Weltweit sichern nur eine von vier Organisationen ihre Daten von Zahlungskarten ausreichend

Der Verizon Business Payment Security Report 2020 (PSR) erkennt fehlende langfristige Sicherheitsstrategien von Führungskräften als Grund für den Rückgang der Compliance im dritten Jahr in Folge + Nur 27,9 Prozent der globalen Organisationen erreichen vollständige Compliance beim Payment Card Industry Data Security Standard (PCI DSS) + Seit dem Jahr 2016 (PSR Report 2017) verringerte sich dieser Wert um 27,5 Prozentpunkte + Als Ursache gelten fehlende langfristige Strategien und mangelndes Engagement von Führungskräften + Der Verizon Business Payment Security Report ist im zehnten Jahr erschienen

Weltweit gefährden Organisationen weiterhin die Kundendaten zu Zahlungskarten aufgrund fehlender Strategien für die Zahlungssicherheit sowie eine mangelnde Durchsetzung. Das zeigt der jetzt veröffentlichte Verizon Business Payment Security Report 2020 (PSR 2020). Da viele Organisationen Mühe haben, qualifizierte Chief Information Security Officers (CISOs) oder Security Manager an sich zu binden, beeinträchtigt das mangelnde langfristige Sicherheitsdenken die nachhaltige Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) erheblich.

Zahlungsdaten sind nach wie vor eines der begehrtesten und lukrativsten Ziele für Cyberkriminelle. In neun von zehn Fällen haben Cyberangriffe finanzielle Motive, wie der jüngste Verizon Business Data Breach Investigations Report 2020 (DBIR 2020) zeigt. Allein im Einzelhandel konzentrierten sich 99 Prozent der im DBIR 2020 analysierten Sicherheitsvorfälle auf die Beschaffung von Zahlungsdaten.

Der PSR 2020 stellt fest, dass im Durchschnitt nur 27,9 Prozent der Organisationen weltweit den PCI DSS vollständig einhalten. Dieser Standard wurde entwickelt, um Zahlungssysteme vor Kompromittierungen und dem Diebstahl von Karteninhaberdaten zu schützen. Noch kritischer ist, dass die Einhaltung von PCI DSS das dritte Jahr in Folge zurückgegangen ist. Seit der Bestmarke im Jahr 2016 (vorgestellt im PSR 2017) ist die Quote um 27,5 Prozentpunkte gesunken.

„Leider sehen wir, dass vielen Unternehmen die Ressourcen und das Engagement ihrer Führungskräfte fehlt, um langfristige Initiativen für Datensicherheit und Compliance umzusetzen. Das ist nicht akzeptabel“, sagt Sampath Sowmyanarayan, President, Global Enterprise bei Verizon Business. „Durch die Coronavirus-Pandemie sind viele Verbraucher vom traditionellen Bezahlen mit Bargeld zu kontaktlosen Methoden wie Zahlungskarten sowie mobilen Geräten gewechselt. Dies hat zu mehr elektronischen Zahlungsdaten geführt und die Verbraucher vertrauen darauf, dass Unternehmen ihre Informationen schützen. Zahlungssicherheit muss für alle Unternehmen, die Zahlungsdaten verarbeiten, eine fortlaufend hohe Priorität haben. Die Organisationen haben eine grundlegende Verantwortung gegenüber ihren Kunden und Lieferanten sowie den Verbrauchern.“

Weitere Ergebnisse des 2020 PSR rücken Sicherheitstests in den Fokus: nur etwas mehr als die Hälfte der Organisationen (51,9 Prozent) testet erfolgreich ihre Sicherheitssysteme und -prozesse sowie unüberwachte Systemzugriffe, während etwa zwei Drittel aller Unternehmen den Zugriff auf geschäftskritische Systeme angemessen kontrollieren und überwachen. Darüber hinaus verfügen nur sieben von zehn Finanzinstitutionen (70,6 Prozent) über die notwendigen Perimeter-Sicherheitskontrollen.

„Dieser Report ist ein willkommener Weckruf und zeigt, dass Organisationen mehr Führungsstärke benötigen, um die Versäumnisse bei der Handhabung von angemessener Zahlungssicherheit zu beheben. Die Untersuchung von Verizon Business deckt sich mit der Einschätzung der Marktanalysten von Omdia, dass die Abstimmung der Sicherheitsstrategie mit der Unternehmensstrategie für Organisationen unerlässlich ist, um Compliance zu erreichen, in diesem Fall von PCI DSS 3.2.1., und so ein angemessenen Maß an Zahlungssicherheit zu erreichen. Der Report macht deutlich, dass langfristige Datensicherheit und Compliance in die Verantwortlichkeiten verschiedener Führungsrollen fallen, darunter die des Chief Information Security Officers, des Chief Risk Officers und des Chief Compliance Officers“, kommentiert Maxine Holt, Senior Research Director bei Omdia (früher bekannt als Ovum).

Mangelhafte Compliance wirkt sich auf Unternehmen aller Größe aus

Kleine und mittlere Unternehmen stehen vor ihren eigenen Herausforderungen bei der Sicherung von Zahlungsdaten. Zwar müssen kleinere Unternehmen in der Regel weniger Kartendaten verarbeiten als größere Organisationen, dafür verfügen sie auch über weniger Ressourcen und geringere Security-Budgets. Dies wirkt sich auf die Ressourcen aus, die für die PCI DSS-Einhaltung zur Verfügung stehen. Häufig werden die für den Schutz sensibler Zahlungskartendaten erforderlichen Maßnahmen von kleineren Unternehmen als zu zeitaufwendig und kostspielig empfunden. Da jedoch die Wahrscheinlichkeit einer Datenkompromittierung diesen Organisationen weiterhin hoch ist, muss die Einhaltung des PCI DSS zwingend realisiert werden.

Herausforderungen für CISOs

Der Report untersucht auch die Herausforderungen, die CISOs bei der Gestaltung, Implementierung und Einhaltung einer effektiven und nachhaltigen Sicherheitsstrategie bewältigen müssen, und wie diese zum Scheitern des Compliance- und Sicherheitsmanagements führen können. Es handelt sich nicht um technologische Probleme, vielmehr sind sie auf organisatorische Schwächen zurückzuführen und könnten durch stärkere Führungsqualitäten gelöst werden. Dazu gehören die Entwicklung formalisierter Prozesse und eines Geschäftsmodells für Sicherheit sowie die Definition einer soliden Sicherheitsstrategie mit Betriebsmodellen und Rahmenwerken.

Über den Verizon Business Payment Security Report 2020

Verizon veröffentlicht den Payment Security Report (PSR) seit 2010. Dies ist die erste Untersuchung, die den tatsächlichen Wert und die Leistungsfähigkeit des Payment Card Industry Data Security Standard (PCI DSS) untersucht. Der Report basiert auf globalen Daten, die von qualifizierten Sicherheitsgutachtern (Qualified Security Assessors, QSAs) für den PCI DSS von Verizon sowie von fünf externen Unternehmen stammen.

Weitere Informationen, wie Verizon Business helfen kann, sind hier verfügbar.

https://enterprise.verizon.com/products/security/security-advisory-services/payment-card-industry-compliance/