Gesetz: Web-Händler müssen für sichere Kreditkarten-Transaktionen sorgen

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
In Kürze tritt der Datensicherheitsstandard der Payment-Card-Industrie (PCI DSS) in Kraft. Wer Kreditkartendaten-Informationen nicht schützt, muss mit empfindlichen Strafen rechnen.

Die zwölf neuen Richtlinien betreffen Webshop-Betreiber, News-Portale, Finanzseiten und andere Unternehmen, die Kreditkartendaten speichern, übermitteln oder abwickeln. Für kleinere Händler mit ein bis sechs Millionen Übertragungen jährlich greifen die Vorschriften ab dem 31. Dezember. Unternehmen mit mehr als sechs Millionen Transaktionen pro Jahr müssen sich bereits ab dem 30. September an den Standard halten und zudem ihre Netzsicherheit einmal pro Quartal extern prüfen lassen.

PCI DSS: das Zwölf-Punkte-Programm

Nach dem Payment Card Industry Data Security Standard haben die Händler zwölf Voraussetzungen zu erfüllen, die in sechs Kategorien eingeteilt wurden:

Aufbau und Wartung eines gesicherten Netzwerks

  • Installation und Pflege einer Firewall zur Absicherung der Daten;

  • Änderung von voreingestellten Kennwörtern und Sicherheitskonfigurationen der eingesetzten Netzwerk-Peripherie;

Datenschutz

  • prinzipieller Zugriffsschutz auf die gespeicherten Kreditkartendaten;

  • verschlüsselte Übertragung der Kreditkartendaten in öffentlichen Rechnernetzen;

Einsatz von Sicherheitslösungen

  • Einsatz und regelmäßige Updates von Virenschutzprogrammen;

  • Entwicklung und Pflege sicherer Systeme und Anwendungen;

Implementierung strenger Zugriffs-Kontrollmechanismen

  • Einschränkung von Datenzugriffen auf autorisierte Unternehmen und Institutionen;

  • Zuteilung einer einmaligen Nutzerkennung für jede Person mit Rechnerzugang;

  • Beschränkung des physikalischen Zugriffs auf Kreditkartendaten;

Überwachung des Netzwerkverkehrs

  • Protokollierung und Prüfung aller Datenzugriffe;

  • Regelmäßige Prüfung der Sicherheitssysteme und –prozesse;

Verbindliche Sicherheitspolicies

  • Installation von unternehmensweit einheitlichen Sicherheitsrichtlinien.

Dass ein einheitlicher Sicherheitsstandard notwendig ist, zeigen die steigenden Umsatz- und Käuferzahlen im Internet. Nach Angaben des Bundesverbandes der Digitalen Wirtschaft (BVDW) gab es 2006 allein in Deutschland über 27 Millionen Online-Shopper. Mit den neuen Richtlinien will die Kreditkarten-Industrie den Diebstahl von Kunden- und Kreditkartendaten eindämmen und das Vertrauen der Kunden in elektronische Bezahlsysteme erhöhen.

Geldstrafen und Ausschluss drohen

Wer die zwölf Regeln nicht befolgt, muss mit Strafen rechnen. Unter anderem sollen für jeden Kreditkartendatensatz, der aufgrund mangelhafter Einhaltung des DSS kompromittiert werden konnte, fünf Euro Bußgeld fällig werden. Wenn ein einziger Angriff auf unzureichend geschützte Daten eines oder mehrerer Kunden zusammen mehr als 100.000 Euro kostet, wird eine zusätzliche Strafgebühr fällig. Dem Händler drohen darüber hinaus Einschränkungen bis hin zum dauerhaften Ausschluss vom Kreditkartenprogramm bei Anbietern wie Visa und Mastercard. Alle Strafen setzen allerdings zunächst voraus, dass ein Missbrauchsfall eintritt – sie greifen nicht bei der bloßen Nichteinhaltung der neuen Richtlinien.

Wirtschaft reagiert geteilt

In Analystenkreisen ist man geteilter Meinung über den neuen Standard. Avivah Litan von Gartner sieht die eng gefassten Vorschriften zwar positiv, da sie wenig Raum zur Interpretation ließen. Dennoch sei es für Großkonzerne beinahe unmöglich, Millionen Datensätze dermaßen strikt gegen alle Eventualitäten abzusichern. Darüber hinaus verlören zahlreiche Großhändler nach Auffassung Litans ihre wirtschaftliche Unabhängigkeit, wenn sie verpflichtet würden, externe Sicherheits-Auditoren zu beschäftigen. Die geeigneten Prüfer arbeiteten nämlich zumeist in den Unternehmen, die auch die Hard- und Softwarelösungen zur Einhaltung des Standards vertrieben.

Bob Russo, Geschäftsführer des PCI Security Standard Council, das die Einhaltung der Standards überwacht, zieht hingegen ein überwiegend positives Fazit der ersten Reaktionen aus der Industrie: "Einige Händler wollen genaue Vorschriften serviert bekommen. Diesen Wunsch erfüllen wir ihnen mit dem DSS. Andere hatten die Standards bereits vorher erfüllt und werden von unseren Richtlinien nicht weiter berührt."

Termineinhaltung bleibt ungewiss

Ob der PCI Data Security Standard wie geplant zum 30. September respektive 31. Dezember tatsächlich weltweit in Kraft treten kann, ist aber noch nicht sicher: Das Kreditkarten-Unternehmen Visa meldete erst vergangene Woche aus Kanada, dass die großen Online-Händler dort Probleme bekämen, die Richtlinien rechtzeitig bis Ende des Monats umzusetzen. Dennoch hält man in Kanada bislang an den gesetzten Terminen fest.