Zahlungsdaten schützen: Sicherheit im stationären Handel
Kartenzahlungen sind im stationären Handel längst Standard – und sie wachsen weiter. Allein 2024 stieg die Anzahl der Zahlungen mit von deutschen Zahlungsdienstleistern ausgegebenen Karten um 11 % auf rund 13 Milliarden Transaktionen. Gleichzeitig wird Bezahlen mobiler: Der Anteil mobil initiierter Kartenzahlungen stieg in Deutschland von 5 % (2022) auf 16 % (2024).
Mehr Kartenzahlung bedeutet jedoch auch: Mehr Zahlungsdaten im Umlauf, mehr Technik am Point of Sale – und mehr potenzielle Angriffspunkte. Dieser Beitrag zeigt Ihnen praxisnah, welche Risiken im Laden, in der Gastronomie und bei Dienstleistern typisch sind – und wie Sie Zahlungsdaten wirksam schützen, ohne Ihren Betrieb auszubremsen.
Kurz erklärt (Snippet-tauglich): POS-Sicherheit bedeutet, dass Kartendaten und PIN-Eingaben im Geschäft durch zertifizierte Terminals, sichere Netzwerke, regelmäßige Updates und klare Prozesse geschützt werden. Standards wie EMV, PCI PTS und PCI P2PE helfen dabei, Manipulationen zu erschweren und den Schutz von Zahlungsdaten im Tagesgeschäft verlässlich umzusetzen.
Warum Sicherheit im stationären Handel entscheidend ist
Der stationäre Handel wird digitaler – nicht irgendwann, sondern jetzt. Die Bundesbank zeigt deutlich: Bargeld nimmt ab, Karte und mobile Zahlungen gewinnen. 2023 sank der Anteil der Barzahlungen gegenüber 2021 von 58 % auf 51 %, während die Debitkarte bei 27 % der Bezahlvorgänge lag; mobiles Bezahlen stieg (von niedrigem Niveau aus) auf 6 % der Transaktionen. Zusätzlich wächst die Kartenzahlung insgesamt stark: 2024 wurden rund 13 Milliarden Kartentransaktionen gezählt.
Für Sie als Händler bedeutet das: Kartenzahlung ist nicht nur „nice to have“, sondern ein kritischer Prozess. Eine Störung, ein Betrugsfall oder ein Manipulationsverdacht trifft nicht nur die Kasse – sondern oft auch:
- das Vertrauen Ihrer Kundschaft,
- die Betriebsabläufe (z. B. Warteschlangen, Abbruchkäufe),
- und potenziell die Nacharbeit (Klärung, Dokumentation, ggf. technische Prüfung).
Gerade im stationären Umfeld ist Vertrauen ein zentraler Erfolgsfaktor. Der PCI Security Standards Council weist darauf hin, dass Skimming-Angriffe nicht nur finanziellen Schaden verursachen, sondern auch die Integrität des Zahlungssystems und das Verbrauchervertrauen in Händler beeinträchtigen können.
Wichtig: Auch im „Card-Present“-Geschäft bleibt Ihre Umgebung sicherheitsrelevant – etwa weil physischer Zugriff auf Zahlungskarten besteht und es im Händlerumfeld z. B. Belege/Reports mit Karteninformationen geben kann.
Prüfen Sie jetzt, ob Ihr aktuelles POS-Setup (Terminal, Netzwerk, Prozesse) zu Ihrem heutigen Zahlungsvolumen passt
Welche Risiken gibt es bei Kartenzahlungen im Geschäft?
Skimming und Manipulation von Terminals
Skimming ist im stationären Handel weiterhin ein relevantes Risiko – besonders dort, wo Täter physisch an Terminals oder die Infrastruktur herankommen. PCI SSC beschreibt Skimming-Techniken häufig als Angriffe, bei denen ein rogues physisches Gerät vor Ort platziert wird. Besonders kritisch: Skimming-Hardware kann so integriert sein, dass sie für Personal und Kunden unsichtbar bleibt. Der PCI SSC nennt explizit den Fall „POS Terminal Skimmer“, bei dem versteckte Geräte im Terminal für Außenstehende nicht erkennbar sind.
Die Praxisfolge: Sie merken den Vorfall oft erst spät – z. B. über Hinweise des Netzbetreibers, Auffälligkeiten im Chargeback-Umfeld oder externe Ermittlungen.
Missbrauch von Kartendaten und Betrugsformen
Betrug findet nicht nur online statt. Die Europäische Zentralbank unterscheidet zwischen card-present fraud (mit physischer Karte, z. B. am POS/ATM) und card-not-present fraud (remote, z. B. im Internet). Zwar entfällt der Großteil des Betrugswerts auf CNP: In 2020 und 2021 waren es laut EZB etwa 84 % des gesamten Betrugswerts. Dennoch existieren POS-Risiken weiterhin – und sie können Händler direkt treffen, etwa wenn gestohlene Karten eingesetzt werden oder Prozesse rund um Rückgaben/Refunds missbraucht werden.
Die EZB zeigt außerdem: Bei card-present Fraud dominieren häufig lost/stolen-Konstellationen; 2021 machten Verluste durch verlorene/gestohlene Karten 56 % der POS-Betrugswerte aus. Das heißt: Neben Technik zählt immer auch die Prozessqualität am Point of Sale.
Unsichere Netzwerke und IT-Umfeld an der Kasse
Kartenzahlung ist vernetzt: Terminals kommunizieren über LAN/WLAN/Mobilfunk. Unsichere Router- und WLAN-Konfigurationen erhöhen Risiken unnötig. Das BSI betont u. a., dass WPA3 ein höheres Sicherheitsmaß bietet und Schutz gegen bestimmte Passwortangriffe verbessert. Ebenso empfiehlt das BSI, Firmware aktuell zu halten und auf sichere Passwörter zu achten.
Im Händleralltag entstehen Schwachstellen häufig durch „Bequemlichkeitslösungen“: geteilte WLAN-Passwörter, gemischte Netze (Kasse + Gäste-WLAN), nicht dokumentierte Router-Änderungen oder fehlende Verantwortlichkeiten.
Menschliche Fehler im Umgang mit Zahlungsdaten
Viele POS-Vorfälle sind Mischformen aus Technik- und Prozesslücken. PCI SSC empfiehlt im Kontext Skimming-Prävention ausdrücklich, Terminals regelmäßig zu prüfen, Mitarbeitende zu schulen und Sicherheitsrichtlinien zu etablieren.
Wenn Sie nicht sicher sind, wo Ihr größtes Risiko liegt (Terminal, Netzwerk oder Prozesse), lassen Sie Ihr POS-Setup einmal strukturiert prüfen
Sicherheit im Online-Handel vs stationär
Physischer vs digitaler Zahlungsprozess
Online- und Offline-Zahlungen unterscheiden sich vor allem im Angriffsmodell. Online dominieren Remote-Angriffe (Phishing, Account Takeover, Datenabflüsse), während im stationären Handel zusätzlich physische Angriffspunkte existieren: Terminalzugang, Verkabelung, Standortumfeld, unbemerkte Manipulation. Gleichzeitig bleibt auch im stationären Umfeld PCI-relevant, dass z. B. physischer Zugriff auf Karten besteht oder Belege/Reports Karteninhaberdaten enthalten können.
Andere Angriffspunkte – andere Schutzmaßnahmen
Online-Sicherheit setzt typischerweise auf Mechanismen wie Strong Customer Authentication und 3-D Secure. Die EZB führt den Rückgang von CNP-Fraud 2021 u. a. auf die marktweite Umsetzung starker Kundenauthentifizierung (PSD2) zurück und nennt die verbreitete Nutzung von 3D Secure als wichtigen Faktor.
Im stationären Geschäft liegt der Schwerpunkt eher auf:
- Hardware-Sicherheit des Terminals,
- Manipulationsschutz und regelmäßiger Sichtprüfung,
- EMV-Chip-Transaktionen, die mittels Kryptografie pro Vorgang einen einmaligen Sicherheitscode (Cryptogram) erzeugen und so u. a. Fälschungen erschweren.
Praxisfazit für Händler
Wenn Sie stationär verkaufen, ist „IT-Sicherheit“ nicht nur ein Server-Thema. POS-Sicherheit bedeutet: Das Terminal ist ein Sicherheitsgerät, das wie ein kritischer Bestandteil Ihrer Infrastruktur behandelt werden sollte – inklusive Updates, Inventarisierung, Zugriffsschutz und klaren Zuständigkeiten.
Betreiben Sie Laden + Online-Shop?
So schützen Händler Zahlungsdaten effektiv
-
Quick-Check:
Wenn Sie Zahlungsdaten im stationären Handel schützen wollen, starten Sie mit drei Hebeln: zertifizierte Terminals, saubere Netztrennung (Kasse ≠ Gäste-WLAN) und Routineprozesse (Updates, Sichtprüfung, Mitarbeiterschulung). Standards wie PCI PTS, PCI P2PE und EMV sind dabei zentrale Bausteine.
Zertifizierte Kartenterminals einsetzen
Ein zentraler Sicherheitsfaktor ist die Terminal-Hardware selbst. Der PCI SSC beschreibt den PTS Point of Interaction (POI) Standard als Sicherheitsanforderungen für Eigenschaften und Management von Geräten, die PINs und sensible Zahlungsdaten am Bezahlpunkt schützen. Im stationären Alltag heißt das: Verwenden Sie Terminals, die nach anerkannten Standards entwickelt und betrieben werden.
Für Händler ist auch EMV wichtig, weil EMV-Chip-Technologie pro Transaktion per Kryptografie einen einmaligen Sicherheitscode (Cryptogram) erzeugt, der nicht wiederverwendbar ist und so u. a. Fälschungen erschwert.
Praxisbezug GH Payment: Auf gh-payment.de werden u. a. CCV Mobile A920 und CCV Base Next als Lösungen genannt. In den zugehörigen Produktinfos werden unter den Zulassungen u. a. EMV, PCI PTS (5.x bzw. 6.x) sowie P2PE (auf Anfrage) aufgeführt.
Sichere Netzwerkinfrastruktur am POS
Ein häufig unterschätzter Punkt: Das Terminal ist nur so sicher wie das Netz, über das es kommuniziert. Setzen Sie deshalb auf eine Netzbasis, die Angriffe erschwert:
- getrennte Netze (Kassennetz vs. Gäste-/Mitarbeiter-WLAN),
- starke WLAN-Verschlüsselung und sichere Passwörter,
- Router-Firmware und Infrastruktur aktuell halten.
Das BSI hebt hervor, dass WPA3 moderne Verschlüsselungsmethoden nutzt und die Sicherheit u. a. gegen Wörterbuchangriffe erhöht. Zusätzlich rät das BSI, Firmware aktuell zu halten und Passwortregeln zu beachten.
Regelmäßige Updates, Wartung und Terminal-Inventar
POS-Sicherheit ist keine Einmalaktion. PCI SSC stellt für die Skimming-Prävention u. a. Checklisten und Best Practices bereit, die auf wiederkehrende Maßnahmen wie Inventarisierung und regelmäßige Kontrollen im Terminal-Umfeld abzielen.
-
Praktische Routine (bewährt):
Legen Sie fest, wer täglich/wöchentlich prüft, ob Terminals unversehrt sind (Siegel, Gehäuse, Kabel, ungewöhnliche Aufsätze) und ob Standorte/Umgebung Auffälligkeiten zeigen. Genau solche organisatorischen Maßnahmen sind Kern der PCI-Empfehlungen zur Skimming-Abwehr.
Mitarbeiterschulung als Sicherheitsfaktor
Terminals werden von Menschen bedient. Deshalb gehört Schulung zwingend dazu – insbesondere für:
- Erkennen von Auffälligkeiten am Terminal,
- sichere Abläufe bei Storno/Refund,
- Umgang mit „hilfsbereiten“ Dritten (Social Engineering am POS), klare Eskalation bei Verdacht.
PCI SSC nennt Mitarbeiterschulung und Security Policies explizit als Teil von Skimming-Gegenmaßnahmen.
Auch GH Payment weist auf der Website auf Unterstützung bis hin zur Mitarbeiterschulung hin.
Möchten Sie ein POS-Sicherheits-Setup, das im Alltag funktioniert (statt nur „auf dem Papier“)?
Die Rolle moderner Payment-Anbieter bei der Sicherheit
Sicherheitsstandards verankern statt improvisieren
Zahlungssicherheit ist nicht nur Technik – sie ist ein Zusammenspiel aus Standardisierung und Betrieb. Der PCI DSS liefert dafür eine Baseline technischer und operativer Anforderungen zum Schutz von Zahlungsdaten. In der Praxis profitieren Händler davon, wenn ein Payment-Partner hilft, diese Anforderungen strukturiert zu erfüllen – statt dass jede Filiale eigene Lösungen „zusammenbaut“.
P2PE und reduzierte Angriffsfläche im Händlerumfeld
Ein zentraler Ansatz zur Risikoreduktion lautet: Zahlungsdaten im Händlernetz so früh wie möglich verschlüsseln und den Umgang damit minimieren. Der PCI SSC betont, dass Händler, die PCI-gelistete P2PE-Lösungen nutzen, weniger anwendbare PCI-DSS-Anforderungen haben – was Compliance-Aufwände vereinfachen kann.
Das ist besonders relevant für Filialbetriebe (Einzelhandel, Gastronomie, Dienstleister), weil dort Standardisierung und Skalierbarkeit entscheidend sind.
Betriebssicherheit, Support und klare Zuständigkeiten
Ein moderner Payment-Anbieter wird für Händler dann wertvoll, wenn er Betriebssicherheit sicherstellt: Support, saubere Installation, klare Zuständigkeiten und nachvollziehbare Abläufe.
Praxisbezug GH Payment: GH Payment positioniert sich als Anbieter für POS- und Kassensysteme und betont maßgeschneiderte, sichere Bezahloptionen. Auf der Seite „Kartenakzeptanz | Terminal“ wird zudem hervorgehoben, dass GH Payment von der Beratung bis zur Installation begleitet und persönlichen Support bietet.
Wenn Sie Zahlungssicherheit nicht selbst „nebenbei“ managen möchten:
Typische Fehler im stationären Handel vermeiden
Fehler: Veraltete Geräte und fehlende Aktualisierung
Sicherheit ist dynamisch. Standards und Bedrohungen entwickeln sich weiter – und Geräte müssen Schritt halten. PCI-Standards für Geräte an der Interaktionsstelle adressieren explizit Schutz von PIN und sensiblen Daten durch Anforderungen an Geräte und deren Management. Wer sehr alte oder schlecht gemanagte Geräte betreibt, erhöht das Risiko unnötig.
Praxisregel: Nehmen Sie Terminal-Flottenplanung ernst: Welche Modelle sind wo im Einsatz? Welche Updates/Wartungen laufen wie? Welche Standorte sind riskanter (hohe Frequenz, wenig Aufsicht, Außenbereiche)?
Fehler: Keine Sicherheitsprozesse im Tagesgeschäft
Viele Händler haben „irgendwo“ ein Terminal – aber keine wiederkehrenden Kontrollen. PCI SSC empfiehlt im Skimming-Kontext u. a. Werkzeuge und Best Practices, die genau diese Lücke schließen: Inventarlisten, Prüfzyklen, Schulungen und dokumentierte Abläufe.
Fehler: Anbieterwahl nur nach Preis statt nach Sicherheitsfähigkeit
Preis ist wichtig – aber POS-Zahlung ist kritische Infrastruktur. Wenn ein Anbieter bei Support, Standardisierung, Hardwarequalität oder Betriebsführung schwach ist, zahlen Händler die Rechnung oft indirekt: Ausfallzeiten, Ärger an der Kasse, Sicherheitslücken, Reputationsrisiko.
Praxisfrage für die Anbieterwahl:
Bekommen Sie nachvollziehbar erklärt, welche Standards im Einsatz sind (z. B. EMV, PCI PTS, P2PE) und wie Updates/Wartung/Support organisiert sind?
Fehler: Team nicht sensibilisieren
Gerade in Gastronomie und Filialbetrieben wechseln Teams und Zuständigkeiten häufiger. Ohne kurze, klare Sicherheitsregeln entstehen typische Fehler: Terminal unbeaufsichtigt lassen, ungewöhnliche Aufsätze übersehen, Storno-Prozesse ohne Vier-Augen-Prinzip.
GH Payment als aktive Positionierung: GH Payment betont Zuverlässigkeit, Stabilität und Sicherheit als Teil der angebotenen Systeme sowie Unterstützung bis hin zur Mitarbeiterschulung.
Vermeiden Sie die Klassiker (Altgeräte, keine Kontrollen, unklare Zuständigkeiten):
FAQ zu Betrug im E-Commerce
Wie sicher ist Kartenzahlung im Laden grundsätzlich?
Kartenzahlung am POS ist grundsätzlich gut abgesichert, wenn moderne Verfahren genutzt werden. EMV-Chipzahlungen erzeugen pro Transaktion einen einmaligen kryptografischen Sicherheitscode (Cryptogram), der nicht wiederverwendbar ist und so Betrug wie Kartenfälschungen erschwert. Entscheidend ist jedoch, dass Ihr Terminal und Ihr Netzwerk sauber betrieben werden.
Wie erkenne ich ein manipuliertes Kartenterminal?
Manipulation ist nicht immer sichtbar: Skimming-Geräte können im Terminal versteckt und für Personal/Kunden unsichtbar sein. Deshalb empfiehlt PCI SSC u. a. Best Practices wie Inventarisierung, regelmäßige Sichtprüfungen und Schulungen, um Veränderungen am Gerät/Umfeld schneller zu bemerken.
Was ist PCI PTS und warum ist das für Händler relevant?
PCI PTS (Point of Interaction/POI) ist ein Sicherheitsstandard des PCI SSC mit Anforderungen an Geräte, die PINs und sensible Zahlungsdaten am Zahlungszeitpunkt schützen – inklusive Management der Geräte. Für Händler bedeutet das: PTS-zertifizierte Terminals sind ein wichtiger Baustein, um Manipulations- und Datendiebstahlrisiken zu reduzieren.
Was bringt P2PE im stationären Handel?
PCI P2PE (Point-to-Point Encryption) verschlüsselt Zahlungsdaten so, dass Händlerumgebungen weniger mit Klartextdaten in Berührung kommen. Der PCI SSC weist darauf hin, dass Händler mit PCI-gelisteten P2PE-Lösungen weniger anwendbare PCI-DSS-Anforderungen haben – das kann Compliance vereinfachen und Risiken senken.
Welche Rolle spielt WLAN-Sicherheit bei Kartenzahlung?
WLAN ist häufig Teil der POS-Infrastruktur – und damit sicherheitskritisch. Das BSI betont, dass WPA3 ein höheres Sicherheitsmaß bietet und moderne Verschlüsselungsmethoden nutzt; außerdem sind sichere Passwörter und aktuelle Firmware wichtig. Für Händler heißt das: Kassennetz trennen, Verschlüsselung modern halten, Router pflegen.