Ob im Einzelhandel, am Fahrkartenautomaten oder an der E-Ladesäule – Zahlungsterminals sind aus unserem Alltag nicht mehr wegzudenken. Damit Zahlungen zuverlässig und sicher abgewickelt werden können, müssen diese Geräte hohe Anforderungen an die IT-Sicherheit erfüllen. Ein wichtiger Baustein in diesem Zusammenhang ist die Sicherheitsbewertung nach Common.SECC.
Doch was steckt hinter diesem Begriff? Und was bedeutet das für Hersteller, Anbieter oder Produktverantwortliche? In diesem Beitrag geben wir einen Überblick über das Verfahren.
Was ist Common.SECC?
Common.SECC ist ein Sicherheitsstandard für Zahlungsterminals, der auf dem international anerkannten Schema der Common Criteria (CC) basiert. Die Common Criteria sind weltweit verbreitete Anforderungen für die Sicherheitsbewertung von IT-Produkten. Innerhalb dieses Rahmens beschreibt Common.SECC konkret, wie die Sicherheitsprüfungen für Terminals im Bereich des kartengestützten Zahlungsverkehrs ablaufen sollen.
Dabei geht es vor allem darum, das Vertrauen in die Sicherheit von Zahlungsterminals nachvollziehbar und prüfbar zu machen. Common.SECC wurde im europäischen Umfeld entwickelt – unter anderem von der girocard / Deutschen Kreditwirtschaft sowie der sogenannten SECC Group. Das Ziel: Einheitliche, nachvollziehbare Anforderungen, an denen sich alle Marktteilnehmer orientieren können.
Warum braucht ein Terminal eine Bewertung nach Common.SECC?
Wer in Deutschland oder anderen europäischen Märkten Zahlungsterminals anbieten oder betreiben möchte, kommt an Common.SECC kaum vorbei. Besonders für die Akzeptanz von girocard-Zahlungen ist eine Bewertung nach diesem Standard oft Voraussetzung. Auch international setzen viele Zahlungssysteme auf ähnliche Anforderungen.
Aber es geht nicht nur um regulatorische Vorgaben: Eine Sicherheitsbewertung schafft Vertrauen bei Banken, Händlern und Endkund:innen. Sie stellt sicher, dass sensible Daten wie PINs oder kryptografische Schlüssel effektiv geschützt sind – und dass Angreifer es möglichst schwer haben, an diese Daten zu gelangen oder das System zu manipulieren.
Für Hersteller und Anbieter ist das also nicht nur ein Pflichtprogramm, sondern auch ein Qualitätsnachweis und Wettbewerbsvorteil.
Was wird bei einer Common.SECC-Prüfung geprüft?
Im Zentrum der Bewertung stehen die sicherheitstechnischen Eigenschaften des Terminals. Dabei geht es unter anderem um Fragen wie:
-
Wie gut schützt das Gerät vor physischen Angriffen und Manipulation?
-
Sind die kryptografischen Verfahren korrekt implementiert?
-
Ist die Kommunikation mit anderen Systemen (z. B. Backend-Servern) ausreichend abgesichert?
-
Wie werden sensible Daten gespeichert, verarbeitet und gelöscht?
Die Prüfungen orientieren sich an sogenannten Protection Profiles – also definierten Anforderungsprofilen für verschiedene Terminaltypen. Diese Profile legen fest, welche Sicherheitsmechanismen erforderlich sind und welche Bedrohungsszenarien betrachtet werden müssen.
Wie läuft eine Bewertung nach Common.SECC ab?
Ein Common.SECC-Projekt beginnt in der Regel mit einer gemeinsamen Abstimmung zwischen Anbieter und Prüflabor. Dabei wird festgelegt, welches Protection Profile relevant ist und welche Dokumente und technischen Nachweise benötigt werden.
Im nächsten Schritt analysiert das Prüflabor das Terminal – oft auf verschiedenen Ebenen:
-
Dokumentenprüfung (Design, Sicherheitskonzepte)
-
Quellcode-Analyse bestimmter Komponenten
-
Technische Tests, z. B. zur Manipulationssicherheit oder zur kryptografischen Umsetzung
-
Penetrationstests, um typische Angriffsszenarien abzudecken
Am Ende steht ein Prüfbericht, der die Ergebnisse nachvollziehbar zusammenfasst. Je nach Ergebnis kann dieser Prüfbericht dann als Grundlage für die Akzeptanz durch Zahlungsdienstleister oder Kartenorganisationen dienen.
Fazit: Sicherheit, die Vertrauen schafft
Common.SECC ist ein zentraler Baustein für die Sicherheit und das Vertrauen im kartengestützten Zahlungsverkehr. Die Bewertung zeigt, dass ein Terminal den Anforderungen an Manipulationssicherheit, Datenschutz und sichere Kommunikation standhält – und hilft Anbietern dabei, sich im Markt zu positionieren.
Wenn Sie Fragen zum Ablauf, zu den Anforderungen oder zur Machbarkeit einer Bewertung haben: Das Team der SRC steht Ihnen gerne als Ansprechpartner zur Verfügung.
