Payment Security Report 2019 – Richtlinien für Zahlungssicherheit werden immer seltener eingehalten

Der Prozentsatz der Unternehmen, die die Sicherheitsrichtlinien für Zahlungskarten PCI DSS (Payment Card Industry Data Security Standard) vollständig einhalten, ist mit 36,7 Prozent weltweit im zweiten Jahr in Folge rückläufig. Nur eines von fünf Unternehmen in Nord- und Südamerika ist dauerhaft vollständig compliant; Unternehmen im Asien-Pazifikraum schneiden besser ab. Das besagt der Payment Security Report 2019 von Verizon. Er verdeutlicht zudem, warum Compliance so wichtig ist, und empfiehlt Maßnahmen zur Bekämpfung des Abwärtstrends bei der Compliance.

Als Visa im Jahr 2004 den PCI DSS herausgab, war man allgemein der Ansicht, dass innerhalb von fünf Jahren wirkungsvolle und nachhaltige Compliance erreicht werden würde. 15 Jahre später ist die Zahl der Unternehmen, auf die das zutrifft, von 52,5 Prozent (Payment Security Report 2018) auf einen Tiefststand von gerade einmal 36,7 Prozent weltweit gesunken. Geografisch betrachtet ist die Asien-Pazifikregion (APAC) mit 69,6 Prozent eher zu nachhaltiger und vollständiger Compliance in der Lage; in Europa, im Mittleren Osten und in Afrika (EMEA) sind es 48 Prozent und in Nord- und Südamerika gerade einmal 20,4 Prozent.

Der PCI DSS unterstützt Kartenzahlungsanbieter beim Schutz ihrer Zahlungssysteme gegen Datenverletzungen und Diebstahl von Karteninhaber-Informationen. Compliance ist die Fähigkeit einer Organisation, diese Richtlinien zu erfüllen und – was noch wichtiger ist – langfristig einzuhalten.

Zwischen 2010 und 2016 war eine graduelle Zunahme der Compliance zu beobachten. Jetzt haben wir es mit einem besorgniserregenden Abwärtstrend und wachsenden geografischen Unterschieden zu tun. Wir beobachten, dass immer mehr Organisationen nicht in der Lage sind, die für PCI DSS erforderliche Compliance zu erreichen oder gar beizubehalten. Das hat unmittelbare Auswirkungen auf die Sicherheit der Zahlungsdaten ihrer Kunden. Bald wird die Version 4.0 der PCI-DSS-Richtlinien herauskommen. Für die Unternehmen wäre dies eine Gelegenheit, den Trend umzukehren, indem sie überdenken, wie sie ihre Compliance-Programme implementieren und strukturieren.“

Rodolphe Simonetti, Global Managing Director, Security Consulting Verizon

Rahmenrichtlinien unterstützen Compliance

Datenschutz und Compliance sind eine tagtägliche Herausforderung. Zahlreiche Organisationen sind überzeugt, mit einem Einheitskonzept effektiven und nachhaltigen Datenschutz erreichen zu können. In der Realität erweist sich Sicherheit jedoch als wesentlich komplizierter.

Bereits in früheren Ausgaben des Payment Security Report wurde eine Methodik entwickelt, die Organisationen beim Management ihrer Datenschutz-Compliance-Programme (DPCPs) unterstützt.

Das 9-5-4 Compliance Program Performance Framework von Verizon fasst diese Erkenntnisse nun als eine Richtlinie zusammen, die Befähigung und Prozessreife herstellt und verbessert. Das 9-5-4 Framework soll dazu beitragen, reproduzierbare, einheitliche und prognostizierbare Resultate zu erzielen. Es bietet eine Orientierung, wie man den Status jedes der neun Faktoren der Kontrollwirksamkeit und -nachhaltigkeit abbildet, überwacht und berichtet. Die Faktoren sind Kontrollumgebung, Kontrollaufbau, Kontrollrisiken und Kontrollrobustheit sowie Widerstandsfähigkeit von Kontrollen, Lifecycle- und Performance-Management von Kontrollen sowie Reifegradmessung und Selbstbeurteilung (wir berichteten). Dies geschieht für alle vier grundlegenden Formen der Sicherstellung (individuelle Rechenschaftspflicht, Risikomanagement und Compliance-Teams, internes Audit, externes Audit und Aufsichtsbehörden) und wird erreicht durch Bewertung der fünf Faktoren, aus denen sich der Grad der Befähigung einer Organisation ergibt: Kapazität, Fähigkeit, Kompetenz, Engagement und Kommunikation.

Zusammenhang zwischen mangelnder Compliance und Datenverletzungen

Der Payment Security Report enthält auch Daten des Verizon Threat Research Advisory Center (VTRAC). Daraus geht hervor, dass ein Compliance-Programm ohne entsprechende Kontrollen zum Schutz von Daten mit mehr als 95-prozentiger Wahrscheinlichkeit nicht nachhaltig ist und damit zu einem potenziellen Ziel eines Cyber-Angriffs wird.

Seit Jahren sprechen wir vom engen Zusammenhang zwischen Mangel an PCI DSS-Compliance und Datenverletzungen. In den diesjährigen Bericht haben wir noch mehr Daten des Verizon VTRAC-Teams aufgenommen, um der Diskussion mehr Tiefe zu verleihen. Von dem Team stammen die Data Breach Investigation Reports. Unsere Daten zeigen, dass wir noch nie eine Sicherheitsverletzung von Zahlungskartendaten bei einer PCI DSS-konformen Organisation untersuchen mussten. Compliance funktioniert also!”

Über den Payment Security Report 2019

Schwerpunkt des diesjährigen Berichts sind Leistungssichtbarkeit, Kontrolle und Ausgereiftheit von DPCPs. Er enthält die Ergebnisse von 302 Überprüfungen hinsichtlich PCI DSS bei einer Reihe unterschiedlicher Organisationen, darunter Fortune-500-Unternehmen sowie bei großen multinationalen Konzernen in mehr als 60 Ländern. Die Bewertungen wurden von einem Verizon Team aus PCI Qualified Security Assessors (QSAs) sowie von den QSAs anderer Unternehmen durchgeführt, darunter ControlScan, Foregenix, MegaplanIT und Schellman.

Der Payment Security Report 2019 basiert auf der Arbeit an realen Fällen mit Schwerpunkt Finanzdienstleistungen (50,7 Prozent), Einzelhandel (19,9 Prozent), IT-Services (17,5 Prozent) sowie Hotel- und Gaststättengewerbe (10,6 Prozent). Zu den erfassten Regionen gehören Nord- und Südamerika (50,0 Prozent), Die Asien-Pazifikregion (20,0 Prozent) und EMEA (30,0 Prozent).

Den Verizon Payment Security Report 2019 können Sie hier per Klick auf “View only” direkt als PDF ohne Adressangabe herunterladen.pp