
# Terrassentisch 14 zahlt kontaktlos

## TL;DR
- PCI DSS v4.0.1 ist zum 6. Juni 2026 die aktive Linie für Payment-Sicherheit.
- Kartenzahlung betrifft Terminal, Kasse, PMS, WLAN, Gateway, Fernwartung und Dienstleisterzugänge.
- Der Verizon DBIR 2026 nennt Software-Schwachstellen, Ransomware und mobile Risiken als zentrale Felder.
- Vor der Sommerwelle sollten Betriebe Geräte, Zugänge, Netzwerke, Updates und Offline-Regeln prüfen.

Die Sonne steht auf der Terrasse, das Glas beschlägt, Tisch 14 will getrennt zahlen. Das Terminal wandert von Hand zu Hand, piept, leuchtet, funkt. Drinnen am Tresen wartet schon der nächste Gast mit Uhr am Handgelenk. An der Rezeption steckt eine Firmenkarte im Gerät, während der Check-in weiterläuft.

So fühlt sich Kartenzahlung heute an: schnell, leise, selbstverständlich.

Genau deshalb wird sie selten wie ein eigener Betriebsprozess behandelt. Das Terminal ist da, der Payment-Dienstleister ist da, die Kasse bucht, der Tagesabschluss kommt. Alles gut? Meistens. Aber Payment-Sicherheit endet nicht am Plastikgehäuse mit Display.

Sie hängt an Kasse, PMS, WLAN, Router, Gateway, Cloud-Backoffice, Fernwartung und Menschen mit Zugriff. Also an ziemlich viel Alltag.

## Das Terminal ist nur der Anfang

PCI DSS klingt nach Norm, Audit und dicken PDFs. Für Restaurants und Hotels lässt es sich kleiner denken: Wer Karteninhaberdaten speichert, verarbeitet oder überträgt, oder Systeme betreibt, die diese Sicherheit beeinflussen, landet im Payment-Sicherheitsbereich.

PCI DSS v4.0.1 ist über die PCI Security Standards Council Document Library verfügbar und am 6. Juni 2026 die relevante aktive Version. Die v4.x-Zukunftsanforderungen sind seit dem 31. März 2025 scharf. Das ist keine ferne Vorbereitung mehr.

Heißt das, jedes Café braucht eine eigene IT-Abteilung? Nein.

Heißt es, dass „macht der Dienstleister“ als Antwort zu dünn ist? Ja.

Denn im Betrieb stehen die Geräte. Dort loggen sich Menschen ein. Dort funkt das WLAN. Dort wird Fernwartung freigeschaltet. Dort entscheidet jemand, was passiert, wenn das Terminal im Garten gerade kein Netz hat.

## Ein kleiner Fluss mit vielen Ufern

Der Zahlungsfluss im Restaurant klingt simpel: Gast zahlt am Tisch, Terminal sendet, Payment-Provider verarbeitet, Kasse bekommt das Okay, später folgt der Tagesabschluss.

Nur hat dieser kleine Fluss viele Ufer.

Läuft das Terminal über WLAN oder Mobilfunk? Ist das Gast-WLAN getrennt von Kasse und PMS? Werden Beträge manuell eingetippt oder automatisch aus der Kasse übernommen? Wer darf stornieren? Wer darf erstatten? Gibt es persönliche Logins oder ein gemeinsames Passwort, das seit Eröffnung unter der Kassenschublade klebt?

Im Hotel wird es noch etwas dichter. PMS, Reservierung, Kreditkartengarantie, Pre-Auth, Rezeptionsterminal, F&B-Kasse, Payment-Gateway, City Ledger. Da darf keine Kartennummer in Bemerkungsfeldern landen, nur weil die Schlange am Empfang wächst.

Die beste Übung ist ein Spaziergang: Folgen Sie einer Zahlung vom Gast bis zum Abschluss. Nicht theoretisch. Wirklich. Mit Terminal in der Hand und Blick auf Kasse, Netz und Dienstleister.

## Der DBIR kommt an den Tresen

Der Verizon Data Breach Investigations Report 2026 ist kein Gastro-Handbuch. Er liefert aber ein Sicherheitslagebild, das gut ins Backoffice passt.

Verizon nennt als Top Takeaway, dass 31 Prozent der Breaches mit Software-Schwachstellen starten. Außerdem involvieren 48 Prozent aller Breaches Ransomware. Dazu verweist der Bericht auf höhere Click-Raten bei mobilen Bedrohungen.

Das klingt groß. Im Betrieb wird es klein.

Software-Schwachstelle heißt: ungepatchtes Kassensystem, altes Router-Interface, PMS-Modul, Backoffice-Tool, Lieferportal, Fernwartungssoftware. Ransomware heißt: Reservierungen weg, Check-in blockiert, Kasse lahm, Tagesabschluss schwierig. Mobile Gefahr heißt: Geschäftsführerhandy, Rezeptionsgerät, Team-App, Dienstplanlink, E-Mail mit angeblicher Provider-Nachricht.

Das ist keine dunkle Cybergeschichte. Es ist Betriebsunterbrechung mit schlechter Laune.

## Fünf Dinge vor dem ersten Sommerandrang

Vor der Terrassensaison, dem Stadtfest, dem Bankettwochenende oder der Messewoche reicht ein kleiner Payment-Rundgang. Kurz, aber ehrlich.

- **Geräte zählen:** Welche Terminals gibt es, wo liegen sie, welche Seriennummern haben sie, wer zählt sie nach der Schicht?
- **Zugänge prüfen:** Persönliche Logins statt Sammelkonten, passende Rollen für Aushilfen, Mehrfaktor-Schutz für Admins und Dienstleister.
- **Netze trennen:** Gast-WLAN nicht mit Kasse, PMS oder Payment-Netz vermischen; Router-Adminpasswort nicht im Auslieferungszustand lassen.
- **Updates klären:** Wer patcht Terminal, POS, PMS, Router und Backoffice-Software, und wann wurde zuletzt geprüft?
- **Offline-Regel festlegen:** Was passiert bei Funkloch oder Ausfall, ohne Kartendaten auf Papier, im Chat oder in E-Mails zu sammeln?

Das ist keine vollständige PCI-Beratung. Für Validierung, SAQ, Acquirer-Vorgaben und technische Details braucht es Payment-Dienstleister, Acquirer oder qualifizierte Beratung.

Aber dieser Rundgang trennt oft schon „läuft halt“ von „wir wissen, wie es läuft“.

## Fernwartung mit Türgriff

Fernwartung ist ein Segen, wenn samstags der Bondrucker streikt oder die Kasse sich weigert, mit dem Terminal zu sprechen. Ein Dienstleister, der schnell helfen kann, ist Gold wert.

Nur sollte Fernwartung einen Türgriff haben. Auf, wenn gebraucht. Zu, wenn erledigt.

Wer hat Zugriff? Mit welchem Konto? Für welchen Zeitraum? Wird protokolliert, wer drin war? Gibt es alte Zugänge von früheren Dienstleistern? Sind Passwörter noch dieselben wie beim Einbau?

Dauerzugänge aus Bequemlichkeit sind wie ein Seiteneingang, von dem irgendwann keiner mehr weiß, wer den Schlüssel hat.

## Payment ist Servicearbeit

Kartenzahlung ist für Gäste Service. Für Betriebe ist sie Technik, Prozess und Verantwortung.

Das muss nicht schwer werden. Es beginnt mit drei Fragen: Wer darf ran? Wo läuft es lang? Wer hält es aktuell?

Dann wird aus Payment-Sicherheit kein abstraktes IT-Thema. Sondern eine Routine wie Kassensturz, Schichtübergabe oder Terrassenbestuhlung.

Tisch 14 zahlt kontaktlos. Das darf leicht aussehen. Im Hintergrund sollte es trotzdem sauber geführt sein.
