{"id":16589,"date":"2020-07-13T11:16:00","date_gmt":"2020-07-13T09:16:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=16589"},"modified":"2020-07-07T10:20:45","modified_gmt":"2020-07-07T08:20:45","slug":"schwachstelle-payment-security-immer-mehr-unternehmen-halten-sich-nicht-an-standards-fuer-die-zahlungssicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=16589","title":{"rendered":"Schwachstelle Payment Security: Immer mehr Unternehmen halten sich nicht an Standards f\u00fcr die Zahlungssicherheit"},"content":{"rendered":"\n

Autor\/Redakteur: Gabriel Leperlier, Senior Manager Security Consulting bei Verizon EMEA<\/a>\/gg<\/p>\n\n\n\n

Bei Cyberattacken geht es den Angreifern h\u00e4ufig um die auf Zahlungskarten hinterlegten pers\u00f6nlichen und finanziellen Kundeninformationen. Der Payment Card Industry Data Security Standard (PCI DSS) soll dabei helfen, die Zahlungsdaten der Kunden ab dem Zeitpunkt des Kaufs zu sch\u00fctzen. Umso \u00fcberraschender ist das Ergebnis einer Untersuchung von Verizon, die zeigt, dass immer weniger Unternehmen diesen Standard einhalten.<\/p>\n\n\n\n

\"\"
Bild: Verizon<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

In dem aktuellen Payment Security Report (PSR) von Verizon gehen die Autoren den Hintergr\u00fcnden auf den Grund, warum die Einhaltung des PCI DSS-Standards r\u00fcckl\u00e4ufig ist und wie Unternehmen diesen Trend umkehren k\u00f6nnen. Da f\u00fcr 2020 die Ver\u00f6ffentlichung des vierten Updates des PCI DSS-Standards geplant ist, sollten Unternehmen ihre Vorhaben zur Einhaltung der Vorschriften \u00fcberdenken und neu strukturieren.<\/p>\n\n\n\n

Als Visa Inc. 2004 den PCI DSS ins Leben rief, gingen viele Experten davon aus, dass Organisationen innerhalb von f\u00fcnf Jahren eine effektive und nachhaltige Einhaltung der Vorschriften erreichen w\u00fcrden. \u00dcber 15 Jahre sp\u00e4ter ist die Zahl der Unternehmen, die tats\u00e4chlich diese Vorgaben einhalten, weltweit von 52,5 Prozent (PSR 2018) auf einen Tiefstand von 36,7 Prozent (PSR 2019) gesunken. Positiv entwickelt haben sich Unternehmen in der Region Asien-Pazifik (APAC), die zu 69,6 Prozent die Vorschriften vollst\u00e4ndig einhalten. In Europa, dem Nahen Osten und Afrika (EMEA) gelang dies 48 Prozent, w\u00e4hrend es in Nord- und S\u00fcdamerika nur 20,4 Prozent waren.<\/p>\n\n\n\n

Industrien entwickeln sich unterschiedlich<\/strong><\/p>\n\n\n\n

Ein Blick auf zentrale Branchen zeigt, dass die Vorgaben ganz unterschiedlich eingehalten werden. Auch die Gr\u00fcnde f\u00fcr die Nichteinhaltung unterscheiden sich. Es sind daher branchenspezifische Ma\u00dfnahmen notwendig, um eine bessere Compliance zu erreichen. Hier ein Blick auf den Einzelhandel, das Gastgewerbe und den Finanzsektor.<\/p>\n\n\n\n

\"\"
Abbildung 3: Innerhalb der Einzelhandelsbranche kommt es meist bei Online-H\u00e4ndlern zu Datenverletzungen. Im Gastgewerbe werden Dienstleister f\u00fcr die Bewirtung sowie Reiseveranstalter und Reservierungsdienste am h\u00e4ufigsten gesch\u00e4digt (6-Jahres-Trend f\u00fcr F\u00e4lle in 2010-2016). (Grafik: Verizon)<\/figcaption><\/figure>\n\n\n\n

Einzelhandel<\/strong><\/p>\n\n\n\n

Noch im Jahr 2015 wurden Daten im Einzelhandel \u00fcberwiegend am Verkaufspunkt kompromittiert. Seitdem in den USA aber Europay, Mastercard und Visa (EMV) neue Technologien eingef\u00fchrt haben, scheint sich der Wert bei einem Kartenbetrug verringert zu haben. Die Untersuchungen von Verizon zeigen, dass Daten-Kompromittierungen heute vor allem bei Web-Anwendungen auftreten. Jedoch konnten Sicherheitsverletzungen noch nicht vollst\u00e4ndig beseitigt werden, weshalb Einzelh\u00e4ndler auch weiterhin beim Schutz von Kartendaten wachsam bleiben sollten. Die Compliance-Quote lag bei Einzelhandelsunternehmen bei 26,3 Prozent. Der gleiche Werte wurden bei Anbietern von IT-Dienstleistungen ermittelt. Probleme bei der Einhaltung des PCI DSS entstanden durch die Verwendung von Default-Einstellungen der Hersteller und bei der Erf\u00fcllung von Anforderungen eines guten Sicherheitsmanagements. Dies spiegelt sich auch darin wider, dass der Einzelhandel die niedrigste Bewertung aller untersuchten Branchen bei der Vorbereitung auf Daten-Kompromittierungen erhielt. Probleme bereiteten vor allem die Identifizierung von Nutzern, dass sie die jeweils passenden Zugangsberechtigungen haben, die mangelnde Sorgfalt bei der Beauftragung von Dienstleistern, dass sie nicht autorisierte drahtlose Zugangspunkte entdecken k\u00f6nnen und dass ein Plan zur Reaktion auf Vorf\u00e4lle (Incident Response Plan) gepflegt wird.<\/p>\n\n\n\n

Gastgewerbe<\/strong><\/p>\n\n\n\n

Obwohl das Gastgewerbe immer noch die niedrigste Wertung f\u00fcr die Verschl\u00fcsselung von Daten bei der \u00dcbertragung hatte, war es die einzige Branche, die sich in dieser Kategorie im Vergleich zum Vorjahr steigern konnte. Die Unternehmen aus dem Gastgewerbe haben sich au\u00dferdem beim Schutz vor Malware mehr als alle anderen Branchen verbessert und ihre Konformit\u00e4t auf 84,2 Prozent erh\u00f6ht. Das Gastgewerbe war auch der einzige Sektor innerhalb des PSR 2019, der seine F\u00e4higkeiten zur Kontrolle des physischen Zugangs im Vergleich zum Vorjahr verbessern konnte, wodurch sich die Compliance-Rate auf 63,2 Prozent erh\u00f6hte. Zwar blieb das Gastgewerbe beim Schutz der gespeicherten Karteninhaberdaten hinter anderen Branchen zur\u00fcck, aber es steht hierbei auch vor einzigartigen Herausforderungen, einschlie\u00dflich fehlender ausgereifter L\u00f6sungen f\u00fcr Gastgewerbeumgebungen. Die Branche hatte am meisten zu k\u00e4mpfen mit der Benutzeridentifikation und -authentifizierung, der \u00dcberpr\u00fcfung und dem Testen des Reaktionsplans f\u00fcr Vorf\u00e4lle sowie der Schulung zu den Verantwortlichkeiten bei Verst\u00f6\u00dfen.<\/p>\n\n\n\n\n\n\n\n

Finanzsektor<\/strong><\/p>\n\n\n\n

Finanzdienstleiser operieren in einem sich st\u00e4ndig ver\u00e4nderten Markt. Ihre Kunden verlange neue Wege, um personalisierte Transaktionen zu t\u00e4tigen \u2013 insbesondere \u00fcber ihre mobilen Ger\u00e4te. Auch gibt es immer neue Anbieter aus anderen Branchen, die Finanzprodukte anbieten. In diesem wettbewerbsorientierten und stark regulierten Umfeld kann die F\u00e4higkeit, Daten von Zahlungskarten effektiv zu sch\u00fctzen, ein entscheidendes Unterscheidungsmerkmal sein. Die Kunden erwarten, dass Finanzdienstleister die Notwendigkeit von Zahlungssicherheit besser verstehen als andere Unternehmen. Dies Erwartung wird mit den Daten aus dem PSR 2019 belegt: Der Finanzsektor hat die Anforderungen des PCI DSS besser als jede andere Branche erf\u00fcllt. Jedoch gibt es auch hier noch Verbesserungspotenzial, beispielsweise bei der Verschl\u00fcsselung von Daten w\u00e4hrend der \u00dcbertragung und beim Schutz vor Malware.<\/p>\n\n\n\n

Wie k\u00f6nnen sich aber Unternehmen individuell sch\u00fctzen? Bei der Implementierung von Schutzma\u00dfnahmen ist ein erster Schritt eine detaillierte Analyse der vorhandenen F\u00e4higkeiten zur Abwehr von Cyberangriffen sowie der vorhandenen Prozesse.<\/p>\n\n\n\n

\"\"
Abbildung 2: Ein Blick auf ausgew\u00e4hlte Industrien zeigt, dass sich PCI DSS Compliance weltweit unterschiedlich und branchenspezifisch entwickelt (Grafik: Verizon)<\/figcaption><\/figure>\n\n\n\n

Neues Framework hilft bei der Zahlungssicherheit<\/strong><\/p>\n\n\n\n

Organisationen investieren viel Zeit und Geld in Initiativen zur Einhaltung von Datenschutzbestimmungen. Allerdings sind diese Programme oft wirkungslos \u2013 sie sehen zwar auf dem Papier gut aus, sind aber nicht in der Lage, einer professionellen Sicherheitsanalyse standzuhalten. Chief Information Security Officers konzentrieren sich immer noch auf die Einhaltung grundlegender Kontrollaktivit\u00e4ten, anstatt auf die Kompetenzen und den Entwicklungsstand beim Datenschutz zu achten. Sie ben\u00f6tigen daher einen klaren und leicht verst\u00e4ndlichen Leitfaden, der ihnen hilft, messbare Ergebnisse und vorhersehbare Resultate zu erzielen.<\/p>\n\n\n\n

In der Praxis sind Datenschutz und Compliance allt\u00e4gliche Herausforderungen. Unternehmen glauben daher, dass sie mit einem universellen Ansatz effektiven und nachhaltigen Datenschutz erreichen k\u00f6nnen. In der Realit\u00e4t ist die Frage der Sicherheit jedoch komplizierter.<\/p>\n\n\n\n

In fr\u00fcheren Payments Security Reports hat Verizon Methoden dargestellt, die Unternehmen bei der Verwaltung ihrer Data Protection Compliance Programme (DPCPs) helfen. Diese wurden nun zum Verizon 9-5-4 Compliance Program Performance Framework zusammengef\u00fchrt \u2013 einem Leitfaden, der Organisationen bei der Entwicklung und Verbesserung ihrer F\u00e4higkeiten und der Prozessreife unterst\u00fctzt.<\/p>\n\n\n\n

\"\"
Abbildung 1: Konformit\u00e4tstrends f\u00fcr die Zwischenvalidierung von PCI DSS, (2012-2018), laut Verizon PSR-Studie (Grafik: Verizon)<\/figcaption><\/figure>\n\n\n\n

Das 9-5-4 Framework hilft Organisationen dabei, reproduzierbare, konsistente und vorhersehbare Ergebnisse zu erzielen. Daf\u00fcr bietet das Verfahren eine Anleitung, um neun Faktoren f\u00fcr Kontrolleffizienz und Nachhaltigkeit abzubilden und zu \u00fcberwachen. Dazu z\u00e4hlen Control Environment, Control Design, Control Risk, Control Robustness, Control Resilience, Control Lifecycle Management, Performance Management und Maturity Measurement sowie eine Selbstbewertung. Diese Punkte sind auf jeden der vier zentralen Sicherheitsbereiche anwendbar, wie die pers\u00f6nliche Verantwortung, die Teams f\u00fcr Risikomanagement und Compliance, die interne und externe Revision sowie die Aufsichtsbeh\u00f6rden. Die Bewertung erfolgt f\u00fcr f\u00fcnf Einschr\u00e4nkungen der organisatorischen Leistungsf\u00e4higkeit: Kapazit\u00e4t, F\u00e4higkeit, Kompetenz, Engagement sowie Kommunikation.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Aus den Ergebnissen des aktuellen PSR geht hervor, dass viele Organisationen noch einen weiten Weg vor sich haben, wollen sie eine vollst\u00e4ndige Compliance erreichen. Mit Einsatz der richtigen Werkzeuge und Initiativen ist dies aber m\u00f6glich. Der Schl\u00fcssel hierbei ist Compliance bei der Zahlungssicherheit. Die Daten des Verizon Threat Research Advisory Center (VTRAC) zeigen zudem, dass eine Compliance-Initiative ohne die richtigen Kontrollen zum Schutz von Daten mit einer Wahrscheinlichkeit von \u00fcber 95 Prozent nicht nachhaltig ist und das eine Organisation daher eher Ziel eines Cyberangriffs wird.<\/p>\n\n\n\n

Schon seit Jahren diskutiert Verizon \u00fcber den engen Zusammenhang zwischen der mangelhaften Einhaltung des PCI DSS-Standards und Cyber-Kompromittierungen. Wer PCI DSS erfolgreich umsetzt, wurde offenbar auch noch nicht Opfer einer Kompromittierung von Zahlungskartendaten \u2013 es sind zumindest keine \u00f6ffentlichen Berichte \u00fcber erfolgreiche Cyberangriffe verf\u00fcgbar. Dies zeigt, dass Compliance in der Praxis tats\u00e4chlich wirkungsvoll ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bei Cyberattacken geht es den Angreifern h\u00e4ufig um die auf Zahlungskarten hinterlegten pers\u00f6nlichen und finanziellen Kundeninformationen. Der Payment Card Industry Data Security Standard (PCI DSS) soll dabei helfen, die Zahlungsdaten der Kunden ab dem Zeitpunkt des Kaufs zu sch\u00fctzen. Umso \u00fcberraschender ist das Ergebnis einer Untersuchung von Verizon, die zeigt, dass immer weniger Unternehmen diesen Standard einhalten.<\/p>\n","protected":false},"author":3,"featured_media":16590,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10141],"tags":[13810,3728,3539,4676,13811],"class_list":["post-16589","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-hintergrund","tag-payment-security","tag-pci-dss","tag-standard","tag-verizon","tag-visa"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16589"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16589\/revisions"}],"predecessor-version":[{"id":16598,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16589\/revisions\/16598"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/16590"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}