EC-Karten-Ausfall 2022: Warum ein abgelaufenes Zertifikat Hunderttausende Terminals lahmlegte · Zahlungskompass
Zahlungskompass Echte Kosten berechnen
← Ratgeber Ratgeber

EC-Karten-Ausfall 2022: Warum ein abgelaufenes Zertifikat Hunderttausende Terminals lahmlegte

Im Mai 2022 streikten in Deutschland plötzlich Hunderttausende Kartenterminals. Die Ursache war kein Hackerangriff, sondern ein abgelaufenes digitales Zertifikat. Was dahintersteckt — und was das über die fragile Infrastruktur des modernen Zahlungsverkehrs aussagt.

Von Ulf Mayer Aktualisiert 04. Juni 2026 7 Min. Lesezeit
Kartenterminal an einer Kasse — Sinnbild für den EC-Karten-Ausfall 2022

An einem Dienstag im Mai 2022 fingen Händler in ganz Deutschland an, ihren Acquirer anzurufen. Die Terminals zeigten Fehlermeldungen, Kartenzahlungen wurden abgelehnt — obwohl die Karten der Kunden völlig intakt waren. Betroffen waren vor allem Geräte der Typen Ingenico H5000 und verschiedene Verifone-Modelle. Schätzungen gingen von mehreren Hunderttausend ausgefallenen Terminals aus.

Kein Hackerangriff. Keine Netzwerkstörung. Ein abgelaufenes Datum in einer Datei, die kaum jemand je zu Gesicht bekommt: ein digitales Zertifikat.

Um zu verstehen, warum ein einziges Ablaufdatum so viel Schaden anrichten konnte, muss man verstehen, wie Payment-Terminals eigentlich „wissen”, wem sie vertrauen dürfen — und wem nicht.

Wie funktionieren digitale Zertifikate?

Stell dir vor, du willst jemanden anrufen, hast aber keine Ahnung, ob die Person am anderen Ende wirklich die ist, die sie behauptet zu sein. Eine Lösung: Ein bekannter Notar — dem ihr beide vertraut — stellt beiden Seiten einen beglaubigten Ausweis aus. Zeigt die Gegenstelle ihren Notar-Ausweis, weißt du: Das stimmt.

Digitale Zertifikate funktionieren nach demselben Prinzip. Ein Zertifikat ist ein digitales Dokument, das drei Dinge enthält:

  1. Identitätsdaten — Wer ist der Inhaber? (z. B. “Ingenico Terminal Software v4.2”)
  2. Einen öffentlichen Schlüssel — Damit kann man Nachrichten verschlüsseln oder Signaturen prüfen
  3. Die Unterschrift einer Zertifizierungsstelle (CA) — Das ist der „Notar”, dem beide Seiten vertrauen

Und noch etwas ist im Zertifikat vermerkt: ein Ablaufdatum. Danach ist das Zertifikat ungültig — absichtlich so, weil abgelaufene Schlüssel ein Sicherheitsrisiko wären, wenn sie nie ersetzt werden müssten.

Die Zertifikatskette: Vertrauen in der Hierarchie

In der Praxis gibt es nicht nur ein einziges Zertifikat, sondern eine Kette:

Root-CA (Wurzelzertifikat)
  └── Intermediate-CA (Zwischenstelle)
        └── Leaf-Zertifikat (das eigentliche End-Zertifikat)

Der Root-CA ist die oberste Vertrauensinstanz — vergleichbar mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder, im Zahlungsverkehr, mit Visa oder Mastercard als Scheme-Betreiber. Dieses Zertifikat ist in der Firmware jedes Terminals fest eingebaut.

Eine Intermediate-CA stellt dann Zertifikate für konkrete Zwecke aus: z. B. für die Authentifizierung von Terminal-Software, für die Kartenchip-Prüfung oder für die verschlüsselte Kommunikation mit dem Acquirer-Rechenzentrum.

Das Problem im Mai 2022: Eine solche Intermediate-CA hatte ihr eigenes Zertifikat nicht rechtzeitig erneuert. Als das Ablaufdatum überschritten war, konnte kein Terminal mehr die Zertifikatskette bis zur Wurzel lückenlos validieren. Das Ergebnis: Die betroffene Software verweigerte sicherheitshalber den Betrieb — und das Terminal war blockiert.

Wie funktioniert eine Kartenzahlung im Hintergrund?

Um zu verstehen, wo Zertifikate im Zahlungsablauf eine Rolle spielen, lohnt ein Blick auf die gesamte Kette, die hinter jeder Transaktion steht. Scheinbar einfach — tatsächlich ein komplexes Zusammenspiel aus vier Parteien und mehreren Sicherheitsprotokollen.

Die vier Parteien

ParteiRolle
KarteninhaberZahlt mit der Karte
Händler + TerminalNimmt die Zahlung entgegen; Terminal kommuniziert mit der Welt
AcquirerDie Bank des Händlers; stellt das Terminal bereit und übermittelt Transaktionen ans Scheme
IssuerDie Bank des Karteninhabers; genehmigt oder lehnt ab

Dazwischen steht das Payment Scheme: Girocard (früher: electronic cash / EC) für deutsche Debitkarten, Visa oder Mastercard für internationale Kreditkarten. Das Scheme definiert die Regeln, Protokolle und Zertifikate — und ist damit die unsichtbare Infrastruktur, auf der alles aufbaut.

Der Ablauf einer Transaktion — Schritt für Schritt

1. Karte einstecken / Kontaktlos halten

Der Chip der Karte und das Terminal beginnen einen kryptografischen Handshake nach dem EMV-Standard (Europay, Mastercard, Visa). EMV ist das weltweite Protokoll für Chipkartenzahlungen — und es ist von Grund auf auf Zertifikaten aufgebaut.

2. Card Authentication (Kartenauthentifizierung)

Das Terminal prüft, ob die Karte echt ist. Dafür liest es das Zertifikat, das auf dem Chip gespeichert ist, und validiert es gegen den im Terminal hinterlegten öffentlichen Schlüssel des Schemes (den Root-Key). Bei Girocard ist das der Schlüssel der Deutschen Kreditwirtschaft (DK).

Hier kommt der erste Berührungspunkt mit dem Ausfall: Wenn das Terminal seine eigene Schlüsselbasis nicht laden kann — weil ein dazugehöriges Zertifikat abgelaufen ist —, scheitert bereits dieser Schritt.

3. Cardholder Verification (PIN-Prüfung)

Kontaktlose Beträge unter 50 € laufen ohne PIN durch. Darüber oder bei Kontakteinzahlung wird die PIN entweder direkt am Terminal geprüft (Offline-PIN, im Chip verschlüsselt hinterlegt) oder online an die Issuer-Bank weitergeleitet.

4. Authorization Request (Online-Autorisierung)

Das Terminal schickt über den Acquirer eine Autorisierungsanfrage ans Scheme und von dort zur Issuer-Bank. Dieser Datenstrom ist mit TLS (Transport Layer Security) verschlüsselt — erneut: Zertifikate. Kann das Terminal keine gültige TLS-Verbindung aufbauen, weil ein Zertifikat abgelaufen ist, geht kein Bit nach außen.

5. Authorization Response

Die Issuer-Bank antwortet mit Genehmigung oder Ablehnung. Das Terminal zeigt „Genehmigt” oder „Abgelehnt”.

6. Settlement (Clearing)

Am Tagesende werden alle genehmigten Transaktionen in einem Batch gesammelt und zwischen Acquirer und Issuer verrechnet. Hier spielen Scheme-Regeln eine große Rolle — Interchange-Gebühren, Fristen, Rückbuchungsrechte (Chargebacks).

Warum führte ein einziges Zertifikat zum Totalausfall?

Kurze Antwort: Weil Terminals aus Sicherheitsgründen bei Zertifikatsproblemen fail-closed reagieren — sie machen dicht, statt weiterzumachen.

Das ist das richtige Verhalten. Ein Terminal, das abgelaufene oder ungültige Zertifikate ignoriert, wäre anfällig für Angriffe: gefälschte Karten, manipulierte Software-Updates, Man-in-the-Middle-Attacken auf die Acquirer-Verbindung. Die Sicherheitsarchitektur des EMV-Protokolls setzt bewusst darauf, lieber eine Zahlung abzulehnen als eine unsichere durchzulassen.

Das Problem ist die Kehrseite dieser Zuverlässigkeit: Wenn ein Zertifikat in der Kette abläuft, fällt nicht ein Terminal aus — sondern alle Terminals, die dieses Zertifikat vertrauen. Bei der Ingenico H5000 handelte es sich um eine weit verbreitete Terminal-Generation, die von vielen Acquirern in Deutschland ausgerollt worden war. Das Zertifikatsproblem war damit ein Flächenbrand.

Warum wurde das Ablaufdatum übersehen?

Zertifikate werden häufig für lange Zeiträume ausgestellt — zwei, fünf, manchmal zehn Jahre. Das klingt bequem, ist aber eine Falle: Je länger ein Zertifikat gültig ist, desto leichter gerät sein Ablaufdatum in Vergessenheit. Keine automatische Überwachung, kein Alarm, keine Erinnerung — und plötzlich ist es Dienstag, und hunderttausende Terminals streiken.

Vergleich zur Praxis: TLS-Zertifikate für Websites laufen heute standardmäßig nach 90 Tagen ab (Let’s Encrypt). Das klingt kurz, ist aber Absicht: kurze Laufzeiten erzwingen Automatisierung und verhindern, dass abgelaufene Zertifikate unbemerkt bleiben.

In der Welt der Payment-Terminals war dieser Automatisierungsgrad 2022 noch nicht überall Standard. Firmware-Updates sind in regulierten Umgebungen aufwendig — jedes Update muss zertifiziert, getestet und genehmigt sein, bevor es ausgerollt werden darf. Das macht schnelle Reaktionen schwierig.

Die Lösung: Firmware-Update und Notfall-Zertifikat

Die betroffenen Hersteller und Acquirer reagierten mit einem Notfall-Firmware-Update. Dieses Update enthielt ein neues, gültiges Zertifikat — und musste auf jedem einzelnen Terminal eingespielt werden. Entweder:

  • Remote über das Netzwerk, wenn das Terminal noch eine Verbindung aufbauen konnte (bei teilweisem Ausfall möglich), oder
  • Manuell vor Ort, wenn das Terminal vollständig blockiert war.

Letzteres war der aufwendige Fall: Händler mussten auf einen Techniker warten, konnten in der Zwischenzeit nur Bargeld akzeptieren — sofern sie überhaupt noch welches in der Kasse hatten.

Was bleibt: Lektionen für eine kritische Infrastruktur

Der Ausfall von 2022 war kein Angriff, keine Naturkatastrophe, kein Bug im klassischen Sinne. Es war ein Wartungsversagen — ein bekanntes Ablaufdatum, das niemand im Blick hatte.

Was die Branche seitdem (langsam) lernt:

1. Automatisches Zertifikats-Monitoring ist kein Luxus Wer Infrastruktur betreibt, die Zertifikate nutzt, braucht ein System, das 90, 60 und 30 Tage vor Ablauf automatisch alarmiert — und bestenfalls die Erneuerung anstößt.

2. Kurze Laufzeiten erzwingen gesunde Prozesse Zehn-Jahres-Zertifikate verleiten zur Nachlässigkeit. Kürzere Laufzeiten mögen lästiger erscheinen, aber sie machen Abläufe robuster.

3. Fail-Closed ist richtig — aber Recovery muss schnell gehen Die Terminals haben sich korrekt verhalten, indem sie dichtmachten. Das Problem war, dass der Weg zurück (Remote-Update) zu langsam war. Schnellere, vertrauenswürdige Update-Mechanismen für Terminal-Software wären die richtige Antwort.

4. Diversifikation reduziert Flächenbrände Wenn ein Acquirer ausschließlich auf ein Terminal-Modell setzt, multipliziert ein einzelner Fehler sich ungebremst. Wer unterschiedliche Hardware-Generationen und -Hersteller im Portfolio hat, begrenzt die Schadensfläche.

Für Händler: Was bedeutet das konkret?

Du bist als Händler nicht der Verantwortliche für Zertifikate — das ist Sache deines Acquirers und des Terminal-Herstellers. Aber du kannst vorbereitet sein:

  • Firmware-Updates nicht aufschieben. Wenn der Acquirer ein Update ankündigt, installiere es zeitnah. Es ist fast immer sicherheitsrelevant.
  • Bargeld als Rückfalloption. Ein totaler Kartenausfall — ob durch Zertifikat, Netz oder Strom — kommt selten, aber er kommt. Eine kleine Kasse als Backup ist kein Anachronismus.
  • Service-Hotline kennen. Wer bei einem Ausfall sofort die richtige Nummer wählt, verkürzt die Downtime.
  • Auf modernen Terminals bleiben. Ältere Geräte wie der Ingenico H5000 werden irgendwann aus dem Support fallen — und dann verzögern sich notwendige Updates.

Der EC-Karten-Ausfall 2022 ist eine Erinnerung daran, wie unsichtbar und gleichzeitig wie fragil die Infrastruktur ist, auf der moderner Zahlungsverkehr läuft. Zertifikate, Schlüsselhierarchien, EMV-Protokolle — niemand denkt daran, solange alles funktioniert. Und plötzlich steht ein Händler vor einem blockierten Terminal und fragt sich, wann der Techniker kommt.

Das ist kein Argument gegen Kartenzahlung. Es ist ein Argument für besseres Zertifikats-Management, schnellere Update-Mechanismen — und ein bisschen Bargeld in der Kasse.

Transparenz: Dieser Artikel kann Affiliate-Links enthalten. Wie das funktioniert und warum es unsere Bewertungen nicht beeinflusst, erklären wir auf der Seite Finanzierung & Transparenz.