Heartland CEO: Kreditkartenverschlüsselung benötigt

Kreditkartentransaktionen in den USA sind oft nicht verschlüsselt, und Kreditkartenanbieter, Zahlungsabwickler und Einzelhändler müssen einen Verschlüsselungsstandard zum Schutz von Kreditkartennummern einführen, sagte der CEO eines gebrochenen Zahlungsprozessors.

Kreditkartennummern sind in der Kreditkartenindustrie nicht mehr erforderlich Richtlinien, die während des Transports zwischen Einzelhändlern, Zahlungsprozessoren und Kartenherausgebern verschlüsselt werden, sagte Robert Carr, Vorsitzender und CEO von Heartland Payment Systems, gegenüber einem Ausschuss des US-Senats. Heartland kündigte im Januar die Entdeckung einer Datenpanne an, bei der Dutzende von Millionen Kreditkartennummern einer Hackerbande ausgesetzt waren.

"Ich weiß jetzt, dass diese Industrie mehr tun und können muss, um sie besser vor den Angriffen zu schützen immer raffiniertere Methoden, die von diesen Cyberkriminellen verwendet werden ", sagte Carr dem Ausschuss für Homeland Security and Governmental Affairs des Senats. "Ich glaube, dass es wichtig ist, neue Technologien zu implementieren, nicht nur bei Heartland, sondern branchenweit." Der Zweck der Anhörung des Komitees war teilweise zu bestimmen, ob eine neue Gesetzgebung notwendig ist, um Cyberkriminalität zu bekämpfen.

[Weiter lesen: Wie man Malware von Ihrem Windows PC entfernt]

Heartland drängt auf die Kreditkartenindustrie Er sagte, ein End-to-End-Verschlüsselungsstandard zu implementieren, und das Unternehmen setzt manipulationssichere Point-of-Sale-Terminals bei seinen Einzelhändlern ein. "Unser Ziel ist es, Zahlungskontonummern von Kredit- und Debitkarten und Magnetstreifendaten vollständig zu entfernen, so dass sie niemals in einem nutzbaren Format im Händler- oder Prozessorsystem verfügbar sind", sagte Carr.

Heartland hat Kreditkartenunternehmen darum gebeten Akzeptierte verschlüsselte Transaktionen und das Unternehmen hat sich mit Standardisierungsgremien und Verschlüsselungsanbietern beschäftigt, sagte Carr. Das Unternehmen hat auch dazu beigetragen, einen Rat zur Informationsteilung für Zahlungsabwickler zu bilden, in dem die Unternehmen Informationen über Bedrohungen, Schwachstellen und Best Practices austauschen können.

"Wir arbeiten an diesen technologischen und kooperativen Lösungen, weil Ich möchte nicht, dass irgendjemand anderer in unserer Branche, oder unsere Kunden oder deren Kunden … Opfer dieser Cyberkriminellen werden ", sagte er.

Carr gab keine Details über den Heartland-Bruch, in dem das Unternehmen kompromittiert wurde seit ungefähr anderthalb Jahren. Das Unternehmen bleibt in Ermittlungen und Klagen involviert, sagte er.

Allerdings hat Heartland im ersten Halbjahr 2009 rund 32 Millionen US-Dollar für forensische Ermittlungen, rechtliche Arbeiten und andere Anklagen im Zusammenhang mit dem Verstoß bezahlt, sagte er

Senatoren haben Carr ein paar Fragen zum Bruch gestellt. Senatorin Susan Collins, eine Republikanerin aus Maine, wollte wissen, wie das Unternehmen von Oktober 2006 bis Mai 2008 kompromittiert werden könnte, ohne den Bruch zu entdecken. "Ich war erstaunt darüber, wie lange diese Hacker in der Lage waren, diese Kreditkartennummern zu stehlen", sagte sie. "Erklären Sie mir, wie ein Bruch dieser Größenordnung so lange unentdeckt bleiben konnte."

Karteninhaber meldeten keine größeren Verstöße, antwortete Carr. "Die Art und Weise, in der Verstöße normalerweise entdeckt werden, besteht darin, dass betrügerische Kartenverwendungen festgestellt werden", sagte er. "Es gab keinen Hinweis auf betrügerische Verwendung von Karten, die bis Ende 2008 auf uns aufmerksam wurden."

Collins drückte ihn weiter. "Aber gibt es keine Computerprogramme, mit denen man überprüfen kann, ob ein Eindringen stattgefunden hat?" "Es gibt sie, und die Cyberkriminellen sind sehr gut darin, sich zu maskieren", sagte Carr.

Senator Joe Lieberman, ein Unabhängiger aus Connecticut, fragte Carr nach dem Ausmaß des Bruchs.

Im August Albert Gonzalez von Miami wurde in New Jersey wegen Diebstahls von mehr als 130 Millionen Kredit- und Debitkarten angeklagt, so das US-Justizministerium. Er wurde, zusammen mit zwei nicht namentlich benannten Mitverschwörern, mit Hilfe von SQL-Injection-Angriffen gebeten, Kredit- und Debitkarteninformationen von Heartland, 7-Eleven und Hannaford Brothers, einer in Maine ansässigen Supermarktkette, zu stehlen. Gonzalez bekannte sich letzte Woche schuldig, Anklagen in Massachusetts und New York zu trennen.

Es ist zu früh, um zu sagen, wie viele von Heartland verarbeitete Kreditkartennummern kompromittiert wurden, sagte Carr. "Wir wissen zu diesem Zeitpunkt nicht, wie groß der Betrug ist", sagte er. "Es ist ein bedeutender Kompromiss."