- Anzeigen -

Untersuchung über Einhaltung der PCI-Compliance


Neue Studie zeigt: "PCI Security Compliance"-Anforderungen sind für viele Unternehmen noch eine Herausforderung
Untersuchung: Datenmissbrauch und Sicherheitslücken bei bargeldlosem Zahlungsverkehr gehen Hand in Hand


(12.10.10) - Diebstähle von Kreditkarteninformationen sind nach wie vor an der Tagesordnung. Der jetzt zum ersten Mal erscheinende "Payment Card Industry Compliance Report" von Verizon Business verdeutlicht jedoch, dass derartige Vorfälle durch die strikte Einhaltung der branchenüblichen Sicherheitsstandards verhindert werden könnten.

Der PCI-Report untersucht die Compliance, die Einhaltung des sogenannten "Payment Card Industry Data Security Standard" (PCI DSS). Diese Richtlinien wurden 2006 ins Leben gerufen, um den bargeldlosen Zahlungsverkehr sicherer zu gestalten, die Daten von Karteninhabern zu schützen und Kreditkartenbetrug so gut es geht zu reduzieren.

Die Verizon-Ermittler fanden heraus, dass bei der Hälfte aller untersuchten Firmen, die Opfer von Datenmissbrauch wurden, die Einhaltung des PCI-Standards nicht gewährleistet war. Auch konnten während der Untersuchung nur 22 Prozent der Unternehmen überhaupt die PCI-Compliance nachweisen.

Neben einer Bewertung der Wirksamkeit des PCI DSS führt der Bericht die häufigsten Angriffsmethoden auf und gibt demnach Empfehlungen wie Unternehmen PCI-Compliance erreichen und auch langfristig halten.

Der Compliance-Report baut auf den Erkenntnissen von "PCI DSS-Gutachten" auf, die 2008 und 2009 von einem Verizon Business Team aus sogenannten "PCI Qualified Security Assessors" (QSAs) durchgeführt wurden. Ergänzt werden die Ergebnisse durch die Aufarbeitung einer Stichprobe von circa 200 Assessments. Verizon Business kann als sogenannter "Qualified Security Assessors" die Einhaltung des branchenweit geltenden PCI DSS in Unternehmen prüfen (Audits) und bewerten.

Der PCI-Standard wird kontinuierlich vom PCI Council, dem Gremium für Sicherheitsstandards und deren Einhaltung, auf den neuesten Stand gebracht.

"Der Verizon Payment Card Industry Compliance Report gibt Unternehmen erstmals einen umfassenden Einblick in die aktuelle Situation bei PCI-Compliance. Es wird speziell darauf verwiesen, welche Anforderungen am schwierigsten zu erfüllen sind", sagt Peter Tippett, Vice President of Technology and Innovation bei Verizon Business. "Der Bericht hilft Unternehmen, informierter und effizienter an die PCI-Compliance heranzugehen. Letzten Endes haben wir das gleiche Ziel wie die gesamte Branche: weniger Datenmissbrauch bei Karten für den bargeldlosen Zahlungsverkehr."

Die wichtigsten Erkenntnisse
Die Ergebnisse verdeutlichen, dass die Einhaltung der PCI-Anforderungen die Wahrscheinlichkeit des Datenmissbrauchs reduzieren kann. Für einen tiefergehenden Einblick haben die Autoren auch Informationen aus Fällen von Datenverletzungen im Zusammenhang mit Zahlungskarten, die im Rahmen des "Verizon 2010 Data Breach Investigations Report“ (DBIR) analysiert wurden, aufgenommen. Die gesammelten Daten wurden auf Gemeinsamkeiten hin untersucht.

Die wesentlichen Erkenntnisse auf einen Blick:

>> Lediglich 22 Prozent der Unternehmen erfüllen direkt die Compliance-Richtlinien. Zum Zeitpunkt des "Initial Report on Compliance", wenn also die QSAs von Verizon Business erstmals ein Unternehmen im Hinblick auf die Einhaltung der Richtlinien prüfen, erfüllen die wenigsten die Anforderungen. Die Mehrheit derjenigen, die eine vollständige Einhaltung vorweisen konnten, war mit dem Verfahren bereits vertraut oder musste nicht sämtliche Anforderungen erfüllen.

>> Trotzdem: Compliance ist machbar. 78 Prozent der Unternehmen erfüllen zunächst nicht die Bestimmungen. Doch zeigen die Erkenntnisse, dass Firmen im Schnitt zu 81 Prozent die vom PCI geforderten Verfahren beherrschen. Drei Viertel aller Firmen bestanden mindestens 70 Prozent der Tests. Mit etwas mehr Aktivität und verstärkter Sorgfalt sollte ihnen also die vollständige Compliance möglich sein. Nur 11 Prozent der Unternehmen bestanden zum Zeitpunkt ihrer ersten Überprüfung weniger als die Hälfte der Testverfahren.

>> Bei Unternehmen, die von einem Datendiebstahl betroffen war, ist die Wahrscheinlichkeit der Compliance und der längerfristigen Einhaltung um 50 Prozent geringer. Zum Abschluss einer forensischen Untersuchung im Falle eines Datendiebstahls bewerten die Ermittler von Verizon Business, bis zu welchem Grad das betroffene Unternehmen die PCI-Bestimmungen einhält.

Durch den Vergleich dieser Werte mit den offiziellen PCI-Assessments konnten die Analysten feststellen, dass bei betroffenen Unternehmen die Wahrscheinlichkeit der Compliance 50 Prozent geringer ist als bei anderen Firmen. Die Erkenntnisse lassen darauf schließen, dass PCI-Compliance auch zum Schutz vor Datendiebstählen beitragen kann.

>> Direkter Zusammenhang zwischen Datendiebstählen und Schwierigkeiten bei der Erfüllung bestimmter PCI-Anforderungen. Zwölf Voraussetzungen, die den PCI DSS ausmachen, beziehen sich auf Bereiche, die auch dem DBIR zufolge äußerst anfällig sind für Sicherheitsverletzungen: Schutz gespeicherter Daten, Nachverfolgung und Überwachung des Zugangs zu Netzwerk-Ressourcen und Karteninhaberdaten sowie regelmäßige Tests von Sicherheitssystemen und Sicherheitsprozessen. Genau hier haben Unternehmen die meisten Schwierigkeiten, PCI-Compliance zu erreichen.

Die Richtlinien beziehen sich auf die häufigsten Angriffsmethoden
Durch gemeinsame Auswertung der PCI-Assessment-Daten und der Analysen von Datendiebstählen wurde eine Rangfolge der beliebtesten Angriffsmethoden auf Zahlungskartendaten aufgestellt: Malware und Hacking (25 Prozent), SQL Injections (24 Prozent) und Nutzung von Standard- oder leicht zu erratenden Zugangsdaten (21 Prozent).

Der Bericht kommt zu dem Schluss, dass die PCI-Anforderungen die verbreitetsten Angriffsmethoden abdecken. In verschiedenen Fällen bedient sich der Standard mehrerer Kontrollebenen.

"Nach unseren Erkenntnissen kann die Einhaltung der PCI DSS-Anforderungen Unternehmen dabei unterstützen, mögliche Sicherheitsbedrohungen zu erkennen, zu verhindern oder abzuwehren", fügt Tippett hinzu.

Empfehlungen
Zu den Best Practices von PCI DSS-konformen Unternehmen gehören:

>> Sicherheit einbauen: Sicherheit muss von Anfang an in die geschäftlichen Abläufe integriert und darf nicht erst später ergänzt werden. Dadurch müssen Unternehmen weniger Ressourcen aufwenden und Compliance-Maßnahmen haben einen größeren Nutzen.

>> Compliance und Sicherheit nicht trennen: Unternehmen, die Compliance und Sicherheit aneinander ausrichten und verbinden, erreichen eher die Konformität mit Sicherheitsbestimmungen wie dem PCI DSS. Solche Unternehmen haben oft auch ein Team, das gleichermaßen für Compliance und Sicherheit verantwortlich ist; sollten es zwei sein, arbeiten diese eng zusammen.

>> Compliance als kontinuierlichen Prozess, nicht als einmaliges Ereignis behandeln: Als Unternehmen sollte man PCI-Maßnahmen in den geschäftlichen Alltag einbinden. Wer PCI lediglich als monatliches, vierteljährliches oder gar jährliches Projekt ansieht, öffnet Problemen Tür und Tor.

>> Daten zeitnah überwachen: "Scope creep" – ein Phänomen, bei dem Unternehmen in dem Versuch, Compliance zu gewährleisten, quasi über das Ziel hinaus schießen – ist ein häufiges Problem im Rahmen von Assessments. Letztlich geht es um das Auffinden von Daten, das Nachverfolgen und Verwalten. Je größer der Umfang von Assessments, desto kostspieliger und schwieriger sind sie in der Durchführung.
(Verizon Business: ra)

Verizon Business: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Die wenigsten regeln digitalen Nachlass

    Was passiert mit dem eigenen Interneterbe nach dem Tod? Für viele Internetnutzer ist das unklar. Nur eine Minderheit regelt den digitalen Nachlass zu Lebzeiten, beschäftigt sich also damit, was nach dem Tod mit den eigenen digitalen Daten geschehen soll, etwa mit den Social-Media-Profilen oder dem E-Mail-Konto. So sagen acht von zehn Internetnutzern (80 Prozent), dass sie ihren digitalen Nachlass noch überhaupt nicht geregelt haben. Dabei zeigt sich vor allem die jüngste und die älteste Generation relativ unbedarft. 88 Prozent der 14- bis 29-Jährigen und 96 Prozent der Generation 65 Plus, die im Internet aktiv sind, haben sich um ihren digitalen Nachlass noch überhaupt nicht gekümmert. Das zeigt eine repräsentative Umfrage, die der Digitalverband Bitkom in Auftrag gegeben hat. Immerhin 9 Prozent haben ihren digitalen Nachlass bislang wenigstens teilweise geregelt, weitere 9 Prozent haben ihn vollständig geregelt.

  • Bei Datenverlusten den Überblick behalten

    Viele Unternehmen weltweit sind der Meinung, die Pflichten aus der EU-Datenschutzgrundverordnung (DSGVO, Engl. General Data Protection Regulation GDPR) bereits abzudecken. Sie liegen falsch. Das ist eines der Ergebnisse einer Umfrage von Veritas Technologies. Der "Veritas 2017 GDPR Report" zeigt: Weltweit erklärte fast ein Drittel (31 Prozent) der Befragten, das eigene Unternehmen erfülle die wichtigsten Regelungen der Verordnung längst. Als dieselben Firmen nach spezifischen Regelungen aus der DSGVO befragt wurden, sahen sie bei sich allerdings Nachholbedarf, so dass sie sehr wahrscheinlich nicht compliant sind. Berücksichtigt man auch diese Antworten, sind unter dem Strich nur noch zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet.

  • Flickenteppich beim Datenschutz

    Konsistenter Datenschutz ist der Schlüssel zum Erfolg für die europäische Internetwirtschaft. Gleichzeitig stärkt er das Vertrauen der Bürger in die digitale Welt und Geschäftsmodelle. Ein gemeinsames europäisches Datenschutzrecht ist deshalb ein Standortvorteil im Wettbewerb um die digitalen Märkte der Zukunft und ein wichtiger Schritt für Europa. Laut einer aktuellen repräsentativen Umfrage, die das Meinungsforschungsinstitut YouGov im Auftrag von eco - Verband der Internetwirtschaft e.V. im Juli 2017 durchgeführt hat, sind jedoch 46 Prozent der deutschen Unternehmensentscheider der Meinung, dass Unternehmen in Deutschland aufgrund der aktuell bestehenden Datenschutzregeln im Vergleich zu anderen Ländern (z.B. England, USA) noch immer einem Wettbewerbsnachteil in der digitalen Welt ausgesetzt sind.

  • Social Media entwickelt sich extrem schnell weiter

    Social Media ist in mehr als jedem dritten Unternehmen (37 Prozent) Chefsache. Häufig werden die Aufgaben aber auch an die Marketing-Abteilung delegiert (57 Prozent). So lautet das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom. Demnach kümmert man sich vor allem in kleineren Unternehmen mit weniger als 100 Beschäftigten die Geschäftsleitung um den Auftritt in Sozialen Netzwerken (49 Prozent). Dass jede Abteilung für sich oder aber die PR-Abteilung die Sozialen Netzwerke betreut, ist dagegen eher die Ausnahme. "Je größer ein Unternehmen ist, desto mehr Möglichkeiten hat es, den Auftritt in den Sozialen Netzwerken von eigenen, speziell dafür ausgebildeten Mitarbeitern betreuen zu lassen. Wichtig ist aber auch dann, dass die Chefetage eingebunden bleibt", sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. "Social Media ist integrierter Teil des Unternehmensleitbildes und muss deshalb auch aus Vorstand oder Geschäftsführung voll und ganz unterstützt, gelebt und strategisch vorangetrieben werden."

  • Markt für virtuelle Kraftwerkprogramme

    Die steigende Anzahl an dezentralen Energieerzeugungsanlagen (engl. distributed energy resources, DERs) auf der ganzen Welt öffnet den Markt für virtuelle Kraftwerkprogramme (engl. virtual power plant, VPP). Trotz der großen Zahl an Solar- und Windkraftanlagen verläuft die Energieerzeugung unregelmäßig und schafft damit den Bedarf für eine Lösung, das Netz in Phasen geringer Solar- bzw. Windkraft auszubalancieren. Derzeit nutzen Versorgungsunternehmen Lösungen mit virtuellen Kraftwerken zur Integration von Solar-Dachanlagen, Windturbinen und Aggregate (Diesel und Gas) sowie Batterien. Mehr Aufmerksamkeit für virtuelle Kraftwerke ermutigt Versorgungsunternehmen, Elektrofahrzeuge und Ladestationen sowie andere DERs in ihre Lösungen auf Basis virtueller Kraftwerke einzuschließen.