Newsfeed abonnierenIm Rahmen der Studie, die vom Ponemon-Institut durchgeführt wurde, wurde in den vergangenen zwei Jahren die Einhaltung der Richtlinien und den Effekt auf Datenschutz und Sicherheit bei 670 US-amerikanischen und multinationalen IT-Security-Anwendern untersucht. Der aktuelle Bericht zeigt auf, dass Unternehmen, die den PCI-Standard einhalten, weniger oder keinen Datenverlust erleiden.
Bei 64 % der richtlinienkonformen Unternehmen im Bereich Kreditkartendaten zeigten sich keine Datenverluste, während nur 38 % der nicht-richtlinienkonformen Firmen absolut sichere Daten aufwiesen. Im Bereich genereller Datenverluste zeigten 63 % der richtlinienkonformen Unternehmen höchstens einen Vorfall von Datenverlust – dem gegenüber stehen 22 % bei Unternehmen ohne PCI DSS-Konformität. Jedes vierte Unternehmen ohne PCI-Compliance verzeichnete im gleichen Zeitraum mehr als fünf Vorfälle.
Die statistischen Ergebnisse der Studie stehen jedoch in hartem Gegensatz zu den Einschätzungen der befragten Experten. Obwohl die Studie einen positiven Effekt der Richtlinien für die Datensicherheit deutlich belegt, glauben 88 % der Befragten nicht an eine Verbesserung durch die Einhaltung der Richtlinien. Nur 39 % schätzten die Verbesserung der Datensicherheit als einen wichtigen Vorteil der PCI DSS ein. Gerade einmal 33 % gaben an, dass der Aufwand der Richtlinienkonformität den Nutzen ihrer Meinung nach überhaupt rechtfertigen würde.
„Wenn man die aktuellen, steigenden Zahlen der Datenverlustfälle und die dadurch verursachten Kosten betrachtet, bekommt man den Eindruck, dass viele Anwender einen unzureichenden Eindruck vom Wert der Einhaltung der PCI DSS haben“, so Larry Ponemon, Vorsitzender und Mitbegründer des Ponemon Institute.
Zwei Drittel der Befragten gaben an, ihre Richtlinienkonformität bei den PCI DSS seit der letzten Befragung verbessert zu haben. Im Jahr 2009 war die Zahl der Anwender einiger Punkte der PCI DSS nur halb so hoch wie im aktuellen Befragungszeitraum. Rund 25 % der Unternehmen hielten zu diesem Zeitpunkt allerdings nach eigenen Angaben keinen Punkt der Richtlinien ein. Dieser Wert sank im aktuellen Befragungszeitraum auf 16 %.
PCI DSS regelt innerhalb des Zahlungsverkehrs die Kreditkartentransaktionen und wird von allen wichtigen Kreditkartenanbietern unterstützt. Insgesamt definiert der Standard zwölf Anforderungen an die Netzwerksicherheit von Unternehmen, zu denen unter anderem die Installation und Pflege einer Firewall sowie auch der Schutz gespeicherter Daten der Kreditkarteninhaber gehören.
1/2012
8/2011
7/2011
Christian Henner-Fehr schreibt als freier Autor für den MONITOR und arbeitet als Trainer und Berater in den Bereichen Projektmanagement und Kommunikation. Sein Interesse gilt dem Web 2.0 und den Einsatzmöglichkeiten von Social Media in Organisationen und Unternehmen. 