Kreditkarten-Sicherheit PCI DSS 2015

Verizon-Report prangert Handel, Hotels und Banken an

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Annähernd drei von vier Unternehmen fallen durch, wenn es um die Einhaltung von PCI-Compliance-Vorschriften geht. Der Standard für Kreditkartenzahlungen soll Betrug im (Online-)Zahlungsverkehr verhindern, greift aber oft nicht, weil er falsch oder gar nicht umgesetzt wird.

Der 2015 PCI Compliance Report von TK-Dienstleister Verizon kommt zu dem Ergebnis, dass 71 Prozent der Unternehmen bei der Interimsbewertung ihrer PCI-Compliance schlecht abschneiden. Damit sind all diese Unternehmen anfällig für Cyberangriffe auf Kreditkartentransaktionen. In seiner vierten Auflage untersucht der Report erneut die aktuelle Situation des 2007 in Kraft getretenen PCI DSS-Standards (Payment Card Industry Data Security Standard) im Zusammenhang mit Datenverletzungen unter anderem bei Finanzdienstleistern, im Einzelhandel sowie in der Hotel- und Gaststättenbranche weltweit.

Grundlage des Reports ist eine Analyse der zwölf Anforderungen der PCI DSS, unter anderem mit einem Blick auf Compliance-Anforderungen gemäß Standard 3.0 sowie Standard 3.1, der schon bald erscheinen wird. Über einen Zeitraum von drei Jahren hat Verizon reale Unternehmensdaten (PCI Data Security Assessment) ausgewertet - die Hälfte der Daten kam aus amerikanischen Unternehmen, ein Viertel aus Europa.

20 Billionen Dollar Kreditkartenumsatz

Die Studienautoren führen aus, dass der weltweite Umsatz, der über Kreditkartenzahlung erreicht wird, in diesem Jahr voraussichtlich die Schallmauer von 20 Billionen Dollar überschreiten werde. Solch ein Volumen verlange kontinuierlich zu überprüfende Security-Standards, die auch eingehalten würden, fordert die Verizon-Autoren. Dennoch stelle man bei Compliance-Audits immer wieder fest, dass ein Großteil der Unternehmen weniger PCI-DSS-Vorgaben erfüllten, als sie müssten. Lediglich 29 Prozent der Unternehmen stimmten ein Jahr nach der letzten Prüfung noch zu 100 Prozent mit der PCI DSS überein.

Der Umsatz, der über Kreditkarten weltweit erzielt wird, steigt von Jahr zu Jahr - trotz (neuer) Payment-Services wie Paypal, Google Wallet oder Apple Pay.
Der Umsatz, der über Kreditkarten weltweit erzielt wird, steigt von Jahr zu Jahr - trotz (neuer) Payment-Services wie Paypal, Google Wallet oder Apple Pay.
Foto: svort - fotolia.com

Rudolf Simonetti, Managing Director bei Verizon Enterprise Solutions, erläutert: "Die drei Schlüsselbereiche, bei denen Organisationen durchfallen, sind regelmäßiges Testen der Sicherheitssysteme sowie Wartung und Pflege von Sicherheitssystemen und Schutz von gespeicherten Daten."

Dennoch, und das ist die gute Nachricht: Im Jahr 2014 bestanden trotz der immer noch geringen Zahl fast doppelt so viele Unternehmen die Compliance-Prüfung im Vergleich zu 2013.

Den kompletten 2015 PCI Report finden Sie unter http://vz.to/PCIR15X.