Sie sind hier: Home » Markt » Studien, Umfragen, Untersuchungen

PCI-Compliance mangelhaft

Eine Umfrage zeigt, dass Unternehmen weiterhin damit ringen, Daten von Kundenkreditkarten zu schützen
55 Prozent schützen weder Sozialversicherungs-, Führerscheinnummern noch Bankkontendetails

(01.10.09) - Imperva und das Ponemon Institute gaben die Ergebnisse einer Umfrage von mehr als 500 U.S. und multinationale IT-Sicherheitspraktiker bekannt, welche aufzeigen, dass trotz des Datensicherheitsstandards (Data Security Standard - DSS) der Kreditkartenbranche (Payment Card Industry - PCI) Unternehmen noch immer mit der Datensicherheit ringen, was dazu führt, dass Konsumenten dem Risiko des Datendiebstahls weiterhin ausgesetzt werden.

Tatsächlich geben 71 Prozent der befragten Unternehmen zu, Datensicherheit nicht als oberste strategische Initiative zu befolgen, und 55 Prozent geben zu, nur die Kreditkarteninformation abzusichern und nicht die sensiblen Informationen wie z.B., Sozialversicherungs-, Führerscheinnummer und Bankkontendetails. Die Umfrage ergab jedoch auch, dass Unternehmen, die einen strategischen Ansatz zur PCI-Einhaltung einnehmen, weniger Datenmissbrauchsfälle erfahren. Basierend auf diesen Ergebnissen bietet Imperva spezifische Empfehlungen für Konsumenten, Unternehmen und dem PCI-DSS-Beirat zur Sicherheitsverbesserung persönlicher Daten der Konsumenten.

Der PCI-DSS-Standard wurde in Kraft gesetzt, um alle mit Kreditkarteninformationen arbeitenden Unternehmen, Sicherheitsrichtlinien zu geben, um damit Konsumenten besser zu schützen. Seit der Einführung im Juni 2005 sind die Anzahl der Datenmissbräuche und der Umfang des Kreditkartenbetrugs stetig gestiegen.

Gemäß der Umfrage von mehr als 500 U.S.- und multinationalen IT-Sicherheitspraktikern bei Unternehmen mit einem durchschnittlichen Jahresumsatz von 5,6 Milliarden US-Dollar sind:

>> 71 Prozent der Befragten behandeln PCI nicht als eine strategische Initiative, aber 79 Prozent haben eine Datensicherheitsverfehlung mit dem Verlust oder Diebstahl von Kreditkarteninformationen erfahren.
>> 55 Prozent der Umfrageteilnehmer fokussieren nur auf die Absicherung der Kreditkarteninformationen und versuchen nicht sensible Informationen wie z.B. Sozialversicherungs-, Führerscheinnummer Bankkontendetails und andere personenbezogene und familiäre Daten zu schützen
>> 60 Prozent der Teilnehmer sind der Meinung, dass sie nicht ausreichende Ressourcen hätten, um den PCI einzuhalten und den notwendigen Sicherheitsgrad für die Kartenhalter herbeizuführen.

"Niemand betreibt ein Unternehmen, um 'compliant' zu sein. Aber der Silberstreifen dieser Umfrage ist: Wenn man Konsumenten schützt, wie im PCI-DSS-Standard gefordert, dann besteht eine unglaublich große Gelegenheit, die Sicherheitslage insgesamt zu verbessern" ,sagte Shlomo Kramer, CEO von Imperva.

"Sicherheitsabteilungen setzen die PCI-Einhaltung als Hebel ein, um mehr Budget zu erhalten, aber diese Ressourcen ergeben nicht immer eine größere Sicherheit für sensible Kundendaten" sagte Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes, LLC. "Die Ergebnisse unserer Umfrage deuten darauf hin, dass während einige Unternehmen herausgefunden haben, wie sie den PCI-Standard in ein übergreifendes Sicherheitsmandat umwandeln können – viele haben dieses jedoch noch nicht realisiert."

Kleinere Unternehmen ringen am meisten
Die Umfrage zeigte, dass nur 28 Prozent der kleineren Unternehmen (mit 501-1000 Mitarbeitern) PCI einhalten, im Gegensatz zu 70 Prozent bei den größeren Unternehmen (mit 75.000 oder mehr Mitarbeitern).

"Unternehmen verwenden im Durchschnitt 35 Prozent des IT-Sicherheitsbudgets für die Einhaltung des PCIs. Dadurch sind die Kosten eine signifikante Hürde, insbesondere für kleine Unternehmen", erklärte Amichai Shulman, CTO von Imperva. "Aus diesem Grund empfiehlt Imperva dem PCI-DSS-Beirat die Anforderungen für größere und kleinere Unternehmen anzupassen, um die unterschiedlichen Umgebungen und Sicherheitsbedürfnisse zu berücksichtigen."

"Die PCI-Sicherheitsstandards und die Kreditkartenmarken müssen den PCI-DSS aktualisieren, so dass es auf Risiken basiert, die der Systemkonfiguration des einhaltenden Unternehmens entsprechen. Der ‘Einheitsansatz’ des derzeitigen Standards bürdet vielen Unternehmen unrealistische Anforderungen auf. Selbst wenn diese Unternehmen einfache Netzwerke oder Sicherheitstechnologien eingeführt haben, die im PCI-Standard nicht enthalten sind, aber den selben oder einen besseren Schutzgrad bieten," sagte Avivah Litan, Vice President und Distinguished Analyst bei Gartner Research in dem Bericht vom Mai 2009, "Moving Beyond PCI at Visa’s Global Security Summit.” (Über PCI hinaus beim globalen Sicherheitsgipfel von VISA).

Unternehmen die einen strategischen Ansatz für die PCI-Einhaltung wählen, erfahren weniger Datenmissbrauchsfälle
Der PCI-DSS-Standard hat das Potenzial für eine starke Auswirkung auf konzernweite IT-Sicherheitsinitiativen. Die Umfrage zeigt, dass 27 Prozent der Unternehmen glauben, dass die Einhaltung des PCI-DSS einen positiven Einfluss auf die Sicherheitslage der Organisation hat. Diese haben einen strategischen Ansatz zur Einhaltung eingenommen. In der Tat, Unternehmen, die PCI vollständig einhalten, erfahren weniger Missbrauchsfälle als die Unternehmen, die nicht "Compliant" sind. Jedoch die Mehrheit der Teilnehmer (73 Prozent) hat die PCI-Einhaltung durch einen einfachen Checklisten-Ansatz erreicht.

Die Empfehlungen von Imperva an Konsumenten, Unternehmen und den PCI-DSS-Beirat
Um mit dem Abgabetermin am 31. Oktober für Empfehlungen zur Änderung des PCI-DSS-Standards übereinzustimmen, bietet Imperva Empfehlungen an Konsumenten, Unternehmen und dem PCI-DSS-Beirat.

Für den PCI-DSS-Beirat:
>> Ein "PCI compliant"-Logo für Konsumenten einzuführen. Derzeit können Unternehmen ihre Sicherheitsaufwendungen an Konsumenten nicht artikulieren und Konsumenten sind sich des Einhaltungsstatus der Einzelhändler mit dem sie Geschäfte machen nicht bewusst. Folglich können Unternehmen ihre Investition in der PCI-Einhaltung nicht einsetzen, um wirtschaftliche Vorteile zu erzielen.
>> Die Einhaltungsanforderungen für kleinere und größere Unternehmen anzupassen. Kleinere Unternehmen benötigen einen angepassten Standard, welcher unterschiedliche Umgebungen und Sicherheitsbedürfnisse berücksichtigt.

Empfehlungen für die Konsumenten
Ausschau nach PCI einhaltenden Unternehmen zu halten — generell haben Unternehmen, die den PCI einhalten weniger Datenmissbrauchsfälle. Obwohl die PCI-Einhaltung perfekte Sicherheit nicht garantieren kann.
Empfehlungen für Unternehmen
>> Verwenden Sie PCI, um einen breitgefächertes, effektiveres Sicherheitsprogramm einzuführen.
>> Verwenden Sie PCI, um IT-Sicherheit dem Top-Management näher zu bringen und sie darin zu involvieren. PCI ermöglicht einen Geschäftsplan, welches eng mit der Informationssicherheit verbunden ist.
>> Benennen Sie einen eindeutigen Verantwortlichen, der sowohl PCI als auch Sicherheit vorantreibt, der bevollmächtigt ist eine Mehrzahl von Support-Teams anzuweisen. Ohne einen eindeutigen Verantwortlichen werden Sicherheit und Einhaltung leiden.
(Imperva: ra)

Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Studien

Lösungsansätze gegen den GenAI-Gender Gap
Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.
Rote Linien für die zukünftige Nutzung von KI
Laut einer aktuellen Studie von NTT Data droht eine Verantwortungslücke die durch KI möglich gewordenen Fortschritte zu untergraben. Mehr als 80 Prozent der Führungskräfte räumen ein, dass Führungsfähigkeiten, Governance und die Bereitschaft der Mitarbeitenden nicht mit den Fortschritten der KI mithalten können. Das gefährdet Investitionen, Sicherheit und das Vertrauen der Öffentlichkeit.
Europas Sanktionslandschaft
Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt - ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.
Absicherung unternehmerischer Entscheidungen
Die zunehmende Regulierungsdichte mit immer neuen Vorschriften erschwert Vorständen und Aufsichtsräten die rechtliche Einschätzung unternehmerischer Entscheidungen und bremst unternehmerisches Handeln. Das Deutsche Aktieninstitut und die Anwaltskanzlei Gleiss Lutz haben die Studie "Absicherung unternehmerischer Entscheidungen - Entscheidungsfindung in unsicheren Zeiten" veröffentlicht.
Herausforderung: Datenschutz & geteilte Geräte
Die Digitalisierung schreitet in der Transport- und Logistikbranche stetig voran und macht Prozesse innerhalb der Lieferkette immer transparenter und damit nachvollziehbarer. So kam die jüngste Studie "Digitale Innovationen: Was die Transport- und Logistikbranche jetzt braucht" von SOTI zu dem Ergebnis, dass sich 80 Prozent (weltweit 78 Prozent) der deutschen Arbeitnehmenden im T&L-Bereich durch die technische Nachverfolgbarkeit von Waren, für die sie im Rahmen ihrer Tätigkeit Verantwortung tragen, sicherer fühlen. Gleichzeitig empfinden jedoch 61 Prozent das Tracking dienstlicher Geräte als Eingriff in ihre Privatsphäre (weltweit 55 Prozent).

Datenqualität und Compliance im Finanzsektor Datenschutz für gespeicherte Informationen