Veröffentlicht: 15. April 2024
Mitwirkende: Josh Schneider, Ian Smalley
Transaktionssicherheit, auch bekannt als Zahlungssicherheit, bezieht sich auf eine Kategorie von Praktiken, Protokollen, Tools und anderen Sicherheitsmaßnahmen, die während und nach Geschäftstransaktionen eingesetzt werden, um sensible Informationen zu schützen und die sichere Übertragung von Kundendaten zu gewährleisten.
Online-Transaktionen stellen zwar eine besondere Herausforderung für die Transaktionssicherheit dar, sind aber sowohl für Online- als auch für Offline-Unternehmen von entscheidender Bedeutung, um das Vertrauen der Verbraucher zu gewinnen, Betrug einzudämmen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
Parallel zum beschleunigten Aufstieg des E-Commerce und von Online-Transaktionen ist die Transaktionssicherheit zu einem wichtigen Problem für alle Unternehmen geworden, die Zahlungen und den Transfer wertvoller Assets abwickeln, wie Finanzinstitute, Kryptowährungsbörsen und Einzelhändler. Weitere Anwendungsfälle sind Online-Gaming-Marktplätze, alternative Zahlungsmethoden wie ApplePay und Venmo sowie alle Dienste, die für die Verarbeitung sensibler juristischer Dokumente zuständig sind (wie Online-Steuererklärungsdienste oder verschiedene Regierungsbehörden).
Um finanzielle Verluste durch betrügerische Transaktionen zu verhindern und Kunden und Klienten, die ihre personenbezogenen Daten weitergeben, eine vertrauensvolle Benutzererfahrung zu bieten, umfassen gängige Transaktionssicherheitsmaßnahmen fortschrittliche moderne Datenverschlüsselung, Multifaktor-Authentifizierung (MFA) und digitale Signaturen. Diese Sicherheitsprotokolle vermindern das Risiko von Zahlungsbetrug und Diebstahl von Kundendaten infolge eines Sicherheitsverstoßes, für den viele Unternehmen je nach Gerichtsbarkeit gesetzlich haftbar gemacht werden können.
Während die meisten Maßnahmen zur Transaktionssicherheit während der Transaktion selbst ergriffen werden, erstreckt sich die Transaktionssicherheit auch auf interne Unternehmensrichtlinien, die den Umgang mit allen sensiblen Transaktionsdaten regeln, die von einer Organisation oder einem Unternehmen gespeichert werden, wie z. B. Kreditkartennummern und Kontonummern. Für Cybersicherheitsexperten , die in Datenbanksicherheit investieren, bedeutet Transaktionssicherheit nicht nur die Überwachung von Online-Transaktionen in Echtzeit auf verdächtige Aktivitäten und nicht autorisierte Transaktionen, sondern auch die proaktive Identifizierung und Behebung interner Sicherheitslücken. Moderne Anbieter von Transaktionssicherheitssystemen verfügen häufig über eine anpassbare Benachrichtigungsfunktion und andere Automatisierungen, um sichere Transaktionen im großen Maßstab zu ermöglichen.
Die Entwicklung der KI verändert die Art und Weise, wie wir Arbeit definieren und ausführen, sowie die Art und Weise, wie wir die Menschen unterstützen, die sie ausführen. Erfahren Sie, wie HR-Führungskräfte den Weg weisen und KI einsetzen, um die HR- und Talenttransformation voranzutreiben.
IBM Newsletter abonnieren
Bedrohungen der Transaktionssicherheit überschneiden sich oft mit umfassenderen Bedrohungen der Cybersicherheit oder tragen zu diesen bei. Im Folgenden finden Sie eine kurze Auflistung der häufigsten Sicherheitsbedrohungen bei Transaktionen.
Phishing-Betrügereien, bei denen Cyberkriminelle die Zielpersonen mit betrügerischen Nachrichten dazu bringen, vertrauliche Informationen preiszugeben, stellen eine Bedrohung sowohl für Kunden als auch für Unternehmen dar. Phishing-Betrügereien zielen oft auf Verbraucher ab und versuchen, deren Kreditkarteninformationen direkt zu stehlen, um sie für betrügerische Transaktionen zu verwenden. Sie können auch Unternehmen ins Visier nehmen und versuchen, in großem Stil Zahlungsinformationen von Kunden zu stehlen.
Während für persönliche Transaktionen in der Regel eine physische Kreditkarte erforderlich ist, benötigen Sie für Transaktionen, die online oder per Telefon getätigt werden, oft nur eine Kreditkartennummer. Dieses Schlupfloch kann Online- oder Telefontransaktionen für „Betrug ohne Karte“ (Card-not-present fraud) öffnen, bei dem Betrüger gestohlene Nummern verwenden, um betrügerische Transaktionen durchzuführen. Der Kunde behält zwar seine physische Kreditkarte, ist sich aber möglicherweise gar nicht bewusst, dass seine Kartendaten gestohlen wurden.
Ein weiteres Risiko durch Phishing ist der Betrug durch Kontoübernahme. Betrüger können sich durch Phishing oder andere Methoden unbefugten Zugang zum Bank- oder Online-Shopping-Konto eines Verbrauchers verschaffen und dann unberechtigte Einkäufe tätigen.
BEC-Betrug ist ebenfalls eine häufige Folge erfolgreicher Phishing-Angriffe. Wenn ein Cyberkrimineller Zugriff auf ein manipuliertes geschäftliches E-Mail-Konto erhält, kann er sich als autorisierter Mitarbeiter oder Lieferant ausgeben und versuchen, eine betrügerische Überweisung anzufordern.
Ein weiteres Risiko, das sich aus erfolgreichen Phishing-Angriffen ergibt, ist SIF, eine Art von Betrug, bei dem Betrüger eine Kombination aus echten, gestohlenen personenbezogenen Daten verwenden, um gefälschte Identitäten für verschiedene betrügerische Aktivitäten zu schaffen, wie z. B. Zahlungsausfallprogramme, bei denen ein Betrüger ein Produkt auf Kredit oder auf Vorrat kauft, ohne die Absicht, zukünftige Zahlungen zu leisten.
Bei einem MITM-Angriff, einer bekannten Form des Cyberangriffs, positioniert sich ein Hacker heimlich zwischen zwei Parteien, die glauben, dass sie eine private Verbindung haben. Der Angreifer kann versuchen, die übertragenen Daten zu manipulieren oder einfach nur abzuhören, um eventuell weitergegebene private Zahlungsinformationen zu stehlen.
Angesichts der kontinuierlichen Weiterentwicklung neuer Technologien sowie der sich ständig weiterentwickelnden Angriffsstrategien von Cyberkriminellen arbeiten Experten ständig daran, die Transaktionssicherheit über alle verfügbaren Vektoren zu verbessern. Im Folgenden finden Sie einige der gängigsten Methoden zur Verbesserung der Transaktionssicherheit:
Das Rückgrat des Datenschutzes. Unternehmen und Kunden verlassen sich auf die Verschlüsselung von Daten, um sensible Informationen während und nach Transaktionen zu schützen. Häufig verwendete Verschlüsselungsstandards wie Secure Sockets Layer (SSL) und Transport Layer Security (TLS) werden häufig bei Online-Transaktionen verwendet, um unbefugten Zugriff, Manipulation und Diebstahl zu verhindern.
Tokenisierung ist ein Prozess, der sensible Kundendaten wie Kreditkartennummern durch eindeutige Token ersetzt, die weder für betrügerische Transaktionen noch für Reverse-Engineering der ursprünglichen Zahlungsinformationen verwendet werden können. Diese Token werden dann verwendet, um auf die ursprünglichen Zahlungsinformationen zu verweisen, die in einem sicheren Token-Tresor gespeichert sind. Die Tokenisierung reduziert beide das Risiko von Datenverletzungen und vereinfacht die Einhaltung gesetzlicher Vorschriften, da die Token selbst nutzlos sind, selbst wenn sie in falsche Hände fallen.
Als grundlegende Form der Transaktionssicherheit sind Authentifizierungsverfahren schon lange vor dem Internetzeitalter etabliert. Während in der Vergangenheit ein Händler einen Lichtbildausweis verlangen konnte, bevor er einen persönlichen Scheck akzeptierte, haben die modernen digitalen Authentifizierungsmaßnahmen an Raffinesse gewonnen. Für die Ein-Faktor-Authentifizierung (SFA) ist eine Form der Identifizierung erforderlich, beispielsweise ein Kennwort oder eine PIN. Für die Zwei-Faktor-Authentifizierung (2FA) sind zusätzliche Formen der Identifizierung erforderlich, beispielsweise ein Einmalpasswort, das an ein registriertes Gerät oder per E-Mail gesendet wird. Zu den weiteren Standardauthentifizierungsmethoden gehören die Anforderung eines Kartenprüfwerts (Card Verification Value, CVV) für Kreditkartenzahlungen und biometrische Authentifizierung (wie Gesichtserkennung oder Fingerabdruckscan).
Sichere Zahlungsgateways sind ein entscheidender Faktor für die Sicherheit von Transaktionen und für den Aufbau und Erhalt des Kundenvertrauens. Diese Gateways ermöglichen die Transaktionsverarbeitung zwischen dem Kunden, dem Unternehmen und dem Zahlungsabwickler oder der akquirierenden Bank. Sichere Zahlungsgateways kombinieren oft verschiedene Transaktionssicherheitstechniken, einschließlich Verschlüsselung, Tokenisierung und Authentifizierung, um die Datensicherheit zu gewährleisten.
Der Payment Card Industry Data Security Standard (PCI DSS) (Link befindet sich außerhalb von ibm.com) ist eine Reihe von Transaktionssicherheitsstandards, die vom Payment Card Industry Security Standard Council (PCI SSC), einem globalen Forum von Stakeholdern der Zahlungsindustrie, entwickelt wurden.
PCI DSS wurde entwickelt, um die Einführung von Datensicherheitsstandards und Ressourcen für sichere Zahlungen weltweit voranzutreiben. Die Einhaltung von PCI DSS hilft Unternehmen, die gesetzlichen Anforderungen zu erfüllen und gleichzeitig die Sicherheit ihrer Kundendaten zu gewährleisten.
Um den PCI DSS zu erfüllen, müssen Unternehmen Folgendes tun:
- Errichten und pflegen Sie ein sicheres Netzwerk und sichere Systeme: Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen. Vermeiden Sie die Verwendung von Standardwerten für Systemkennwörter und andere Sicherheitsparameter, die vom Hersteller vorgegeben werden.
- Schützen Sie Karteninhaberdaten: Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
- Pflegen Sie ein Programm zur Verwaltung von Sicherheitslücken: Entwickeln und pflegen Sie sichere Systeme und Anwendungen und schützen Sie alle Systeme mit regelmäßig aktualisierter Antiviren-Software oder -Programmen vor Malware.
- Implementieren Sie strenge Maßnahmen zur Zugriffskontrolle: Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten. Schränken Sie den physischen Zugang zu Karteninhaberdaten ein und beschränken Sie den internen Zugang zu Karteninhaberdaten durch geschäftsbasierte Need-to-know-Anforderungen
- Regelmäßige Überwachung und Prüfung von Netzwerken: Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten mit regelmäßigen Tests der Sicherheitssysteme und -prozesse.
- Pflegen Sie eine Richtlinie zur Informationssicherheit: Führen Sie eine Richtlinie ein, die die Informationssicherheit für alle Mitarbeiter behandelt.
IBM® CICS® Transaction Server, oft auch CICS genannt, ist eine erstklassige, leistungsstarke und mehrsprachige Anwendungsserverplattform, die für das Hosting Ihrer transaktionalen Unternehmensanwendungen in einer hybriden Architektur verwendet wird.
Nutzen Sie ein hochgradig sicheres und skalierbares Betriebssystem für geschäftskritische Anwendungen. IBM z/OS® ist ein Betriebssystem für IBM Z® Mainframes, das für einen fortlaufenden Betrieb mit hohem Volumen geeignet ist und dabei ein hohes Sicherheitsniveau und Stabilität bietet. Mit IBM z/OS können Sie die Unternehmenstransformation vorantreiben und Innovationen beschleunigen.
Mit IBM Consulting® können Sie Ihre Geschäftsziele schneller erreichen. Wir verhelfen Ihnen zu einer zweckgerichteten Anwendungsmodernisierung, die das Technologiemanagement vereinfacht und Kosten senkt. Dafür werden aufkommende Technologien in Ihre Kerngeschäftsprozesse und Plattformstrategien eingebettet und operationalisiert.
Schützen Sie Ihre Benutzer, Assets und Daten, indem Sie Betrug verwalten und verhindern, bevor er auftritt. IBM Security® hilft Ihnen dabei, Ihre Bemühungen zur Betrugsprävention zu vereinfachen und Vertrauen in die digitale Identität aufzubauen, die eine reibungslose, kontinuierliche Authentifizierung während der gesamten User Journey ermöglicht und so ein positives Benutzererlebnis schafft.
Transaktionsmanagement ist ein integraler Prozess von Datenbankmanagementsystemen (DBMS), bei dem Transaktionsmanagement-Software jede einzelne versuchte Transaktion überwacht, koordiniert und ausführt.
Ein Transaktionsverarbeitungssystem (TPS) ist eine Art von Software für die Datenverwaltung und Informationsverarbeitung, die während einer Geschäftstransaktion verwendet wird, um die Erfassung und den Abruf von Kunden- und Geschäftsdaten zu verwalten.
Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode zur Identitätsüberprüfung, bei der ein Benutzer mindestens 2 Nachweise erbringen muss, z. B. sein Passwort und einen temporären Passcode, um seine Identität zu beweisen.
Der Begriff Datenbanksicherheit bezieht sich auf eine Reihe von Tools, Kontrollen und Maßnahmen, die dazu dienen, die Vertraulichkeit, Integrität und Verfügbarkeit von Datenbanken herzustellen und zu erhalten. Die Vertraulichkeit ist das Element, das bei den meisten Datenschutzverletzungen gefährdet ist.
Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem unbefugte Parteien Zugriff auf vertrauliche oder sensible erhalten, einschließlich personenbezogener Daten (Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) oder Unternehmensdaten (Kundendatensätze, geistiges Eigentum, Finanzdaten).
Als Cybersicherheit wird jede Technologie, Maßnahme oder Praxis zur Verhinderung von Cyberangriffen oder zur Minderung ihrer Auswirkungen bezeichnet.