für das E-Payment bedeute dass, das Anbieter, die in der Lage sind diese Algorithmen einzusetzen und flexibel anzupassen, ihren Kunden auch in Zukunft den höchsten Sicherheitsstandard bieten könnten.
Doch wie Gladis betont, seien die Payment Service Provider nicht in der Lage, das Problem alleine zu lösen. Es brauche das Bewusstsein und die technologische Fähigkeit aller am Bezahlprozess beteiligten Instanzen - auch der Online-Händler -, um die drohende Gefährdung abzuwenden. "Die Menge der Daten, die heute in Datenbanken gespeichert sind, kann die Prozesse schwerfällig machen. Die Entschlüsselung in großem Maßstab kann problematisch sein. Die Neuprogrammierung von Software für eine kryptoagile Zukunft ist zeitaufwändig und könnte Jahre dauern, weshalb wir jetzt damit beginnen müssen", mahnt der E-Payment-Experte. Noch sei der akute Bedrohungsfall nicht eingetreten, doch die Prognose, die Ralf Gladis stellt, sollte der E-Commerce-Branche den Handlungsbedarf vor Augen führen: "Ich gehe davon aus, dass in den nächsten sieben Jahren für Cyberkriminelle nutzbare Systeme entstehen werden."