2017 Verizon Payment Security Report (PSR)

Gabriel Leperlier, Head of Continental Europe Security Assurance GRC/PCI bei Verizon

Cyberkriminalität ist auf dem Vormarsch und damit steht die Sicherheit bei Kreditkarten für Unternehmen und Verbraucher gleichermaßen im Fokus. Der Payment Card Industry Data Security Standard (PCI DSS) soll Unternehmen, die Kartenzahlungen akzeptieren, dabei unterstützen, ihre Zahlungssysteme vor Datenverletzungen und damit vor dem Diebstahl von Kundendaten zu schützen. Allerdings halten viele Organisationen die langfristige Einhaltung des Standards sowie die Compliance- Richtlinien nicht ein.

Verizon hat vor kurzem seinen 2017 Payment Security Report (2017 PSR) veröffentlicht. Dieser untersucht ausführlich die Details der Zahlungssicherheit und der PCI DSS-Compliance und analysiert Compliance-Muster und Kontrollfehler aus globaler-, regionaler- und Industrie-Sicht, basierend auf realen Fällen. Darüber hinaus enthält der 2017 PSR Ergebnisse aus dem Verizon Data Breach Investigations Report (DBIR) und wird so zu einer einzigartigen Ressource für Compliance-Profis. 

Wir sprachen mit Gabriel Leperlier, Head of Continental Europe Security Assurance GRC/PCI bei Verizon, um mehr über den 2017 PSR zu erfahren.

Die gute Nachricht ist, dass die PCI DSS-Compliance zugenommen hat. Sind Sie mit den Ergebnissen des 2017 PSR zufrieden?

Insgesamt sehen wir, dass die PCI-Compliance in den globalen Unternehmen gestiegen ist. 55,4 Prozent der von Verizon untersuchten Organisationen bestanden 2016 ihre Interimsbewertung. Dies ist eine Zunahme von rund 7 Prozent gegenüber 2015, als nur 48,4 Prozent der Organisationen bei ihrer Interimsbewertung die volle Compliance erhalten haben.

Allerdings sind Organisationen verpflichtet, nicht nur die 100 Prozent-Marke des PCI DSS zu erreichen, sondern diesen Standard auch zu halten. Dies bedeutet, dass alle anwendbaren Sicherheitskontrollen kontinuierlich im Einsatz sind. Während es gut ist, die PCI-Compliance zu erhöhen, bleibt die Tatsache, dass über 40 Prozent der weltweiten Organisationen immer noch nicht mit den PCI DSS-Compliance-Standards übereinstimmen. Von denen, welche die Validierung bestehen, fallen fast die Hälfte (44,6 Prozent) innerhalb eines Jahres aus der Compliance – viele sogar noch früher.

Wie wichtig ist es für Unternehmen, die PCI DSS-Compliance aufrechtzuhalten?

Es gibt eine klare Verbindung zwischen PCI DSS-Compliance und der Fähigkeit eines Unternehmens, sich gegen Cyberattacken zu verteidigen. Unsere Ergebnisse zeigen eine Verbindung zwischen Organisationen, die mit dem Standard konform und daher in der Lage sind, sich gegen Cyberattacken zur Wehr zu setzen. Von allen Datenverletzungen, die wir untersuchten, war keine Organisation zum Zeitpunkt der Datenpanne vollständig Richtlinien-konform und zeigte nur eine Übereinstimmung mit zehn der zwölf PCI DSS-Schlüsselanforderungen.

Die Auswirkungen einer Datenverletzung können erheblich sein; nicht nur monetär, indem die Umsätze abnehmen, sondern auch resultierend in eine schwächere Markenreputation und Kundenbindung. Darüber hinaus werden sich die Strafen für unzureichende Vorsichtsmaßnahmen für viele Organisationen verschärfen und jedes Unternehmen, das in der EU tätig ist, wird künftig der neuen Allgemeinen Datenschutzrichtlinie (GDPR) unterliegen. Hierbei handelt es sich um Strafzahlungen, die dann anfallen, wenn der Schutz personenbezogener Daten, die Zahlungskartendaten enthalten, nicht gewährleistet ist. Die Höhe variiert, bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes, je nachdem, welcher Wert höher ist. 

Dies ist eine klare Botschaft an alle Unternehmen, die kartenbasierte Zahlungen anbieten. Warum gibt es noch so viele Unternehmen, die nicht PCI DSS-Compliance konform sind, obwohl sie wissen, dass dies die Sicherheit erhöhen würde?

Das Einhalten der PCI-Compliance-Validierung bedeutet nicht, dass die Systeme „sicher" sind; nur, dass es während des Beurteilungszeitraums keinen Nachweis für die Nichteinhaltung gab. Der Zeitraum beträgt in der Regel nur eine oder zwei Wochen. Auf der anderen Seite werden Sicherheitssysteme häufig täglich getestet. Die Nachhaltigkeit der PCI DSS-Standards ist keine einmalige Aktivität, sondern ein laufendes Programm. Ein Programm, das sich an die sich ändernden Anforderungen von Unternehmen und neuen Technologien anpassen muss, die vielleicht in das Geschäftsumfeld eingeführt werden.

Es ist nicht mehr die Frage nach „ob“-Daten geschützt müssen werden, sondern „wie“ ein nachhaltiger Datenschutz zu erreichen ist. Viele Organisationen betrachten PCI DSS-Kontrollen (wie z. B. Sicherheitstests, Penetrationstests usw.) immer noch isoliert und beachten dabei nicht, dass sie miteinander verknüpft sind. Viel zu oft findet das Konzept des Control Lifecycle keine Anwendung. Dies ist oft in einem Mangel an qualifizierten Inhouse-Profis begründet – aber, so zeigt es unsere Erfahrung, interne Kompetenz kann mit Hilfe der Lifecycle-Beratung von externen Experten deutlich verbessert werden.

Lassen Sie uns einen genaueren Blick auf die Ergebnisse werfen. Welche Branchen schnitten am besten ab und warum?

Wir haben festgestellt, dass die IT-Dienstleistungsbranche die höchste Compliance aller wichtigen Branchengruppen erreicht. Weltweit erreichten 2016 rund drei Fünftel und damit ca. 61,3 Prozent der IT-Dienstleistungsorganisationen die volle Compliance, gefolgt von 59,1 Prozent der Finanzdienstleistungsorganisationen einschließlich der Versicherungsgesellschaften, gefolgt vom Einzelhandel mit 50 Prozent und dem Hotel- und Gaststättengewerbe mit 42,9 Prozent.

Offensichtlich ist menschliches Versagen und der Mangel an Wissen immer noch ein zentrales Thema. Können Sie uns ein Beispiel geben, welche Art von Fehlern Ihr Team in dieser Untersuchung erlebt hat?

Unsere Erfahrungen reichen von Supervisor-Autorisierungskarten, die unter den Kassensystemen und während der freien Tage der Supervisor aufbewahrt werden, bis zur Installation von kabellos kontrollierten Fischtanks oder Kaffeemaschinen, die zu unsicheren Zugriffspunkten auf Firmennetzwerke werden. Ein anderes, reales Beispiel ist eine Finanzdienstleistungsorganisation, die sich von den PCI DSS Wi-Fi-Anforderungen befreien wollte und überrascht war, dass es in ihrem Gebäude tatsächlich ein drahtloses Netzwerk gab –  dieser Mangel an Wissen lies das Unternehmen scheitern. Der IT-Administrator war es leid, vom Server-Raum im Keller zur IT-Abteilung im dritten Stock zu laufen, und hatte deshalb einen Router für den Zugriff auf die Server auf seinem Schreibtisch installiert!

Welche Maßnahmen können Organisationen ergreifen, um ihre Anstrengungen zu optimieren?

Der 2017 PSR-Report benennt fünf wichtige Richtlinien, die beim Control-Lifecycle-Management helfen:

1. Vereinheitlichen erleichtert das Management – Immer mehr Sicherheitskontrollen zu implementieren, ist nicht immer eine Lösung. Der PCI DSS-Standard enthält bereits zahlreiche Datenschutzstandards und -richtlinien. Organisationen sollten in der Lage sein, dies zur Konsolidierung von Kontrollen zu nutzen, damit diese insgesamt einfacher zu verwalten sind.

2. In die Entwicklung von Fachwissen investieren – Es geht darum, dass Mitarbeiter Kompetenzen erlangen und weiterentwickeln, wie man die Effizienz vorhandener Kontrollen steigert, überwacht und misst.

3. Einen ausgewogenen Ansatz wählen – Unternehmen müssen für ein internes Kontrollumfeld sorgen, das robust und belastbar ist; damit vermieden wird, dass die Kontrollen irgendwann die Compliance-Bedingungen nicht mehr erfüllen. 

4. Automatisieren, was automatisiert werden kann – Bei Datenschutz mit Workflows und Automatisierung zu arbeiten, kann sich als enormer Pluspunkt erweisen. Aber auch Automatisierungen müssen von Zeit zu Zeit überprüft werden.

5. Das interne Kontrollumfeld konzipieren, betreiben und verwalten – Wie gut eine Kontrolle funktioniert, hängt direkt mit anderen vorhandenen Kontrollfunktionen zusammen. Wenn es auf der oberen Ebene ein Problem gibt, wirkt sich das auf die Performance der Kontrollen am unteren Ende aus. Dies gilt es zu bedenken, wenn man ein effektives und nachhaltiges Datenschutzprogramm aufstellen will.

Diesen Artikel empfehlen