Verizon Payment Card Industry Compliance Report

PCI DSS verhindert Verlust und Missbrauch von Kreditkarten-Daten

07.10.2010 | Redakteur: Stephan Augsten

Greifbares Ziel: Vollständige PCI-Compliance ist für viele Unternehmen durchaus zu erreichen, glaubt Verizon.
Greifbares Ziel: Vollständige PCI-Compliance ist für viele Unternehmen durchaus zu erreichen, glaubt Verizon.

Haben die Richtlinien des Payment Card Industry Data Security Standard (PCI DSS) direkte Auswirkungen auf die Datensicherheit? Ja, erläutert der amerikanische ISP und Telko-Riese Verizon im aktuellen PCI-Compliance-Report. Demzufolge korreliert der Datenmissbrauch mit Sicherheitslücken beim bargeldlosen Zahlungsverkehr.

Verizon ist nicht nur einer der größten Internet Service Provider (ISP) und Telekommunikationsanbieter der Vereinigten Staaten. Das Unternehmen ist auch dafür zuständig, die Einhaltung (Compliance) der PCI-DSS-Richtlinien zu prüfen, die den Diebstahl und Missbrauch von Kreditkartendaten verhindern sollen.

Wie andere anerkannte Auditing-Organisationen beschäftigt Verizon sogenannte QSAs (Qualified Security Assessor). Diese Mitarbeiter sind allesamt ausgewiesene Security-Experten, die vom PCI Security Standards Council als Compliance-Prüfer geschult und zugelassen wurden.

Die Erkenntnisse der QSA-Auditings zwischen 2008 und 2009 sind nun in den Verizon Payment Card Industry Compliance Report (PDF, 1 MB) eingeflossen. Demzufolge kann die Einhaltung der PCI-Anforderungen die Wahrscheinlichkeit des Datenmissbrauchs reduzieren: Bei Unternehmen, die einen Datendiebstahl zu beklagen hatten, war auch die Wahrscheinlichkeit der Compliance und ihrer längerfristigen Einhaltung um 50 Prozent geringer.

Immerhin 22 Prozent der geprüften Unternehmen hielten sämtliche der 12 PCI-DSS-Anforderungen ein, drei Viertel der Firmen bestanden immerhin noch 70 Prozent der Tests. Jedes neunte Unternehmen erfüllte beim ersten Auditing weniger als die Hälfte der Richtlinien.

Altbekannte Anfälligkeiten und Angriffsarten

Verizon schlussfolgert aus den Ergebnissen, dass vollständige Compliance mit etwas mehr Aktivität und verstärkter Sorgfalt seitens der Unternehmen durchaus machbar sei. Besonders schwer täten sich die Firmen bei der Absicherung gespeicherter Daten (Anforderung 3), bei Rückverfolgung und Monitoring von Datenzugriffen (Anforderung 10) und bei den regelmäßigen Tests der Sicherheitssysteme und -prozesse (Anforderung 11).

Durch gemeinsame Auswertung der PCI-Assessment-Daten und der Analysen von Datendiebstählen hat Verizon eine Rangfolge der beliebtesten Angriffsmethoden auf Zahlungskartendaten aufgestellt: Malware und Hacking (25 Prozent), SQL Injection (24 Prozent) und Nutzung von Standard- oder leicht zu erratenden Zugangsdaten (21 Prozent).

Besonders frustrierend findet Jen Mack, Direktor der globalen PCI Consulting Services bei Verizon, dass SQL-Injektionen nach wie vor zu den drei erfolgreichsten Angriffsmethoden gehören: „Viele Risiken sind nach wie vor eng mit der sicheren Entwicklung und Prüfung von Webanwendungen verbunden.“

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2047593 / Compliance)