Reiseanbieter

Transaktionen mit Kreditkarten sind im Online-Zeitalter eine heikle Sache. Die IATA will deswegen, dass sich Reisebüros an die PCI-DSS-Richtlinien halten. Nachvollziehbar oder Agenten-Schikane? Bild: Fotolia

«Kreditkarten-Missbrauch wird so kaum gestoppt»

Jean-Claude Raemy

Seit heute müssen Schweizer Reisebüros über ein PCI-DSS-Zertifikat verfügen. Nicht alle sind dieser IATA-Forderung nachgekommen. Und wer sich daran gehalten hat, sieht wenig Sinn dahinter.

Seit heute müssen Reisebüros weltweit gegenüber dem Airline-Verband IATA nachweisen können, dass sie Kreditkarten-Transaktionen nach dem «Payment Card Industry Data Security Standard» (PCI-DSS) vornehmen können. Wer dies nicht kann, riskiert, von der IATA eine «Notice of Non-Compliance» aufgebrummt zu bekommen. Dies hätte zur Folge, dass man Tickets nicht mehr mit der Zahlart «Kreditkarte» ausstellen kann.

Der Schweizer Reise-Verband (SRV) warnte am Montag davor, diese Frist verstreichen zu lassen, und sprach in einem Communiqué davon, dass sich viele Mitglieder «erst in allerletzter Minute» um die PCI-DSS Zertifizierung bemüht hätten. SRV-Geschäftsführer Walter Kunz hat dafür kein Verständnis, wie er gegenüber Travelnews.ch darlegt: «Wir haben vor über einem Jahr erstmals auf dieses Thema hingewiesen und auch erreicht, dass der Nachweis nicht wie ursprünglich vorgesehen bereits im Herbst 2017, sondern erst jetzt im April 2018 vorgelegt werden musste. Trotzdem hatten wir in den letzten beiden Tagen rund 30 Telefonate von Mitgliedern, die sich über unterschiedliche Aspekte dieses Themas erkundigten.» Kunz geht davon aus, dass die IATA bei Reisebüros, welche der Forderung nicht nachgekommen sind, «nicht lange fackeln» wird und die Zahlart «Kreditkarte» blockiert. Zwar sei es möglich, den Nachweis noch verspätet einzureichen, doch wie lange es jeweils gehe, bis alles wieder freigeschaltet ist, sei unklar. Und die direkte Kommunikation mit der IATA ist bekanntermassen schwierig.

Kunz hat insbesondere kein Verständnis für die Verspäteten, weil das Thema auch gar nicht so komplex ist, wie es auf den ersten Blick erscheint. «Der Arbeitsaufwand, um die Compliance zum PCI-DSS-Standard zu erfüllen, beträgt höchstens ein paar Stunden», so Kunz. Der SRV hat mehrmals – zuletzt erneut in seinem Newsletter vom Montag, 23. April - alle notwendigen Informationen sowie Links zum Upload der Compliance-Unterlagen publiziert. «Wer gesperrt wird, ist wirklich selber schuld», schliesst Kunz.

Worum geht es überhaupt?

PCI-DSS ist ein Regelwerk im Zahlungsverkehr, welches alle wichtigen Kreditkartenorganisationen unterstützen. Es geht darum, von Unternehmen, welche Kreditkarten-Transaktionen tätigen und speichern bzw. übermitteln, sich an gewisse Grundprinzipien halten müssen. Grundsätzlich ist es also – im Zeitalter von Data-Mining, Hacking und anderen Online-Sicherheitslecks – primär eine Art Enthaftung der Kreditkartenunternehmen.

Gefordert wird lediglich das Einhalten von folgenden Anforderungen:

  • Installation und Pflege einer Firewall zum Schutz der Daten
  • Regelmässiges Ändern von Kennwörtern und anderen Sicherheitseinstellungen
  • Schutz der gespeicherten Daten von Kreditkarteninhabern
  • Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  • Einsatz und regelmässiges Update von Virenschutzprogrammen
  • Entwicklung und Pflege sicherer Systeme und Anwendungen
  • Einschränken von Datenzugriffen auf das Notwendige
  • Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  • Beschränkung des physischen Zugriffs auf Daten von Kreditkarteninhabern
  • Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  • Regelmässige Prüfungen aller Sicherheitssysteme und -prozesse
  • Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Ob man dies auch alles einhält, lässt sich von Kreditkartenunternehmen bzw. der IATA schwer prüfen. Aber indem man dies akzeptiert, verpflichtet man sich quasi dazu – so ähnlich, wie wenn man die Nutzungsvereinbarungen bei Apple oder Facebook akzeptiert.

Es handelt sich übrigens nicht um eine Initiative der IATA. Es ist nur so, dass die IATA den Einhalt des PCI-DSS-Regelwerks einfordert und Nicht-Einhaltung mit Sanktionen belegt. Andere Branchen machen hierbei teilweise auch mit – die Airlinebranche schon lange. Manche Unternehmen nutzen PCI-DSS wie ein Signet, welches sichere Kreditkarten-Transaktionen belegt (siehe etwa dieses Beispiel).

Skepsis bei den Reisebüros

Reisebüros müssen also nur Formulare bei ihrem Kreditkarten-Acquirer verlangen, diese ausfüllen und hochladen. Das ist kostenfrei und wenig aufwändig. Deutlich aufwändiger und teurer ist es natürlich, wenn man die oben erwähnten Punkte auch alle umsetzt. Dafür hat man Sicherheit im Umgang mit (Kreditkarten-)Daten.

Die Grossveranstalter und Commercial-Unternehmen haben ihre Pflicht betreffend PCI-DSS erledigt. Schwieriger ist es offenbar bei kleineren, unabhängigen Reisebüros – allerdings nicht in Bezug auf das Einsenden der Compliance-Papiere: «Seriöse Unabhängige haben diese Forderungen umstandslos und schnell erledigen können», weiss Kunz.

Travelnews.ch hat versucht, sich bei einigen Reisebüros umzuhören. In sehr vielen Fällen erhielten wir die Antwort, dass man kein IATA-Reisebüro sei und alle Flugtickets über Broker beziehe, insofern also von der ganzen PCI-DSS-Problematik gar nicht betroffen sei. Es ist nicht klar, wie viele unabhängige Schweizer Reisebüros noch einen IATA-Printer bei sich haben; von der IATA erhielten wir diesbezüglich kurzfristig keine Antwort. Ein paar Reisebüros haben wir dann doch gefunden, die sich zu dieser Thematik äussern konnten.

Arnold Kuster (Kuster Reisen, Rapperswil) etwa: Er wusste seit Dezember 2017 um die Notwendigkeit, Compliance-Papiere einzureichen, und hat alles fristgerecht erledigt. Den Prozess fand er «harzig», doch eben, es ist nun umgesetzt.

René Bättig (RMR, Schaffhausen) stellt etwa 70 Prozent seiner Flugtickets direkt aus. Auch er hat sich bemüht, die Bedingungen der IATA zu erfüllen, obwohl er auf einen Teil der PCI-DSS-Zertifizierung hätte verzichten können («wir machen keine Kreditkarten-Bezahlungen via BSP»). Er räumt ein, dass er die ganze Sache anfangs nicht so ernst genommen habe, das Thema dann aber innerhalb des TTS, wo er Mitglied ist, besprochen wurde. Letztlich hat RMR die IATA-Vorgaben in den ersten April-Tagen erfüllt. Dass der Vorgang komplex war, ist für Bättig geradezu nebensächlich: «Heutzutage ist es sich ein Agent immer mehr gewohnt, komplizierte und bürokratische Abwicklungen bei Airlines oder im Visageschäft etc. sowohl für die Kunden als auch für sein Geschäft zu erledigen.» Bättig ist ohnehin erstaunt, dass heute viele Schritte und Transaktionen im Vergleich zu früher aufwändiger und komplizierter seien, trotz Fortschritt und neuen Technologien. Und nicht zuletzt fand er den bürokratischen Aufwand sinnlos und massiv übertrieben: «Kreditkarten-Missbrauch wird durch solche Übungen wohl kaum gestoppt.»

In ein ähnliches Horn blasen auch Agenten, welche gar keine PCI-DSS-Zertifizierung benötigten: «Wenn es um die Sicherheit mit Kreditkarten-Bezahlungen geht, dann macht PCI-DSS sicher Sinn», erklärt etwa Wolfgang Boschung (Para Travel, Fribourg), «jedoch werden den Reisebüros und TOs durch die IATA und die Airlines immer mehr Hürden in den Weg gelegt. Es ist ganz klar das Ziel, diesen Vertriebskanal zu schwächen und schlussendlich aus dem Weg zu räumen.» Nicole Ercin (Traveller, Vaduz) sagt ähnlich resigniert: «Das Ganze ist sicherlich gut für die Sicherheit, aber bedeutet für uns einfach wieder mal mehr Aufwand und mehr Richtlinien, die wir einzuhalten haben.»

Die wichtigsten Links

Antworten der IATA zu den wichtigsten Fragen

IATA Hilfestellung zum Upload (englisch)

IATA Verzichtserklärung Kreditkartenzahlung via BSP (englisch)

back to top