Die $ 8. 65 Milliarden Wechsel zu neuen Kreditkarten werden keine Sicherheitsprobleme beheben

Die $ 8. 65 Milliarden Wechsel zu neuen Kreditkarten werden keine Sicherheitsprobleme beheben
Diese Geschichte erschien ursprünglich auf Reuters Neue Technologie, die von Kreditkartenunternehmen eingesetzt werden soll, wird von den US-Verbrauchern verlangen, eine neue Art von Karte und Einzelhändlern im ganzen Land zu führen, um Zahlungsterminals zu aktualisieren. Aber trotz eines Preises von 8 $.

Diese Geschichte erschien ursprünglich auf Reuters

Neue Technologie, die von Kreditkartenunternehmen eingesetzt werden soll, wird von den US-Verbrauchern verlangen, eine neue Art von Karte und Einzelhändlern im ganzen Land zu führen, um Zahlungsterminals zu aktualisieren. Aber trotz eines Preises von 8 $. 65 Milliarden, wird die Verschiebung nur eine schmale Reihe von Sicherheitsproblemen ansprechen.

Kreditkartenunternehmen haben einen Oktobertermin für den Wechsel zu Chip-fähigen Karten festgelegt, die mit eingebetteten Computerchips geliefert werden, die das Klonen erheblich erschweren. Falschgeldkarten machen jedoch nur etwa 37 Prozent des Kreditkartenbetrugs aus, und die neue Technologie wird von Hackerangriffen und Cyberattacken fast genauso verwundbar sein wie aktuelle Swipe-Card-Systeme, sagen Sicherheitsexperten.

Zudem geben US-Banken und Kartenunternehmen bei den neuen Kreditkarten keine persönlichen Identifikationsnummern (PINs) aus, eine zusätzliche Sicherheitsmaßnahme, die gestohlene oder verlorene Karten bei persönlichen Einkäufen praktisch nutzlos macht in einer Verkaufsstelle.Stattdessen bleiben sie bei dem gegenwärtigen System der Signaturen.

Anre Williams, Präsident der globalen Händlerdienste bei American Express, nannte Kosten und Komplexität als Gründe dafür, keine PIN-Nummern auszugeben, was eine viel größere Investition der Kartenherausgeber erfordern würde. "Es ist das PIN-Managementsystem, "Williams sagte, teilweise wegen der zusätzlichen Kundenbetreuung, die es erfordert.

Die Chip-Technologie wird in Europa seit fast zwei Jahrzehnten verwendet, aber die Banken dort benötigen normalerweise PINs. Die Technologie lässt Daten dennoch an drei Schlüsselpunkten ungeschützt: Sicherheitsexperten sagen: Wenn sie an einem Zahlungsterminal ankommen, wenn sie über einen Prozessor übertragen werden und wenn sie in den Informationssystemen eines Einzelhändlers gespeichert werden. Es schützt auch keine Online-Transaktionen.

"Der einfachste Weg, Chip-und-PIN zu umgehen, ist die Verwendung einer gestohlenen Kartennummer für einen Online-Kauf", sagte Paul Kleinschnitz, Senior Vice-President für Cyber ​​Security Solutions bei der Kartenverarbeiter First Data Corp.

Analysten gehen davon aus, dass Kreditkartenbetrug bei stationären Händlern nach der Einführung chipfähiger Karten sinken wird, Online-Betrug jedoch zunehmen wird, wie dies in anderen Ländern der Fall ist, die die Technologie nutzen. Die Aite Group schätzt, dass sich Online-Kartenbetrug in den USA mehr als verdoppeln wird. 6 Milliarden von 3 $. 3 Milliarden zwischen 2015 und 2018.

Einzelhändler und Sicherheitsexperten sagen, dass es für die Vereinigten Staaten sinnvoller wäre, stattdessen zu einem sichereren System, wie Punkt-zu-Punkt-Verschlüsselung, überzugehen. Diese Technologie ist Chip-and-PIN überlegen, die vor etwa 20 Jahren zum ersten Mal eingesetzt wurde, da sie Daten verwirrte, um sie vom Start einer Transaktion an unlesbar zu machen.

Aber die neuere Technologie würde doppelt so viel kosten wie der Chipkartenübergang und hat nicht die lange Erfolgsgeschichte der älteren Technologie.

Einige Sicherheitsexperten sagen außerdem, dass mobile Bezahldienste wie Apple Pay, ein Dienst von Apple, der Daten in der Cloud speichert, in den kommenden Jahren das Potenzial haben, Zahlungen zu sichern, ohne überhaupt eine Karte streichen oder tippen zu müssen.

Haftung für Verstöße

Der Streit um die Wirksamkeit von Duell-Zahlungssicherungssystemen bietet Einblick in einen breiteren Streit darüber, wer für Verstöße haftet: Einzelhändler oder die Kreditgeber verlängernden Kreditgeber.

Gegenwärtig haften Kartenausgeber im Allgemeinen für betrügerische Gebühren. Nach Ablauf der Frist im Oktober, wenn ein Einzelhändler kein Terminal benutzt, das die neuen Karten lesen kann und eine Sicherheitsverletzung mit einer Chipkarte auftritt, haftet der Einzelhändler, obwohl die Verbraucher im Falle einer betrügerischen Belastung weiterhin mit ihren Banken verhandeln . Wenn der Händler Chip-und-PIN aktiviert ist, haftet der Kartenaussteller.

Das Haftungsproblem hat einige Händler verärgert, aber es hat auch einen Anreiz für die Einhaltung der neuen Standards geschaffen.

"Wenn Banken und Kartenunternehmen nur daran interessiert sind, die Haftung auf den Einzelhändler zu verlagern, müssen Sie sich zuerst daran halten", sagte Claudio Del Vecchio, Chief Executive Officer von Brooks Brothers."Und dann denken Sie an Lösungen, die Ihre Probleme lösen werden."

Der Textileinzelhändler rechnet damit, den Oktobertermin einzuhalten, aber Del Vecchio lehnte es ab, Einzelheiten zu den damit verbundenen Kosten zu nennen.

Banken und Kartenunternehmen argumentieren, dass chip-fähige Karten ein notwendiger erster Schritt zur Verteidigung gegen die Verwendung verlorener, gestohlener oder gefälschter Karten sind. "Das erste, was wir als Land tun müssen, ist Sicherheit von Angesicht zu Angesicht Transaktionen ", sagte Carolyn Balfany, Senior Vice President für Produktlieferungen bei MasterCard, einem der Unternehmen, die an der Einführung der neuen Standards EMV beteiligt sind, die für Europay, MasterCard und Visa stehen.

Und es gibt Gründe dafür, dass Banken und Kartenunternehmen neue, sicherere Systeme noch nicht angenommen haben.

"Ein Zahlungsstandard, der weltweit akzeptiert wird, wird die Transaktionskosten für sie erheblich senken", sagte Rick Dakin, CEO der Cyber-Sicherheitsrisiko- und Compliance-Firma Coalfire. "Auch haben sie bereits die schwere Arbeit für EMV erledigt und sind bereit und drängen darauf ", sagte er.

Dakin, der eine Gruppe von Banken im Bereich der Zahlungssicherheit berät, sagte, dass kein Industriestandard für die neueren Punkt-zu-Punkt-Verschlüsselungssysteme existiert und Banken und Kartenunternehmen zögern, größere Investitionen zu tätigen, bevor die Standards festgelegt werden .

Banken und Kartenunternehmen sagten, eine Chipkarte allein könne gestohlene Daten für Hacker weniger nützlich machen, und die Technologie habe dazu beigetragen, gefälschten Kartenbetrug in Europa und anderswo zu reduzieren.

Sicherheitsexperten sagen, die Verlagerung könne massive Verstöße gegen Verbraucherdaten, wie sie kürzlich bei Target und Home Depot vorkamen, nicht verhindern. Aber die Technologie wird es schwieriger machen, gestohlene Daten zu verwenden.

Big Spend

Mit dem nahenden Oktober-Termin und den Upgrade-Kosten, die die Gewinnaussichten von Einzelhändlern treffen, sind sich einige Händler der erforderlichen Änderungen nicht bewusst, während andere sich auf die Unzulänglichkeiten der Chiptechnologie konzentrieren.

"Wenn der Termin näher rückt, merken die Einzelhändler, dass sie mit dieser massiven Investition, die sie für eine Technologie machen müssen, die das Problem nicht löst, stecken bleiben", sagte Dakin.

Die Installation von 15 Millionen Zahlungsterminals, die Chipkarten in den USA lesen können, kostet ungefähr 6 US-Dollar. 75 Milliarden. Von den Banken wird erwartet, dass sie 1 Dollar ausgeben. 4 Milliarden, um neue Karten und einen weiteren $ auszugeben. 5 Milliarden, um ihre Geldautomaten nach Javelin Strategy & Research zu verbessern.

Das Upgrade eines einzelnen Zahlungsterminals auf Chip-und-PIN-Funktionen kostet je nach Ausstattung zwischen 500 und 3000 US-Dollar. Es würde zwischen 1000 und 4000 Dollar kosten, ein Punkt-zu-Punkt-Verschlüsselungsterminal zu installieren, sagten Sicherheitsexperten.

"Das Problem besteht nun darin, wie wir unser Kapital so verteilen, dass zuerst EMV angesprochen wird und dann sofort die Mittel für ein Upgrade gefunden werden und eine bessere Lösung installiert wird", sagte Grant Shih, Vizepräsident für IT-Entwicklung bei Kinderbekleidungs-Einzelhändlern Carter's Inc.

Für einige kleine Händler ist das Problem jedoch noch grundlegender: Sie wissen, was im Oktober von ihnen erwartet wird.

Sechs von zehn kleinen Einzelhändlern in Chicago, die von Reuters interviewt wurden, sagten, sie hätten keine Ahnung von der Frist später im Jahr und hätten keine Pläne, ihre Zahlungsterminals zu aktualisieren. Drei andere sagten, sie hätten von der Verlagerung gehört, aber ihre Geschäfte seien klein und hätten keine Probleme mit Betrug, die die Kosten für die Installation neuer Geräte rechtfertigen würden. Nur ein Geschäftsinhaber sagte, dass sie gerne Terminals aufwerten würde, obwohl sie sagt, dass die Kosten ein Hindernis darstellen.

Anne Manion, Inhaberin der Boutique für Damenbekleidung und Accessoires, Girl Hour, sagte, sie glaube nicht, dass kleine Unternehmen Datenverletzungen so ausgesetzt sind wie große Einzelhändler, aber sie denkt immer noch darüber nach, ihre Bank über die Aufrüstung von Terminals zu informieren zwei ihrer Geschäfte.

"Die Auswirkungen auf die Kosten sind wichtig, und ich werde abwarten, ob es am Ende des Jahres eine Möglichkeit gibt, diese Terminals zu mieten, statt sie zu kaufen", sagte sie. Manion zahlt bereits monatlich 500 Dollar für die beiden Kartenterminals, die sie jetzt hat.

Die Einzelhandelsvereinigung erklärt, dass sie glaubt, dass die Mehrheit der kleinen Einzelhändler sich der Risiken durch Kartenbetrug bewusst ist, aber noch nicht mit den erforderlichen Investitionen begonnen hat. Die Gruppe entwickelt einen Plan, um die Verschiebung der Haftung zu erklären, und wird bald auf kleinere Händler zugehen.

"Viele kleine Einzelhändler neigen dazu, bis zur letzten Minute zu warten, bis sie merken, dass sie dieses Geld unbedingt ausgeben müssen, denn für sie ist das Geld König", sagte Sarah Paxton, Vice Chairman der Retail Merchants Association in Richmond VA .

(Bericht von Nandita Bose, Schnitt von David Greising, Peter Henderson und Sue Horton)