Seit dem 24. Mai 2022 kommt es im deutschen Handel bundesweit zu Problemen beim bargeldlosen Zahlen mit Kredit- und Girokarten, weil Kartenzahlungsterminals H5000 des Herstellers Verifone ausgefallen sind (ich hatte hier im Blog mehrfach, auch die technischen Details) berichtet. Im Handel haben betroffene Ketten wie Aldi-Nord und Netto begonnen, die Geräte in ihren Filialen auszutauschen. Die aufgetretene Störung ist aber meinen Recherchen nach ein Scheitern mit Ansage. Inzwischen ermittelt die BaFin und versucht sich einen Überblick zu verschaffen, was los ist und wie viele Geräte betroffen sind. Hier ein Statusupdate zum 31. Mai 2022.
Anzeige
Kurzer Rückblick auf das Problem
Seit dem 24. Mai 2022 streikten in zahlreichen Geschäften, Supermärkten, Tankstellen etc. die Terminals für Kartenzahlungen mit Giro- und EC-Karten (siehe auch meinen Blog-Beitrag Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)). Betroffen sind Händler, die das Kartenterminals H5000 von Verifone einsetzen, da die Geräte eine Kommunikation mit dem Zahlungsdienstleister verweigern. Abschalten und neu starten brickt die Geräte, angeblich wegen eines Softwarefehlers.
Zertifikate fehlen auf H5000-Terminals, Quelle: Cedric Fischer
Ich hatte einige technische Details nach Hinweisen eines IT-Experten in meinem Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik aufbereitet. Inzwischen blendet der Hersteller der Kartenterminals, Verifone, auf seiner Support-Webseite eine Erklärung als Popup ein, die ein abgelaufenes Zertifikat oder eine Sicherheitslücke negiert (kommt u.U. nur, wenn noch keine Cookies gesetzt sind).
(Erklärung Verifone, Zum Vergrößern klicken)
Zertifikatsfehler oder Sicherheitlücken werden negiert (steht konträr zu den von mir dokumentierten Fehlermeldungen) und es wird ein Softwarefehler als verantwortlich genannt. Für Betroffene ist das aber letztendlich egal, die interessiert lediglich, wann es wieder funktioniert. Von Verifone wird gleichzeitig im Popup angegeben, dass seit dem Freitag, den 27. Mai 2022, eine Lösung angeboten werden könne. Ähnliches wird von Zahlungsdienstleistern kommuniziert.
Ich hatte bereits im Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022) eine Einschätzung gegeben. Insgesamt ist die Kommunikation des Herstellers sowie der Zahlungsabwickler Payone und Concardis in dieser Sache – zumindest aus meiner Sicht – stark verbesserungswürdig.
Scheitern mit Ansage, die dunkle Seite
Auf Grund meiner Blog-Beiträge (die wurden inzwischen sehr gut abgerufen) haben sich Leser mit zahlreichen Kommentaren gemeldet. Das hat mich dazu bewegt, immer mal wieder neu zu recherchieren – einige Informationen finden sich im Blog-Beitrag Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022) sowie in den Leserkommentaren dieses Beitrags. Das Ganze lässt sich als Scheitern mit Ansage interpretieren – auf Anfrage von Golem habe ich das Ganze im Beitrag VERIFONE H5000:Was hinter den Ausfällen der EC-Kartenterminals steckt mal in einem Überblick aufbereitet. Hier die Kernpunkte:
- Das Verifon H5000 Kartenterminal ist seit 2019 vom Hersteller abgekündigt und sollte längst aus dem Handel verschwunden sein.
- Denn das Gerät unterstützt neue Zahlungsspezifikationen nicht mehr, seit April 2021 ist eine Richtlinie für Zahlungen ausgelaufen.
- Das Gerät darf aber auf Grund von Übergangsregelungen noch bis April 2023 – und in Sonderfällen bis 2025 im Bestand benutzt werden.
- Um die Geräte für diese Übergangsregelungen zu ertüchtigen, wurde von Verifone ein Update für die Geräte bereitgestellt.
- Der Rollout dieses Updates zum 25. Dezember 2021 ist aber wohl schief gelaufen, so dass dieses nicht auf allen H5000-Kartenterminals ankam.
Die nicht mit dem Update versehenen H5000-Kartenterminals sind wohl jetzt vom Ausfall zum 24. Mai 2022 betroffen. Das Ganze scheint ein Scheitern mit Ansage zu sein, bei dem die Protagonisten (Hersteller, Zahlungsdienstleister und auch Händler) keine gute Figur machen. Mit Händler meine ich vor allem die IT großer Ketten wie Kik, Aldi-Nord, Lidl etc.
Anzeige
Ergänzung: Interessant fand ich in diesem Kontext auch einige Kommentarmeldungen von Golem-Lesern, die aus der Branche kommen. Sie wird hier auf die Besonderheiten der Updates bei Kartenterminals eingegangen. Spannend fand ich auch die Wortmeldungen von Insidern, wer in größeren Ketten für Updates verantwortlich ist (es geht um Zahlungsdienstleister oder interne IT kümmert sich um Updates).
Ketten tauschen Terminals
Von Blog-Lesern sowie aus geschlossenen Facebook-Gruppen kenne ich die Aussage, dass Zahlungsdienstleister zeitnah damit begonnen hätten, die betroffenen Geräte zurückzufordern und Ersatzterminals zu liefern. Aber die Menge der noch in Deutschland im Einsatz befindlichen H5000-Kartenterminals könnte ein logistisches Problem darzustellen. Der Bundesverband deutscher Banken tätigte zwar stellvertretend für die deutsche Kreditwirtschaft die Aussage, dass der entsprechende Typ des Kartenterminals "nur einen geringen Anteil an allen in Deutschland eingesetzten Geräten ausmache". Verifone wirbt aber mit dem H5000 als meistverkauftes Kartenterminal in Deutschland – irgendwo habe ich erinnerungsmäßig 350.000 Exemplare im Hinterkopf.
Auch wenn da viele bereits ausgemustert sind, oder möglicherweise das Update erhalten haben, dürften Tausende betroffene Geräte im Handel und in Supermarktkassen ausgefallen sein. Jegliche Maßnahme ist daher schlicht schon ein Massenproblem, so dass eine schnelle Behebung der Störung illusorisch ist. Verifone schreibt zwar, dass eine Lösung in Form eines Software-Updates bereitstehe, aber dieses muss vor Ort auf die Geräte geflasht werden. Auch Zahlungsdienstleister Payone gibt an, dass dieses Update "noch nicht stabil genug für den breiten Einsatz" sei. Das Flashen scheint kein trivialer Vorgang zu sein.
Auf Twitter habe obigen Tweet gefunden, dass der Zahlungsdienstleister TeleCash die betroffenen H5000-Kartenterminals in einer Wochenendschicht austauscht. Deckt sich auch mit weiteren Berichten wie bei tagesschau.de, Spiegel Online oder heise.
Supermarktketten und Discounter wie Aldi-Nord oder Netto hätten am Wochenende damit begonnen, die betroffenen Kartenterminals auszutauschen, heißt es uniso. Die Ketten ziehen den geplanten Austausch (siehe meine obigen Ausführungen über diese Notwendigkeit) einfach vor. Zu Edeka und anderen Händlern heißt es bei heise, dass diese betroffene Geräte zumindest teilweise austauschen. Das kann aber noch Tage dauern, bis das alles über die Bühne ist. Und mir ist unklar, ob die Anzahl der verfügbaren Ersatzgeräte ausreicht, um zeitnah alle ausgefallenen H5000-Kartenterminals zu ersetzen.
BaFin ermittelt
Das Handelsblatt meldet inzwischen in diesem Artikel, dass die Finanzaufsicht Bafin inzwischen ermittelt. Beim Handelsblatt heißt es, dass die Behörde mit der Bundesbank, dem Bundesamt für Sicherheit in der Informationstechnik (BIS) und den Zahlungsdienstleistern Concardis und Payone in engem Austausch zur aktuellen Lage stehe. Ein Bafin-Sprecher sagte dem Handelsblatt. „Vorrangig ist jetzt, eine schnellstmögliche Lösung des Problems für die betroffenen Händler und deren Kunden herbeizuführen." Vom BaFin gibt es jetzt eine Abfrage, wie viele Geräte überhaupt betroffen sind.
Ergänzung: Christian Kirchner von finanz-szene.de hat im Artikel Branchen-Insider erklären die Hintergründe des Terminal-GAUs Insides aus der Leserschaft gesammelte und publiziert. Bestätigen meinen Eindruck, den ich nach Recherchen hatte.
Abschließende Gedanken
Die Bundesbank wird vom Handelsblatt zitiert, dass die jetzige Störung nicht systemimmanent sei. Der Vorgang zeigt aber, wie schnell solche Infrastrukturen in (länger andauernde) Störungen laufen können. Die Informationspolitik der Zahlungsdienstleister und des Herstellers ist in meinen Augen auch nicht optimal – nach meinem Eindruck wird die nur von dem Gedanken getragen, sich nicht juristisch angreifbar zu machen. Ob wir von Verifone sowie den Dienstleistern Details erfahren, was wirklich die Ursache für den Ausfall war und wo es Versäumnisse gab, bleibt abzuwarten.
Mit Interesse habe ich auch einige Kommentare hier im Blog sowie bei Golem gelesen, die entweder "Apple Pay und Google Pay, dann wäre das nicht passiert" auf die Fahnen schrieben – oder die Verweigerung der bargeldlosen Zahlung der jetzt in Rente gehenden Boomer-Generation das Problem andichten wollten. Systemische bzw. vernetztes Denken scheint bei Vielen nicht gerade die Stärke zu sein. In Zeiten, wo durch die Ukraine-Krise Firmen über die Diversifizierung ihrer Lieferketten und Reduktion von Abhängigkeiten nachdenken, klingt die Parole "mehr Apple Pay oder Google Pay" irgendwo seltsam fehl am Platz – zumal, wenn man berücksichtigt, was politisch vor 2 Jahren in den USA los war und wie russische Nutzer der beiden genannten Zahlungsdienste im Rahmen der verhängten Sanktionen plötzlich von diesen Anbietern abgeschnitten wurden.
Aus meiner Sicht bleibt es spannend, zu beobachten, wie die "heutigen Macher" aktuell und auch zukünftig mit solchen Krisen umzugehen zu verstehen. Mappe ich die letzten 16 Jahre der deutschen Politik und der deutschen Wirtschaft (Outsourcing, Nord Stream 2) auf die Zukunft, bin ich nicht sonderlich optimistisch, dass die oben beschriebene Störung bedauerlicher Einzelfall bleiben wird, der sich nicht wiederholt.
Ähnliche Artikel:
Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)
Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik
Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022)
2015
Ja, in unserem Dorf-Aldi waren die Service-Techniker am Sonntagvormittag zu Gange, so dass am Montag bereits wieder wie gewohnt mit Karte gezahlt werden konnte. Bin ja mal gespannt, ob es diesbezüglich eine sachliche und ggf. auch juristische Aufarbeitung geben wird, und nicht nur eine Ankündigung der BaFin.
Da hat der 30000 Seelen Ort in dem ich Wohne wohl Glück gehabt. Keiner der Geschäfte hier hat diesen Veralteten Kartenleser. Lidl z.B. hat diesen Veralteten Kartenleser schon mitte 2019 ausgetauscht gegen andere (Lidl Filiale in meinem Wohnort).
Sehr schön formuliert finde ich Ihre abschließenden Gedanken.
Bin mal gespannt, ob diesbezüglich noch Meinungen von "Vertretenden" der "Mäker"-Generation kommen? Ach nein, die handeln ja schon wieder, bevor sie zum Nachdenken kommen.
:-)
Betr. " … dass die Finanzaufsicht Bafin inzwischen ermittelt. ":
Bevor jetzt die grosse 'die tun was'-Euphorie ausbricht: Auf welcher Rechtsgrundlage will die BaFin hier wem auf die Finger schauen/klopfen, Verstösse ahnden und Anordnungen treffen, um eine schnelle Lösung herbeizuführen und Wiederholungen vorzubeugen?
Die Anstalt hat in den Fällen Wirecard und Cum-Ex versagt /1/, sie wird auch diesmal geschlafen haben, sofern sie – wie vorstehend in Frage gestellt – überhaupt zuständig ist.
/1/
de.wikipedia.org/wiki/Bundesanstalt_f%C3%BCr_Finanzdienstleistungsaufsicht#Kritik
Anders wird ein Schuh draus: Wenn ich nicht ganz falsch liege, beaufsichtigt die BaFin die Zahlungsdienstleister. Falls diese ihren "Zuverlässigkeitsstatus" verlieren, wäre das der GAU – ich denke also (möglicherweise zu naiv), wenn BaFin da mal genauer nachfragt, werden dort schon einige Leute in die Pushen kommen und eigene Abläufe auf Versäumnisse hinterfragen.
WireCard und Cum-Ex waren auf Betrug ausgelegte Vorgänge – das hier ist etwas anderes.
Wer heute mdr-aktuell (2. Juni 19:30) Link: https://web.archive.org/web/20220609060944/https://www.mdr.de/video/mdr-videos/a/video-627580.html gesehen hat, konnte dann doch mal auch sehen und hören:
a) h5000 das Meistverkaufte. (Ach!)
b) payone hat selbst 60.000 Geräte
c) Der (Journalist) Digitalexperte Michael Voss und das Wlan….
d) Aber Michael Voss liegt vielleicht auch nicht ganz falsch und auch ich habe mich seit den ersten Meldungen über die Updates gefragt, warum eigentlich meinen alle: Die Geräte die das Update bekommen haben sind nicht betroffen?
Meine – ungefragte – Meinung: Wer sagt denn, das die nicht durchgeführten Updates schuld sind?
@Günter:
Kann es nicht sein, das genau die Updates schuld sind?
Ich hatte hier doch gerade gelesen, das das zu Weihnachten angelaufen ist…
Der Abbruch des Rollout merkt keiner und wenn keiner in Kenntnis ist, wieviele und welche Rollouts es tatsächlich gegeben hat, ging man, gerade weil da Feiertage dazwischen lagen, davon aus, das es nur minimale Folgen haben könnte?
Schiebt man ein nächstes Update hinterher.
Aber Ups… nach dem ersten Update kommt das zweite nicht mehr zum tragen, weil die Kommunikationsschnittstelle zum UpdateServer schon mit dem ersten Update hinüber war.
Ich sehe das als den PointOfNoReturn. Und Auslöser für den derzeitigen Ausfall.
Mal nen Gedanken dran verschwenden…
Beste Grüße
a) Neue Informationen liefert der Beitrag auch nicht
b) Ob ein Softwarefehler oder ein fehlendes Zertifikat Ursache ist, bleibt für Betroffene egal
c) Das Thema ist im Grunde durch,
Wenn ich keine belastbaren Informationen über die Ursache bekomme, plane ich aus aktueller Sicht nichts mehr zu machen.
c)
Schade.
Ja, Du hast recht, das Problem ist vorhanden. Egal warum und wieso.
Wenn der Auslöser ein fehlerhaftes (erstes) Update ist, welches nicht mehr rückgängig gemacht / überspielt werden kann, ist das jedoch BrokenByDesign.
Bisher heißt es immer, das ein nicht *eingespieltes* Update das Problem wäre.
Ich sage das erste Update ist das Problem.
Und das macht ganz andere Schubladen auf.
Vor allem die Dresche, die den IT-Abteilungen jetzt angedichtet wird das Dezember-Update nicht eingespielt zu haben, würde sich damit komplett umkehren.
Zu c und den Vermutungen: Du vergisst schlicht, dass Verifone ein US-Unternehmen ist, wo die Juristen sofort jegliche Kommunikation übernehmen. Ist mir in einem Hintergrundgespräch die Tage wieder bestätigt worden. Und wenn Externe etwas schreiben, was nicht niet- und nagelfest ist, kann ganz schnell ein Anwaltsschreiben kommen.
Unter dem Strich: Solange wir keine belastbaren Informationen zum Sachverhalt bekommen, ist jegliche Spekulation müßig. Was ich recherchieren konnte, ist in den Blog-Beiträgen (und das ist mehr, als zu den Zeiten der Veröffentlichung andernorts öffentlich aufzuspüren war).
Als Blogger muss ich drei Dinge im Fokus behalten:
a) Schauen, dass ich möglichst nicht gänzlich falsch und angreifbar rüber komme (juristische Keule)
b) Themen zeitnah und im Leserinteresse publiziere (ich stelle mich täglich der Abstimmung mit den Füßen)
c) Am Ende des Tages die Finanzierung zusammen bringen und mich nicht in Themen verzetteln – sonst heißt es irgendwann "war schön gewesen" – denn ich bin nur One-Man-Show ohne irgendwelche Firmen als Sponsoren im Hintergrund (wirtschaftliche Keule)
Sollten sich belastbare Informationen einfinden, prüfe ich, ob es einen weiteren Artikel gibt.