Schwachstelle Payment Security: Immer mehr Unternehmen halten sich nicht an Standards für die Zahlungssicherheit

Autor/Redakteur: Gabriel Leperlier, Senior Manager Security Consulting bei Verizon EMEA/gg

Bei Cyberattacken geht es den Angreifern häufig um die auf Zahlungskarten hinterlegten persönlichen und finanziellen Kundeninformationen. Der Payment Card Industry Data Security Standard (PCI DSS) soll dabei helfen, die Zahlungsdaten der Kunden ab dem Zeitpunkt des Kaufs zu schützen. Umso überraschender ist das Ergebnis einer Untersuchung von Verizon, die zeigt, dass immer weniger Unternehmen diesen Standard einhalten.

Bild: Verizon

In dem aktuellen Payment Security Report (PSR) von Verizon gehen die Autoren den Hintergründen auf den Grund, warum die Einhaltung des PCI DSS-Standards rückläufig ist und wie Unternehmen diesen Trend umkehren können. Da für 2020 die Veröffentlichung des vierten Updates des PCI DSS-Standards geplant ist, sollten Unternehmen ihre Vorhaben zur Einhaltung der Vorschriften überdenken und neu strukturieren.

Als Visa Inc. 2004 den PCI DSS ins Leben rief, gingen viele Experten davon aus, dass Organisationen innerhalb von fünf Jahren eine effektive und nachhaltige Einhaltung der Vorschriften erreichen würden. Über 15 Jahre später ist die Zahl der Unternehmen, die tatsächlich diese Vorgaben einhalten, weltweit von 52,5 Prozent (PSR 2018) auf einen Tiefstand von 36,7 Prozent (PSR 2019) gesunken. Positiv entwickelt haben sich Unternehmen in der Region Asien-Pazifik (APAC), die zu 69,6 Prozent die Vorschriften vollständig einhalten. In Europa, dem Nahen Osten und Afrika (EMEA) gelang dies 48 Prozent, während es in Nord- und Südamerika nur 20,4 Prozent waren.

Industrien entwickeln sich unterschiedlich

Ein Blick auf zentrale Branchen zeigt, dass die Vorgaben ganz unterschiedlich eingehalten werden. Auch die Gründe für die Nichteinhaltung unterscheiden sich. Es sind daher branchenspezifische Maßnahmen notwendig, um eine bessere Compliance zu erreichen. Hier ein Blick auf den Einzelhandel, das Gastgewerbe und den Finanzsektor.

Abbildung 3: Innerhalb der Einzelhandelsbranche kommt es meist bei Online-Händlern zu Datenverletzungen. Im Gastgewerbe werden Dienstleister für die Bewirtung sowie Reiseveranstalter und Reservierungsdienste am häufigsten geschädigt (6-Jahres-Trend für Fälle in 2010-2016). (Grafik: Verizon)

Einzelhandel

Noch im Jahr 2015 wurden Daten im Einzelhandel überwiegend am Verkaufspunkt kompromittiert. Seitdem in den USA aber Europay, Mastercard und Visa (EMV) neue Technologien eingeführt haben, scheint sich der Wert bei einem Kartenbetrug verringert zu haben. Die Untersuchungen von Verizon zeigen, dass Daten-Kompromittierungen heute vor allem bei Web-Anwendungen auftreten. Jedoch konnten Sicherheitsverletzungen noch nicht vollständig beseitigt werden, weshalb Einzelhändler auch weiterhin beim Schutz von Kartendaten wachsam bleiben sollten. Die Compliance-Quote lag bei Einzelhandelsunternehmen bei 26,3 Prozent. Der gleiche Werte wurden bei Anbietern von IT-Dienstleistungen ermittelt. Probleme bei der Einhaltung des PCI DSS entstanden durch die Verwendung von Default-Einstellungen der Hersteller und bei der Erfüllung von Anforderungen eines guten Sicherheitsmanagements. Dies spiegelt sich auch darin wider, dass der Einzelhandel die niedrigste Bewertung aller untersuchten Branchen bei der Vorbereitung auf Daten-Kompromittierungen erhielt. Probleme bereiteten vor allem die Identifizierung von Nutzern, dass sie die jeweils passenden Zugangsberechtigungen haben, die mangelnde Sorgfalt bei der Beauftragung von Dienstleistern, dass sie nicht autorisierte drahtlose Zugangspunkte entdecken können und dass ein Plan zur Reaktion auf Vorfälle (Incident Response Plan) gepflegt wird.

Gastgewerbe

Obwohl das Gastgewerbe immer noch die niedrigste Wertung für die Verschlüsselung von Daten bei der Übertragung hatte, war es die einzige Branche, die sich in dieser Kategorie im Vergleich zum Vorjahr steigern konnte. Die Unternehmen aus dem Gastgewerbe haben sich außerdem beim Schutz vor Malware mehr als alle anderen Branchen verbessert und ihre Konformität auf 84,2 Prozent erhöht. Das Gastgewerbe war auch der einzige Sektor innerhalb des PSR 2019, der seine Fähigkeiten zur Kontrolle des physischen Zugangs im Vergleich zum Vorjahr verbessern konnte, wodurch sich die Compliance-Rate auf 63,2 Prozent erhöhte. Zwar blieb das Gastgewerbe beim Schutz der gespeicherten Karteninhaberdaten hinter anderen Branchen zurück, aber es steht hierbei auch vor einzigartigen Herausforderungen, einschließlich fehlender ausgereifter Lösungen für Gastgewerbeumgebungen. Die Branche hatte am meisten zu kämpfen mit der Benutzeridentifikation und -authentifizierung, der Überprüfung und dem Testen des Reaktionsplans für Vorfälle sowie der Schulung zu den Verantwortlichkeiten bei Verstößen.