Sysbus
ArtikelHintergrund

Schwachstelle Payment Security: Immer mehr Unternehmen halten sich nicht an Standards für die Zahlungssicherheit

gcg

Finanzsektor

Finanzdienstleiser operieren in einem sich ständig veränderten Markt. Ihre Kunden verlange neue Wege, um personalisierte Transaktionen zu tätigen – insbesondere über ihre mobilen Geräte. Auch gibt es immer neue Anbieter aus anderen Branchen, die Finanzprodukte anbieten. In diesem wettbewerbsorientierten und stark regulierten Umfeld kann die Fähigkeit, Daten von Zahlungskarten effektiv zu schützen, ein entscheidendes Unterscheidungsmerkmal sein. Die Kunden erwarten, dass Finanzdienstleister die Notwendigkeit von Zahlungssicherheit besser verstehen als andere Unternehmen. Dies Erwartung wird mit den Daten aus dem PSR 2019 belegt: Der Finanzsektor hat die Anforderungen des PCI DSS besser als jede andere Branche erfüllt. Jedoch gibt es auch hier noch Verbesserungspotenzial, beispielsweise bei der Verschlüsselung von Daten während der Übertragung und beim Schutz vor Malware.

Wie können sich aber Unternehmen individuell schützen? Bei der Implementierung von Schutzmaßnahmen ist ein erster Schritt eine detaillierte Analyse der vorhandenen Fähigkeiten zur Abwehr von Cyberangriffen sowie der vorhandenen Prozesse.

Abbildung 2: Ein Blick auf ausgewählte Industrien zeigt, dass sich PCI DSS Compliance weltweit unterschiedlich und branchenspezifisch entwickelt (Grafik: Verizon)

Neues Framework hilft bei der Zahlungssicherheit

Organisationen investieren viel Zeit und Geld in Initiativen zur Einhaltung von Datenschutzbestimmungen. Allerdings sind diese Programme oft wirkungslos – sie sehen zwar auf dem Papier gut aus, sind aber nicht in der Lage, einer professionellen Sicherheitsanalyse standzuhalten. Chief Information Security Officers konzentrieren sich immer noch auf die Einhaltung grundlegender Kontrollaktivitäten, anstatt auf die Kompetenzen und den Entwicklungsstand beim Datenschutz zu achten. Sie benötigen daher einen klaren und leicht verständlichen Leitfaden, der ihnen hilft, messbare Ergebnisse und vorhersehbare Resultate zu erzielen.

In der Praxis sind Datenschutz und Compliance alltägliche Herausforderungen. Unternehmen glauben daher, dass sie mit einem universellen Ansatz effektiven und nachhaltigen Datenschutz erreichen können. In der Realität ist die Frage der Sicherheit jedoch komplizierter.

In früheren Payments Security Reports hat Verizon Methoden dargestellt, die Unternehmen bei der Verwaltung ihrer Data Protection Compliance Programme (DPCPs) helfen. Diese wurden nun zum Verizon 9-5-4 Compliance Program Performance Framework zusammengeführt – einem Leitfaden, der Organisationen bei der Entwicklung und Verbesserung ihrer Fähigkeiten und der Prozessreife unterstützt.

Abbildung 1: Konformitätstrends für die Zwischenvalidierung von PCI DSS, (2012-2018), laut Verizon PSR-Studie (Grafik: Verizon)

Das 9-5-4 Framework hilft Organisationen dabei, reproduzierbare, konsistente und vorhersehbare Ergebnisse zu erzielen. Dafür bietet das Verfahren eine Anleitung, um neun Faktoren für Kontrolleffizienz und Nachhaltigkeit abzubilden und zu überwachen. Dazu zählen Control Environment, Control Design, Control Risk, Control Robustness, Control Resilience, Control Lifecycle Management, Performance Management und Maturity Measurement sowie eine Selbstbewertung. Diese Punkte sind auf jeden der vier zentralen Sicherheitsbereiche anwendbar, wie die persönliche Verantwortung, die Teams für Risikomanagement und Compliance, die interne und externe Revision sowie die Aufsichtsbehörden. Die Bewertung erfolgt für fünf Einschränkungen der organisatorischen Leistungsfähigkeit: Kapazität, Fähigkeit, Kompetenz, Engagement sowie Kommunikation.

Fazit

Aus den Ergebnissen des aktuellen PSR geht hervor, dass viele Organisationen noch einen weiten Weg vor sich haben, wollen sie eine vollständige Compliance erreichen. Mit Einsatz der richtigen Werkzeuge und Initiativen ist dies aber möglich. Der Schlüssel hierbei ist Compliance bei der Zahlungssicherheit. Die Daten des Verizon Threat Research Advisory Center (VTRAC) zeigen zudem, dass eine Compliance-Initiative ohne die richtigen Kontrollen zum Schutz von Daten mit einer Wahrscheinlichkeit von über 95 Prozent nicht nachhaltig ist und das eine Organisation daher eher Ziel eines Cyberangriffs wird.

Schon seit Jahren diskutiert Verizon über den engen Zusammenhang zwischen der mangelhaften Einhaltung des PCI DSS-Standards und Cyber-Kompromittierungen. Wer PCI DSS erfolgreich umsetzt, wurde offenbar auch noch nicht Opfer einer Kompromittierung von Zahlungskartendaten – es sind zumindest keine öffentlichen Berichte über erfolgreiche Cyberangriffe verfügbar. Dies zeigt, dass Compliance in der Praxis tatsächlich wirkungsvoll ist.

Ähnliche Beiträge:

  1. Mit Testszenarien die Cybersicherheit verbessern
  2. Kunden von BMC treiben mit Control-M Innovationen in ihrer Lieferkette voran und stellen ein nachhaltiges Wachstum sicher
  3. Tokenlose Zwei-Faktor-Authentifizierung ermöglicht PCI-konforme Zahlungsabwicklungen
  4. Globale Organisationen beschleunigen die digitale Transformation mit Control-M von BMC

Das könnte dir auch gefallen

Leitlinien für die Entwicklung mobiler Apps

gg

Mit den richtigen Technologien zum „Hybriden Arbeiten“

gg

Neuer Ansatz in der Sicherheitsarchitektur – Mit Cyber Exposure Management die gesamte Angriffsfläche im Blick

dcg