SECURITY26. September 2018

PCI DSS – Payment Security Report: Einhaltung der Richtlinien für Zahlungs­sicherheit rückläufig

Einhaltung der PCI DSS ist rückläufig
verizon

Nachdem Verizon in den letzten sechs Jahren (2010 – 2016) Verbesserungen bei der Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) dokumentiert hat, zeigt der “2018 Payment Security Report” (Verizon) nun einen Abwärtstrend bei den Unternehmen, die Compliance-Bewertungen nicht vollständig einhalten.

Der Payment Card Industry Data Security Standard (PCI DSS) unterstützt Unternehmen, die Kartenzahlungsmöglichkeiten anbieten, ihre Zahlungssysteme vor Datenverletzungen und dem Diebstahl von Karteninhaberdaten zu schützen. Im Rahmen der Reihe „Verizon Data Breach Investigations Report“ konnte nachgewiesen werden, dass PCI DSS-Compliance zum Schutz sowohl vor Datenverletzungen als auch vor Diebstahl von Karteninhaberdaten beiträgt.

Daten aus dem Jahr 2017, die von den Verizon PCI DSS Qualified Security Assessors (QSAs) erhoben wurden, zeigen, dass die PCI-Compliance bei global tätigen Unternehmen abnimmt: Nur 52,4 Prozent konnten 2017 eine vollständige Compliance aufrechterhalten, 2016 waren es noch 55,4 Prozent. Dabei gab es deutliche regionale Unterschiede: Mit 77,8 Prozent ist bei Unternehmen in der Asien-Pazifikregion vollständige Compliance eher wahrscheinlich als in Europa (46,4 Prozent) oder Nord- und Südamerika (39,7 Prozent). Die Unterschiede sind auf das Timing geografischer Compliance-Rollout-Strategien, kulturelle Wertschätzung von Auszeichnungen und Anerkennungen sowie auf die Ausgereiftheit von IT-Systemen zurückzuführen.

verizon

Nach Geschäftsfeldern gegliedert, stehen IT-Services weiterhin an erster Stelle, wenn es um Compliance geht, wobei über drei Viertel der Unternehmen (77,8 Prozent) den Vollstatus erreichen. Einzelhandel (56,3 Prozent) und Finanzdienstleistungen (47,9 Prozent) lagen deutlich vor dem Hotel- und Gaststättengewerbe (38,5 Prozent), das die geringste Compliance-Nachhaltigkeit aufwies. Da Unternehmen oft PCI DSS Compliance-Projekte starten, um die Sicherheitsanforderungen von Datenschutzbestimmungen wie der Europäischen Datenschutzverordnung (DSGVO) zu erfüllen, ist diese Lücke zwischen den verschiedenen Geschäftsbereichen, die täglich mit elektronischen Zahlungen zu tun haben, erheblich.

Verizon
Verizon

Die PCI-Compliance-Stan­dards wer­den in glo­ba­len Un­ter­neh­men zu­neh­mend we­ni­ger be­ach­tet. Ver­brau­cher und An­bie­ter glei­cher­ma­ßen ge­hen ver­trau­ens­voll da­von aus, dass die Un­ter­neh­men ih­re Zah­lungs­da­ten schüt­zen, al­so müs­sen wir jetzt han­deln, da­mit die­ser Zu­stand be­ho­ben wird. Wir for­dern die Un­ter­neh­men auf, ih­re Mess­me­tho­den im Hin­blick auf die Wirk­sam­keit der PCI-Kon­trol­le zu über­prü­fen und sich auf das Ma­nage­ment der Nach­hal­tig­keit ih­res Da­ten­schut­zes zu konzentrieren.“

Rodolphe Simonetti, Global Managing Director, Security Consulting Verizon

PCI DSS-Standards kontrollieren

Die neun von Verizon ermittelten Faktoren zur Kontrolle von Wirksamkeit und Nachhaltigkeit folgen den zwölf Anforderungen des PCI DSS-Standards:

verizon
1. Faktor 1: Kontrollumgebung: Nachhaltigkeit und Wirksamkeit der zwölf Kern-Anforderungen sind von einer funktionierenden Kontrollumgebung abhängig.

2. Faktor 2: Kontrollaufbau: Ein ordnungsgemäßer Kontrollbetrieb zur Erfüllung der DSS-Sicherheitskontrollziele benötigt einen durchdachten Kontrollaufbau.

3. Faktor 3: Kontrollrisiko: Ohne kontinuierliche Wartung und Pflege (Sicherheitstests, Risikomanagement usw.) können Kontrollen mit der Zeit an Wirksamkeit verlieren und schließlich ausfallen. Um das Ausfallen von Kontrollen zu minimieren, ist ein integriertes Management des Kontrollrisikos erforderlich.

4. Faktor 4: Kontrollrobustheit: Kontrollen finden in einem dynamischen Geschäfts- sowie sich permanent ändernden Bedrohungsumfeld statt. Sie müssen robust sein, um unerwünschten Veränderungen standzuhalten, damit sie funktionsfähig bleiben und gemäß ihren Spezifikationen arbeiten (Konfigurierungsstandards, Zugangskontrolle, System-Hardening usw.).

5. Faktor 5: Widerstandsfähigkeit von Kontrollen: Sicherheitskontrollen können immer wieder versagen, auch wenn man zur Erhöhung der Robustheit zusätzliche Kontroll-Layer hinzufügt. Daher ist im Sinne von Wirksamkeit und Nachhaltigkeit Widerstandsfähigkeit der Kontrollen durch proaktives Erkennen und rasche Wiederherstellung nach einem Ausfall unverzichtbar.

6. Faktor 6: Lifecycle-Management von Kontrollen: Um all das zu erreichen, muss man Sicherheitskontrollen in jedem Stadium ihres Lebenszyklus von ihrer Einrichtung bis zur Außerbetriebnahme überwachen und aktiv managen.

7. Faktor 7: Performance-Management: Die Wirksamkeit von Kontrollen lässt sich verbessern, wenn man Performance-Standards zur Messung der tatsächlichen Performance des Kontrollumfeldes definiert und kommuniziert. Und man trägt damit zu prognostizierbaren Ergebnissen der Datenschutz- und Compliance-Aktivitäten bei. Dadurch ist die frühzeitige Identifizierung und Behebung von Performance-Abweichungen möglich.

Verizon
8. Faktor 8: Reifegradmessung: Eine Kon­trol­l­um­ge­bung soll­te nie­mals sta­gnie­ren – sie muss sich kon­ti­nu­ier­lich ver­bes­sern. Da­zu be­nö­ti­gen Un­ter­neh­men ei­ne Road­map, ei­nen Ziel­wert für die Pro­zess- und Kom­pe­tenz­rei­fe, um den Grad der Form­vor­schrif­ten und die Op­ti­mie­rung von Pro­zes­sen zu ver­fol­gen und so zu zei­gen, wie nah die Ent­wick­lungs­pro­zes­se am En­de sind und sich kon­ti­nu­ier­lich ver­bes­sern können.

9. Faktor 9: Selbst­be­ur­tei­lung: Zur Er­fül­lung all des­sen sind ent­spre­chen­de In­hou­se-Ka­pa­zi­tä­ten ge­for­dert: Res­sour­cen (Per­so­nal, Pro­zes­se, Tech­no­lo­gie), Fä­hig­kei­ten (un­ter­stüt­zen­de Pro­zes­se), Kom­pe­ten­zen (Fer­tig­kei­ten, Wis­sen, Er­fah­rung) so­wie En­ga­ge­ment (der Wil­le, Com­p­li­an­ce-An­for­de­run­gen durch­gän­gig ein­zu­hal­ten) – kurz ge­sagt: Selbst­be­ur­tei­lungs­vermögen.

uschamber.com

Gemeinsame Da­ten­nut­zung und bran­chen­über­grei­fen­de Zu­sam­men­ar­beit ist von ent­schei­den­der Be­deu­tung, um nach­zu­voll­zie­hen, wie sich die Be­dro­hungs­land­schaft ent­wi­ckelt und um die welt­wei­te Zah­lungs­si­cher­heit vor­an­zu­trei­ben. Wie der Re­port zeigt, sind Un­ter­neh­men nach wie vor ge­for­dert, in sich rasch än­dern­den Um­fel­dern ein ho­hes Maß an Si­cher­heit zu ge­währ­leis­ten und zu zei­gen, dass sie dau­er­haft com­p­li­ant sind. Un­ter­neh­men soll­ten den Er­geb­nis­sen des Be­richts ho­he Auf­merk­sam­keit schen­ken und In­for­ma­tio­nen nut­zen, um die Si­cher­heit wei­ter­hin zu ge­währ­leis­ten. Com­p­li­an­ce soll­te nie­mals als das End­ziel für Si­cher­heit an­ge­se­hen wer­den, son­dern eher als Maß­stab für den an­hal­ten­den Er­folg ei­nes Un­ter­neh­mens beim Schutz von Daten.”

Troy Leach, Chief Technology Officer des PCI Security Standards Council

Über den Report

Ziel des PSR 2018 ist es nicht, die Leser von der Notwendigkeit der PCI-Konformität zu überzeugen, sondern den Wert der Performance-Messung und der Kontrolleffektivität zu unterstreichen. Der diesjährige Bericht enthält die Ergebnisse von PCI-Assessments, die von Verizons Team von PCI Qualified Security Assessors für Fortune 500 und große multinationale Unternehmen in mehr als 30 Ländern durchgeführt wurden. Ähnlich wie bei der Verizon Berichtsreihe „Data Breach Investigations Report“ basiert der PSR 2018 auf der Arbeit an realen Fällen mit dem Schwerpunkt auf Finanzdienstleistungen (58 Prozent), IT-Services (15 Prozent), dem Hotel- und Gaststättengewerbe (13 Prozent) sowie dem Einzelhandel (11 Prozent). Zu den erfassten Regionen gehören Nord- und Südamerika (48 Prozent), die Asien-Pazifikregion (30 Prozent) und Europa (23 Prozent).

Den Verizon Payment Security Report 2018 können Sie hier direkt als PDF ohne Adressangabe herunterladen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert