Mehrheit der Unternehmen erfüllt nicht den PCI-Sicherheitsstandard

Sensible Kundendaten nicht sicher genug

02. Oktober 2007
Von Nina Gut
Für die großen Unternehmen schlägt die Stunde, zu der sie ihre Netzwerke und Kundendaten nach PCI-Regeln (Payment Card Industry) absichern müssen: Seit dem 30. September ist es soweit. Gleichzeitig zeigt eine neue Studie des Anbieters Verisign die Schwachstellen bei den Mindest-Sicherheitsstandards rund um Kreditkarten-Transaktionen auf. Bei mehr als der Hälfte der untersuchten Unternehmen ist der Schutz von vertraulichen Kundeninformationen immer noch nicht ausreichend.
Die Top 10 der Schwachstellen beim PCI-Audit: Bei den meisten hapert es an der "regulären Überprüfung".
Die Top 10 der Schwachstellen beim PCI-Audit: Bei den meisten hapert es an der "regulären Überprüfung".

Dem Bericht zufolge erfüllen 53 Prozent der überprüften Großfirmen nicht den PCI-Sicherheitsstandard. Dieser Standard ist ein Regelwerk im elektronischen Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Er gilt für alle Unternehmen, die Zahlungsinformationen für Kredit- und Kundenkarten speichern, verarbeiten und übertragen. Wenn sie die Anforderungen nicht bestehen, droht den Firmen eine hohe Strafgebühr oder sogar der Entzug ihrer Berechtigung, Kreditkartentransaktionen zu verarbeiten.

Der Bericht führt auch die zehn häufigsten Gründe an, warum Unternehmen die PCI-Anforderungen an die Datensicherheit nicht erfüllen. Die regelmäßige Überprüfung war die häufigste Schwachstelle bei den untersuchten Unternehmen. 48 Prozent konnten diesem Anspruch nicht gerecht werden. In der Rangliste des Versagens folgen die Absicherung von Anwendungen sowie DatenschutzDatenschutz (jeweils 45 Prozent). Alles zu Datenschutz auf CIO.de

Die eindeutige User-ID wird mit einer Quote von 42 Prozent zum Problemfall. Es folgen der Zugang (40 Prozent), die Sicherheitstaktik (38 Prozent), die Aufrechterhaltung der Firewall (37 Prozent) sowie die Vermeidung von Programmfehlern und die Beschränkung persönlichen Zugangs (jeweils 37 Prozent). Auf dem zehnten Platz der Fehlerquellen landet mit 27 Prozent die Verschlüsselung gesendeter Daten.

"Um dem Vertrauen ihrer Kunden gerecht zu werden, müssen die Unternehmen in der Kreditkartenbranche unternehmensweite Sicherheitsprozesse und Kontrollen zum Schutz der Kartendaten und anderer vertraulicher Kundeninformationen einführen", sagt John Pescatore vom Marktforscher Gartner.