Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Zahlungs-HSM

Zahlungs-HSMs: Die Zukunft der Zahlungssicherheit

Geschrieben vonRiley Dickens 13 Minuten
Zahlungs-HSMs – Die Zukunft der Zahlungssicherheit
Inhaltsverzeichnis

Die Aufbewahrung von Kundendaten ist äußerst wichtig, um Ihren Kunden ein Gefühl der Sicherheit zu vermitteln und sicherzustellen, dass ihre Informationen nicht von böswilligen Akteuren missbraucht werden. Dies ist in der Zahlungsbranche noch wichtiger. Institutionen wie Banken, Geldautomatendienste und andere Organisationen, die mit Kundenzahlungsdaten arbeiten, müssen deren Sicherheit gewährleisten, insbesondere wenn diese Daten in ihren Datenbanken gespeichert sind.

In der Zahlungsbranche gibt es zahlreiche verschiedene Standards und Vorschriften, die sicherstellen sollen, dass Unternehmen in dieser Branche ordnungsgemäße Verfahren zum Schutz von Kundendaten einhalten. Standards wie PCI-DSS (Datensicherheitsstandards der Zahlungskartenbranche), SOX (Sarbanes-Oxley Act) und DSGVO (Allgemeine Datenschutzverordnung), zusammen mit NIST (Nationales Institut für Wissenschaft und Technologie) Standards dienen dem Schutz der Zahlungsdaten und anderer sensibler Kundendaten.

Es gibt zahlreiche verschiedene Angriffsarten, die auf den Zahlungsverkehr abzielen, da Cyberkriminelle häufig Informationen von Unternehmen und Organisationen stehlen möchten. Aus diesem Grund haben Cybersicherheitsexperten und Regulierungsbehörden wie das NIST zahlreiche Methoden entwickelt, um diese Angriffe abzuwehren.

Tools wie Codesignatur Plattformen, Verschlüsselung, Tokenisierung und Public-Key-Infrastruktur (PKI) ermöglichen es Unternehmen, bestimmte Vorschriften und Best Practices einzuhalten und Kundendaten bestmöglich zu schützen. Bevor wir uns mit der konkreten Verwendung von Payment Hardware Security Modules zum Schutz Ihrer Kundenzahlungsdaten befassen, werfen wir zunächst einen Blick auf einige der verschiedenen Arten von Angriffen, die in der Zahlungsbranche auftreten.

Angriffe konzentrierten sich auf den Zahlungsbereich

Es gibt viele verschiedene Arten von Cyberangriffen, die in allen Branchen vorkommen. Werfen wir jedoch einen Blick auf diejenigen, die sich auf die Zahlungsbranche konzentrieren:

  • Man-in-the-Middle-Angriffe

    Man-in-the-Middle-Angriffe sind branchenübergreifend verbreitet und nicht nur im Zahlungsverkehr verbreitet. Diese Angriffe lassen sich zwar leicht stoppen, allerdings nur mit dem richtigen Schutz. Ein Man-in-the-Middle-Angriff läuft genau so ab, wie der Name vermuten lässt.

    Wenn die Quelle einer Datei eine Datei oder ein Dokument an ihr Ziel sendet, fängt der Angreifer die Daten während der Übertragung ab und stiehlt sie, bevor sie das Ziel erreichen können. Dies ist ein großes Problem, wenn die Daten beim Senden an das Ziel im Klartext vorliegen.

    Klartext bezieht sich auf Daten, die ohne Detokenisierung angezeigt werden können. entschlüsseln, oder die betreffenden Daten demaskieren. Grundsätzlich gilt alles, was nicht verschlüsselt, tokenisiert oder anderweitig verschleiert ist, als Klartext.

    Man-in-the-Middle-Angriffe lassen sich jedoch deutlich leichter vermeiden, wenn Methoden wie Verschlüsselung zum Einsatz kommen. Werden Daten vor der Übertragung verschlüsselt, kann ein Man-in-the-Middle-Angriff erfolgen. Der Angreifer kann die Daten jedoch nicht lesen oder nutzen, es sei denn, er stiehlt auch den Verschlüsselungsschlüssel.

  • Gestohlene Anmeldeinformationen/Phishing-Angriffe

    Eine weitere häufige Angriffsart, nicht nur im Zahlungsbereich, sind Phishing-Angriffe und Angriffe, die auf den Diebstahl von Benutzerdaten abzielen. Ich habe diese beiden Angriffe zusammengefasst, da es bei Phishing-Angriffen in der Regel um den Diebstahl von Anmeldedaten geht. Phishing-Angriffe sind Angriffe, die Sie häufig in Ihren E-Mails sehen. Bei einem Phishing-Angriff wird eine gefälschte E-Mail versendet, die möglicherweise einen Link zu einer scheinbar vertrauenswürdigen Website enthält.

    Bei solchen Angriffen wird üblicherweise eine E-Mail versendet, die scheinbar von einer vertrauenswürdigen Bank stammt. Darin wird Ihnen mitgeteilt, dass eine Belastung Ihres Kontos entstanden ist und Sie aufgefordert werden, auf den Link in der E-Mail zu klicken, um diese zu bestreiten. Sobald Sie auf den Link klicken, werden Sie wahrscheinlich auf eine gefälschte Website weitergeleitet, auf der Sie Ihre Bankdaten eingeben müssen.

    Sobald Sie Ihre Anmeldedaten eingegeben haben, passiert zunächst nichts. Im Backend der Website zeichnen die Angreifer jedoch Ihre Anmeldedaten auf. Da Sie denken, dass es sich um die Webseite der Bank handelt, nutzen die Angreifer diese Anmeldedaten, um sich bei Ihrem Bankkonto anzumelden und Ihr gesamtes Geld zu stehlen.

    Aus diesem Grund legt Ihr Unternehmen wahrscheinlich großen Wert darauf, dass Sie darin geschult sind, wie ein Phishing-Angriff aussieht, und dass Sie stets darauf achten, dass diese Angriffe auch auf Ihre geschäftlichen oder privaten E-Mails erfolgen können.

  • Ausnutzung von Sicherheitslücken

    Wie bereits erwähnt, ist die softwarebasierte Speicherung von Verschlüsselungsschlüsseln zwar möglich, allerdings sind Ihre Schlüssel dadurch anfällig für Schwachstellen, die überall auf Ihrem Computer ausgenutzt werden können. Die meisten Cyberkriminellen infizieren oder infiltrieren den Computer eines Opfers über Schwachstellen-Exploits.

    Sicherheitslücken können überall dort auftreten, wo Software verwendet wird. Das bedeutet: Wenn Sie Schlüssel in einem softwarebasierten Speicher auf Ihrem Computer speichern, können Angreifer Schwachstellen im Betriebssystem, in Anwendungen oder in anderer Software auf Ihrem Computer ausnutzen, um Ihre Verschlüsselungsschlüssel zu stehlen.

    Die einzigen Möglichkeiten, diese Probleme zu umgehen, sind die Verwendung eines Hardware-Sicherheitsmodul im Gegensatz zur softwarebasierten Speicherung von Verschlüsselungsschlüsseln, oder wenn Sie eine softwarebasierte Schlüsselspeicherung verwenden müssen, stellen Sie sicher, dass Sie Ihr Betriebssystem, Ihre Anwendungen und andere Software auf Ihrem Computer immer mit den neuesten Patches aktualisieren, die von den geprüften Entwicklern der Software, des Betriebssystems usw. bereitgestellt werden.

  • Brute-Force-Methode

    Eine weitere häufige Angriffsart, die überall, auch außerhalb des Zahlungsverkehrs, vorkommt, sind Brute-Force-Angriffe. Brute-Force-Angriffe sind sehr einfache und häufige Angriffe, die am häufigsten auf Websites, insbesondere Bankwebsites, auftreten. Bei einem Brute-Force-Angriff erhält ein Angreifer eine E-Mail von einem Opfer oder verwendet eine vermeintliche E-Mail-Liste und versucht, sich als dieser Benutzer auf einer Webseite anzumelden.

    Normalerweise sendet der Angreifer zunächst einen Phishing-Versuch an den Benutzer, um dessen E-Mail-Adresse zu bestätigen. Anschließend führt er ein Brute-Force-Skript auf der Website aus. Dieses Skript verwendet ein Wörterbuch mit gängigen Passwörtern und versucht, diese alle auf der Website mithilfe der gesammelten E-Mails aus der Phishing-Kampagne zu knacken.

    Dies ist eine langsame Angriffsmethode, kann aber auf lange Sicht äußerst erfolgreich sein, da viele Benutzer schwache oder wiederverwendete Passwörter verwenden. Die beste Methode, solche Angriffe abzuwehren, besteht darin, den Benutzer nach mehreren fehlgeschlagenen Anmeldeversuchen von der Anmeldeseite Ihres Unternehmens zu sperren.

    Wenn dies vorhanden ist, wird der Bedrohungsakteur nach drei fehlgeschlagenen Versuchen gesperrt und Sie können das Opfer warnen, dass seine E-Mail kompromittiert wurde.

Was sind HSMs?

Hardware-Sicherheitsmodule (HSMs) sind Geräte, die zusammen mit Verschlüsselung eingesetzt werden, da sie Verschlüsselungsschlüssel schützen. Verschlüsselung ist ein Prozess, bei dem wichtige Daten wie Zahlungskarteninformationen, die Adresse oder die Sozialversicherungsnummer eines Kunden verborgen werden. Mithilfe von Verschlüsselungsschlüsseln können Kundendaten durch ein Verschlüsselungsalgorithmus Dadurch werden die Daten unkenntlich gemacht, indem sie in eine zufällige Reihe von Buchstaben und Zahlen umgewandelt werden.

Dies funktioniert sehr gut in Verbindung mit einer Datenbank, da diese eine Vielzahl sensibler Kundendaten enthalten kann und anschließend eine Verschlüsselung über die gesamte Datenbank erfolgen kann. Solange die vertrauenswürdigen Personen, die die Daten lesen müssen, Zugriff auf die Verschlüsselungsschlüssel im HSM haben, können sie die Daten im Klartext anzeigen und nach Bedarf nutzen.

Passend zu diesem Thema gibt es zwei verschiedene Arten der Verschlüsselung: symmetrische und asymmetrische VerschlüsselungBei der symmetrischen Verschlüsselung wird ein einzelner Verschlüsselungsschlüssel verwendet, um personenbezogene Daten zu verschleiern.

Dies ist eine deutlich schwächere Form der Verschlüsselung als die asymmetrische Verschlüsselung und wird daher nur unter bestimmten Umständen eingesetzt. Bei der asymmetrischen Verschlüsselung werden zwei Verschlüsselungsschlüssel verwendet: ein öffentlicher und ein privater Schlüssel. Diese Schlüssel sind mathematisch miteinander verknüpft und beide sind für die Ver- und Entschlüsselung erforderlich.

Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich zugänglich und für jedermann einsehbar. Dieser Schlüssel wird für die Entschlüsselung verwendet. Der private Schlüssel wird geheim gehalten und nur der Ersteller des Schlüsselpaars kann darauf zugreifen und ihn verwenden. Der private Schlüssel wird für die Verschlüsselung von Daten verwendet. Die Verknüpfung dieser Schlüssel dient dazu, sicherzustellen, dass Daten während der Übertragung nicht gestohlen und mit einem anderen Schlüsselpaar verschlüsselt werden.

Da der Endbenutzer Zugriff auf den öffentlichen Schlüssel des Schlüsselpaars hat, kann er die benötigten verschlüsselten Daten empfangen, die mit dem privaten Schlüssel des Schlüsselpaars verschlüsselt wurden, und sicherstellen, dass die Daten während der Übermittlung nicht verändert wurden. Dies verhindert bestimmte Angriffe wie Man-in-the-Middle-Angriffe.

Hardware-Sicherheitsmodule (HSMs) speichern diese für die Verschlüsselung verwendeten Schlüssel sicherer als softwarebasierte Speicherung. Bei softwarebasierter Speicherung von Verschlüsselungsschlüsseln können Schwachstellen im Betriebssystem, in anderen Anwendungen auf dem Computer oder sogar Phishing-Angriffe per E-Mail einem Angreifer Zugriff auf den Computer ermöglichen, auf dem die Schlüssel gespeichert sind, und den Diebstahl der Verschlüsselungsschlüssel noch einfacher machen.

Bei einem HSM werden die Schlüssel direkt auf der Hardware gespeichert. HSMs werden in Rechenzentren unter Verschluss aufbewahrt und sind über verschiedene Zugriffsmethoden erreichbar.

Zunächst müsste ein Angreifer die Sicherheitskontrolle am Empfang überwinden, wofür das Unternehmen vorher anrufen muss, um Zutritt zu erhalten. Anschließend müsste er alle Sicherheitstüren zu den HSMs überwinden. Die HSMs sind im Rechenzentrum untergebracht. Der Angreifer müsste das HSM aus dem Rechenzentrum entfernen, es an der Sicherheitskontrolle vorbeibringen und dann die Verschlüsselung im HSM knacken.

Das HSM selbst nullt sich selbst, wenn es Manipulationen oder unberechtigte Bewegungen erkennt. Die Nullisierung eines HSM bedeutet, dass alle Schlüssel gelöscht werden und die Benutzer des HSM diese Schlüssel aus einem Backup-HSM wiederherstellen müssen. Wie Sie sehen, ist es äußerst schwierig, die Schlüssel dieser Hardware-Sicherheitsmodule zu stehlen, weshalb sie dringend empfohlen werden.  

Zahlungs-HSMs im Vergleich zu Allzweck-HSMs 

Die obige Beschreibung von HSMs ist eine allgemeine Beschreibung der meisten HSMs. Es gibt jedoch mehrere Arten von HSMs. Eine dieser Arten ist ein Zahlungs-HSM. Zahlungs-HSMs, im Gegensatz zum normalen HSM-Typ (General Purpose HSMs), werden in vielen verschiedenen Arten von Zahlungsorganisationen benötigt.

Insbesondere Banken müssen diese Art von Hardware-Sicherheitsmodulen anstelle von Standard-HSMs verwenden, da Banken in jedem Land strenge Richtlinien und Vorschriften befolgen. Es gibt viele allgemeine Vorschriften, die für alle Länder gelten, aber jedes Land kann auch eigene Vorschriften haben. Die DSGVO ist beispielsweise EU-spezifisch.  

Im Hinblick auf die Fähigkeiten des Zahlungs-HSM im Vergleich zum allgemeinen HSM erfüllen Zahlungs-HSMs nicht nur Vorschriften wie die DSGVO, sondern verfügen auch über spezielle Fähigkeiten, die allgemeine HSMs nicht bieten. Zahlungs-HSMs verfügen über ein duales Kontrollmanagement und bieten spezielle kryptografische Befehle, die sicherstellen, dass die verarbeiteten sensiblen Informationen nicht aus dem HSM gelangen.

Darüber hinaus haben Zahlungs-HSMs andere Verwendungszwecke als allgemeine HSMs. Allgemeine HSMs verschlüsseln und entschlüsseln Daten und werden hauptsächlich mit digitale Signaturen. Zahlungs-HSMs werden stattdessen zum Generieren, Verwalten und Validieren von PINs, zum Aufladen von Karten und zur Validierung der Karte bei Zahlungsvorgängen verwendet. Wie Sie sehen, wurden Zahlungs-HSMs für Geldautomaten und Zahlungssysteme entwickelt und nicht nur für den allgemeinen Gebrauch.  

Anpassbare HSM-Lösungen

Holen Sie sich hochsichere HSM-Lösungen und -Dienste zum Schutz Ihrer kryptografischen Schlüssel.

Demo buchen

Andere Methoden zum Schutz von Zahlungssystemen 

Hardware-Sicherheitsmodule sind nicht die einzige Möglichkeit, Zahlungssysteme und Standorte zu schützen. Es gibt auch zahlreiche andere Methoden: 

  • Tokenisierung

    Tokenisierung ist eine Methode zur Verschleierung von Daten, die sowohl geschützt als auch ungeschützt erfolgen kann. Ein Token besteht aus Daten, die keine Bedeutung oder Beziehung zu den ursprünglichen sensiblen Daten haben. Ein Token fungiert als Platzhalter für den Klartext und ermöglicht die Verwendung von Daten in einer Datenbank, ohne die geschützten Informationen preiszugeben. Token sind für jeden Wert eindeutig und bestehen aus zufälligen Informationszeichenfolgen.

    Bei der Tokenisierung ohne Tresor besteht keine mathematische Beziehung zwischen dem Token und den sensiblen Daten. Der Tokenisierungsprozess ist daher unumkehrbar und nicht entzifferbar. Bei Verwendung eines Tresors ist die Detokenisierung möglich. Die Zahlungsbranche bevorzugt Tokenisierung gegenüber Verschlüsselungsmethoden, da die Implementierung einfacher und die Tokenisierung im Vergleich zu anderen Methoden zum Schutz sensibler Daten kostengünstiger ist. Ein weiterer Grund für den Einsatz von Tokenisierung in der Zahlungsbranche ist die Einhaltung von Compliance-Standards.

  • Hashing

    Hashing ähnelt in gewisser Weise der Verschlüsselung und Tokenisierung, da es Daten verschleiert. Es ist jedoch nicht möglich, einmal gehashte Daten zu dehashen. Die Daten werden durch eine Hash-Funktion geleitet und anschließend ein Hash-Digest erstellt.

    Sobald die Daten im Hash-Digest-Format vorliegen, können sie nicht mehr enthasht werden. In diesem Fall benötigen Sie die Originaldaten, um zu wissen, wie die Originaldaten vor dem Hashing aussahen. In diesem Fall wird Hashing seltener als Tokenisierung verwendet, und Verschlüsselung ist in der Zahlungsbranche tendenziell der Standard.

  • Physische Sicherheit

    Neben Verschlüsselung, Tokenisierung und Hashing ist auch die physische Sicherheit von entscheidender Bedeutung. Alle Server oder Computer mit Kundenzahlungsdaten müssen äußerst sicher sein. Dies kann Sicherheitspersonal, Schlösser an Server-Racks oder das physische Verschließen von Schlüsseln, Passwörtern usw. für die Computer in einem Safe umfassen.

Fazit 

Der Schutz von Daten an jedem Punkt, insbesondere im Zahlungsverkehr, ist für die Sicherheit von Kundendaten von entscheidender Bedeutung. Hier kommt Encryption Consulting ins Spiel, denn wir sind spezialisiert auf den Schutz von Personenbezogene Daten (PII) durch den Einsatz von Tools wie Verschlüsselung, Tokenisierung, HSMs usw.

Bei Encryption Consulting unterstützen wir Ihr Unternehmen bei der Implementierung verschiedener Tools, damit alle privaten Zahlungs- und PII-Daten Ihrer Kunden optimal geschützt sind. Dazu gehört die Unterstützung bei der Entwicklung eines Plans zum Schutz Ihrer Daten, die Analyse Ihrer Datenspeichermethoden zur Entwicklung des bestmöglichen Plans und die Umsetzung dieses Plans in Ihrem Unternehmen.

Bei Encryption Consulting sind wir außerdem spezialisiert auf die Konzeption und Implementierung von HSMs So können wir Sie bei der Implementierung der für Ihr Unternehmen erforderlichen HSMs unterstützen. Wir arbeiten auch mit Infrastruktur öffentlicher Schlüssel Implementierungen und wir haben unsere eigene Code-Signatur-Plattform, CodeSign SecureMit unserer Unterstützung können Sie sicherstellen, dass Ihr Unternehmen im Verschlüsselungsbereich sicher und geschützt ist. Um mehr über unsere Produkte und Dienstleistungen zu erfahren, besuchen Sie unsere Website www.encryptionconsulting.com.

Entdecken Sie unsere

Verwandte Blogs

Die Rolle von Sicherheitsmodulen für Zahlungshardware bei der Verhinderung von Datenlecks

Die Rolle von Sicherheitsmodulen für Zahlungshardware bei der Verhinderung von Datenlecks

August 18, 2023
5 wichtige Vorteile von Zahlungshardware-Sicherheitsmodulen

5 Hauptvorteile des Zahlungshardware-Sicherheitsmoduls

August 7, 2023
Schlüssellebenszyklusmanagement

Praktisches Schlüsselmanagement im Bankwesen

2. Januar 2023

Entdecken

Weitere Themen