Dem Bericht zufolge erfüllen 53 Prozent der überprüften Großfirmen nicht den PCI-Sicherheitsstandard. Dieser Standard ist ein Regelwerk im elektronischen Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Er gilt für alle Unternehmen, die Zahlungsinformationen für Kredit- und Kundenkarten speichern, verarbeiten und übertragen. Wenn sie die Anforderungen nicht bestehen, droht den Firmen eine hohe Strafgebühr oder sogar der Entzug ihrer Berechtigung, Kreditkartentransaktionen zu verarbeiten.
Der Bericht führt auch die zehn häufigsten Gründe an, warum Unternehmen die PCI-Anforderungen an die Datensicherheit nicht erfüllen. Die regelmäßige Überprüfung war die häufigste Schwachstelle bei den untersuchten Unternehmen. 48 Prozent konnten diesem Anspruch nicht gerecht werden. In der Rangliste des Versagens folgen die Absicherung von Anwendungen sowie Datenschutz (jeweils 45 Prozent).
Die eindeutige User-ID wird mit einer Quote von 42 Prozent zum Problemfall. Es folgen der Zugang (40 Prozent), die Sicherheitstaktik (38 Prozent), die Aufrechterhaltung der Firewall (37 Prozent) sowie die Vermeidung von Programmfehlern und die Beschränkung persönlichen Zugangs (jeweils 37 Prozent). Auf dem zehnten Platz der Fehlerquellen landet mit 27 Prozent die Verschlüsselung gesendeter Daten.
"Um dem Vertrauen ihrer Kunden gerecht zu werden, müssen die Unternehmen in der Kreditkartenbranche unternehmensweite Sicherheitsprozesse und Kontrollen zum Schutz der Kartendaten und anderer vertraulicher Kundeninformationen einführen", sagt John Pescatore vom Marktforscher Gartner.
Der Verisign-Bericht von 2007 lässt aber auch Fortschritte erkennen. Obwohl 53 Prozent der untersuchten Unternehmen mindestens einen PCI-Sicherheitsstandard nicht erfüllen konnten, ist dies immerhin eine deutliche Verbesserung gegenüber dem vergangenen Jahr. Damals mussten noch 73 Prozent Schwachstellen einräumen. Da sich die Datenschutzlandschaft jedoch ständig wandelt, konnten viele Unternehmen in diesem Jahr einige Anforderungen nicht einhalten, die sie im Jahr zuvor noch erfüllt hatten.
Sieben strategische Tipps zum PCI
Im Hinblick auf den bevorstehenden Termin für die PCI-Compliance gibt der Report auch sieben strategische Tipps für Kartenaussteller, Händler und Dienstleister. Der erste Tipp lautet: Weniger Daten speichern. Wer weniger Daten speichert, der reduziert nicht nur das Risiko, sondern auch die Bandbreite dessen, was unter PCI-Regeln und -Auditing fällt. Viele Firmen speichern Kartendaten einfach nur, weil sie es immer so gemacht haben, oder weil sie aus ihren Systemen nicht regelmäßig die Infos ausmisten, die sie nicht mehr brauchen. Andere häufen die Daten nur an, weil sie – oft fälschlicherweise - glauben, dass sie die Informationen fürs Auditing, für Business-Prozesse, für regulative oder rechtliche Zwecke brauchen. Oft werden zwei Dinge verwechselt: Die Notwendigkeit, den Ablauf der Kreditkartentransaktion zu speichern, wird mit der Notwendigkeit, die Nummer an sich zu speichern, in einen Topf geworfen.
Zweiter Tipp: Den Datenfluss verstehen. Viele Unternehmen haben keine Diagramme und keine Dokumentation, die zeigt, wie die Kreditkartendaten durch ihre Organisation fließen. Solange kein systemweites Audit aller Datenspeicher stattgefunden hat, das dann regelmäßig wiederholt wird, kann keiner bestimmen, wohin Daten gespeichert und übermittelt werden. Und somit weiß auch keiner, ob den PCI-Standards entsprochen wird oder nicht.
Weitere Tipps: Die Daten verschlüsseln. Verwundbarkeiten an Anwendungen und am Netzwerk angehen. Das Sicherheits-Bewusstsein und das Sicherheits-Training verbessern. Die Systeme auf Einbrüche und Unregelmäßigkeiten kontrollieren. Und nicht zu vergessen: Die Kreditkarten-Netzwerke aufteilen und den Zugang kontrollieren.
Der Report "More Lessons Learned – Practical Tips for Avoiding Payment Card Industry (PCI) Audit Failure" beruht auf 60 PCI-Audits bei 50 Großunternehmen.