Newsfeed abonnierenDiebstähle von Kreditkarteninformationen sind nach wie vor an der Tagesordnung. Der jetzt zum ersten Mal erscheinende „Payment Card Industry Compliance Report“ von Verizon Business verdeutlicht jedoch, dass derartige Vorfälle durch die strikte Einhaltung der branchenüblichen Sicherheitsstandards verhindert werden könnten.
Der PCI Report untersucht die Compliance, die Einhaltung des sogenannten „Payment Card Industry Data Security Standard“ (PCI DSS). Diese Richtlinien wurden 2006 ins Leben gerufen, um den bargeldlosen Zahlungsverkehr sicherer zu gestalten, die Daten von Karteninhabern zu schützen und Kreditkartenbetrug so gut es geht zu reduzieren. Die Verizon-Ermittler fanden heraus, dass bei der Hälfte aller untersuchten Firmen, die Opfer von Datenmissbrauch wurden, die Einhaltung des PCI Standards nicht gewährleistet war. Auch konnten während der Untersuchung nur 22 % der Unternehmen überhaupt die PCI-Compliance nachweisen.
78 % der Unternehmen erfüllten zunächst nicht die Bestimmungen. Doch zeigen die Erkenntnisse, dass Firmen im Schnitt zu 81 % die vom PCI geforderten Verfahren beherrschen. Drei Viertel aller Firmen bestanden mindestens 70 % der Tests. Mit etwas mehr Aktivität und verstärkter Sorgfalt sollte ihnen also die vollständige Compliance möglich sein. Nur 11 % der Unternehmen bestanden zum Zeitpunkt ihrer ersten Überprüfung weniger als die Hälfte der Testverfahren.
Zwölf Voraussetzungen, die den PCI DSS ausmachen, beziehen sich auf Bereiche, die auch nach dem „Verizon 2010 Data Breach Investigations Report” (DBIR) zufolge äußerst anfällig sind für Sicherheitsverletzungen: Schutz gespeicherter Daten, Nachverfolgung und Überwachung des Zugangs zu Netzwerk-Ressourcen und Karteninhaberdaten sowie regelmäßige Tests von Sicherheitssystemen und –prozessen. Genau hier haben Unternehmen die meisten Schwierigkeiten, PCI-Compliance zu erreichen.
Neben einer Bewertung der Wirksamkeit des PCI DSS führt der Bericht die häufigsten Angriffsmethoden auf und gibt demnach Empfehlungen wie Unternehmen PCI-Compliance erreichen und auch langfristig halten.
Durch gemeinsame Auswertung der PCI-Assessmentdaten und der Analysen von Datendiebstählen wurde eine Rangfolge der beliebtesten Angriffsmethoden auf Zahlungskartendaten aufgestellt: Malware und Hacking (25 %), SQL Injections (24 %) und Nutzung von Standard- oder leicht zu erratenden Zugangsdaten (21 %). Der Bericht kommt zu dem Schluss, dass die PCI-Anforderungen die verbreitetsten Angriffsmethoden abdecken. In verschiedenen Fällen bedient sich der Standard mehrerer Kontrollebenen.
Der Compliance Report baut auf den Erkenntnissen von PCI DSS-Gutachten auf, die 2008 und 2009 von einem Verizon Business Team aus sogenannten PCI Qualified Security Assessors (QSAs) durchgeführt wurden. Ergänzt werden die Ergebnisse durch die Aufarbeitung einer Stichprobe von circa 200 Assessments.
1/2012
8/2011
7/2011
Alexander Hackl ist freier Journalist in Wien. Er ist Absolvent des Master- Programms „Qualitätsjournalismus“ an der Donau-Universität Krems und spezialisiert auf Technologiethemen. Seit drei Jahren ist er als Autor für den MONITOR und das Wirtschaftsmagazin FORMAT tätig. Das Hauptaugenmerk in seiner Arbeit liegt auf Informations- technologie im Kontext gesellschaftlich-wirtschaftlicher Zusammenhänge. 