B2B 13.03.2013

Kampf um Sicherheitsstandards bei Kreditkarten

Visa fordert wegen eines Hackerangriffes mehr als 13 Millionen US-Dollar an Schadenersatz von der Handelskette Genesco. Diese weigert sich jedoch und will die Branchen-Standards anfechten. Das Urteil könnte Auswirkungen auf die Haftung bei Hackerangriffen haben.

Die US-Handelskette Genesco hat eine Klage gegen den Kreditkarten-Anbieter Visa eingereicht. Dieser hat über Genesco wegen angeblich gestohlener Kreditkarten-Daten eine Strafe von mehr als 13 Millionen US-Dollar verhängt und ohne Prüfung der Vorwürfe über die zuständige Bank eingehoben.

Genesco fordert diese Summe nun zurück und wagt es damit als erstes Unternehmen, die sogenannten PCI-Standards (Payment Card Industry) auf Rechtswegen zu attackieren. Diese wurden von Kreditkartenunternehmen wie Visa und Mastercard eingeführt, um bessere Rahmenbedingungen für die Sicherheit zu schaffen. Demnach müssen Unternehmen, die Kreditkarten als Zahlungsweise anbieten, gewisse Sicherheitsvorkehrungen treffen, ansonsten können sie vom Kreditkarten-Anbieter finanziell zur Rechenschaft gezogen werden.

Schadenersatzansprüche ohne Beweise
Das war bei Genesco der Fall. Die Handelskette, die mehr als 2.400 Sportartikel-Läden in Nordamerika und Europa betreibt, vermeldete im Dezember 2010, dass man Opfer einer Hacker-Attacke wurde. Der Diebstahl von Zahlungsinformationen erschien unwahrscheinlich, konnte aber zu diesem Zeitpunkt noch nicht bestätigt werden. Im Nachhinein konnten jedoch keinerlei verwertbaren Informationen finden lassen, dass Zahlungsinformationen entwendet wurden.

Das hielt Visa dennoch nicht davon ab, Schadenersatzansprüche in der Höhe von 13,3 Millionen US-Dollar zu stellen, die nun im Jänner von der zuständigen Bank eingehoben wurden. Das ist so in den PCI-Standards verankert: der Kreditkarten-Anbieter richtet seine Ansprüche nicht direkt an das betroffene Unternehmen, sondern an die Bank, die die Zahlungen abwickelt. Diese fordert dann das Geld vom betroffenen Unternehmen ein. So werden auch Rechtsmittel gegen die Forderungen des Kreditkarten-Unternehmens erschwert. Aus diesem Grund wurden die PCI-Standards unter anderem von einem Sprecher des Verbandes für Einzelhändler, der National Retail Foundation, als "nahe zum Betrug" bezeichnet.

Kritischer Punkt Sicherheit
Neben Visa hat auch Mastercard Schadenersatzansprüche gestellt, diese sind mit rund 2,3 Millionen US-Dollar deutlich niedriger. Abgesehen von den Schadenersatzforderungen kostete der Hacker-Angriff Genesco bislang mehr als 2,1 Millionen US-Dollar an Beratungs- und Anwaltskosten. Der Rechtsstreit soll wegweisend für die Haftung bei Diebstählen von Zahlungsinformationen werden. Durch die massive Zunahme von Hackerangriffen in den letzten Jahren ist diese Frage auch für große Unternehmen zu einem nicht unwesentlichen Risiko geworden.

Mehr zum Thema

  • Sony muss für PSN-Hack 250.000 Pfund zahlen
  • 3,6 Mio. Sozialversicherungsnummern gestohlen
  • PlayStation Network: Neues Leck bei Passwörtern
( futurezone ) Erstellt am 13.03.2013