Neue Imperva-Studie: Unternehmen müssen Kreditkartendaten besser schützen
Imperva, führender Anbieter von Datensicherheitssystemen, stellt heute die Ergebnisse der Studie "Trends bei der Einhaltung der PCI-Richtlinien" vor. Die Untersuchung, die vom renommierten Ponemon-Institut durchgeführt wurde, belegt: Die Vorgaben des Payment Card Industry Data Security Standard (PCI DSS) sorgen bei Unternehmen für deutlich bessere Datensicherheit. "Nach Auswertung unserer Studie können wir sagen, dass die PCI-Richtlinien zu den effektivsten Datensicherheitsregelungen gehören", so Amichai Shulman, Mitgründer und CTO von Imperva. "Sie sind eine vergleichsweise einfache Möglichkeit für Unternehmen, ihre IT-Sicherheit zu verbessern, wie es aktuell von der deutschen Regierung gefordert wird. Basierend auf den Ergebnissen dieser Untersuchung würden wir der Task Force IT-Sicherheit in der Wirtschaft auf jeden Fall empfehlen, PCI DSS in ihre Überlegungen einzubeziehen."
Im Rahmen der Studie hat Ponemon in den vergangenen zwei Jahren die Einhaltung der Richtlinien und den Effekt auf Datenschutz und Sicherheit bei 670 US-amerikanischen und multinationalen IT-Security-Anwendern untersucht. Der aktuelle Bericht zeigt auf, dass Unternehmen, die den PCI-Standard einhalten, weniger oder keinen Datenverlust erleiden. Bei 64 Prozent der richtlinienkonformen Unternehmen im Bereich Kreditkartendaten zeigten sich keine Datenverluste, während nur 38 Prozent der nicht-richtlinienkonformen Firmen absolut sichere Daten aufwiesen. Im Bereich genereller Datenverluste zeigten 63 Prozent der richtlinienkonformen Unternehmen höchstens einen Vorfall von Datenverlust - dem gegenüber stehen 22 Prozent bei Unternehmen ohne PCI DSS-Konformität. Jedes vierte Unternehmen ohne PCI-Compliance verzeichnete im gleichen Zeitraum mehr als fünf Vorfälle.
Anwender bezweifeln Nutzen der Richtlinien
Die statistischen Ergebnisse der Studie stehen jedoch in hartem Gegensatz zu den Einschätzungen der befragten Experten. Obwohl die Studie einen positiven Effekt der Richtlinien für die Datensicherheit deutlich belegt, glauben 88 Prozent der Befragten nicht an eine Verbesserung durch die Einhaltung der Richtlinien. Nur 39 Prozent schätzten die Verbesserung der Datensicherheit als einen wichtigen Vorteil der PCI DSS ein. Gerade einmal 33 Prozent gaben an, dass der Aufwand der Richtlinienkonformität den Nutzen ihrer Meinung nach überhaupt rechtfertigen würde.
"Wenn man die aktuellen, steigenden Zahlen der Datenverlustfälle und die dadurch verursachten Kosten betrachtet, bekommt man den Eindruck, dass viele Anwender einen unzureichenden Eindruck vom Wert der Einhaltung der PCI DSS haben", so Larry Ponemon, Vorsitzender und Mitbegründer des Ponemon Institute.
Immer mehr Unternehmen setzen auf PCI-Richtlinien
Zwei Drittel der Befragten gaben an, ihre Richtlinienkonformität bei den PCI DSS seit der letzten Befragung verbessert zu haben. Im Jahr 2009 war die Zahl der Anwender einiger Punkte der PCI DSS nur halb so hoch wie im aktuellen Befragungszeitraum. Rund 25 Prozent der Unternehmen hielten zu diesem Zeitpunkt allerdings nach eigenen Angaben keinen Punkt der Richtlinien ein. Dieser Wert sank im aktuellen Befragungszeitraum auf 16 Prozent.
"Die starken Unterschiede zwischen objektivem Nutzen und subjektivem Empfinden der Befragten sprechen eine deutliche Sprache", so Dietmar Kenzle, Regional Sales Director DACH und Eastern Europe bei Imperva. "Offensichtlich haben Unternehmen einigen Aufwand bei der Implementierung der Richtlinien. Wenn man bedenkt, dass auch heute noch jedes sechste Unternehmen keinen Punkt der PCI-Richtlinien erfüllt, zeigt das erheblichen Nachholbedarf bei der Datensicherheit."
PCI DSS regelt innerhalb des Zahlungsverkehrs die Kreditkartentransaktionen und wird von allen wichtigen Kreditkartenanbietern unterstützt. Insgesamt definiert der Standard zwölf Anforderungen an die Netzwerksicherheit von Unternehmen, zu denen unter anderem die Installation und Pflege einer Firewall sowie auch der Schutz gespeicherter Daten der Kreditkarteninhaber gehören.
Im Rahmen der Studie hat Ponemon in den vergangenen zwei Jahren die Einhaltung der Richtlinien und den Effekt auf Datenschutz und Sicherheit bei 670 US-amerikanischen und multinationalen IT-Security-Anwendern untersucht. Der aktuelle Bericht zeigt auf, dass Unternehmen, die den PCI-Standard einhalten, weniger oder keinen Datenverlust erleiden. Bei 64 Prozent der richtlinienkonformen Unternehmen im Bereich Kreditkartendaten zeigten sich keine Datenverluste, während nur 38 Prozent der nicht-richtlinienkonformen Firmen absolut sichere Daten aufwiesen. Im Bereich genereller Datenverluste zeigten 63 Prozent der richtlinienkonformen Unternehmen höchstens einen Vorfall von Datenverlust - dem gegenüber stehen 22 Prozent bei Unternehmen ohne PCI DSS-Konformität. Jedes vierte Unternehmen ohne PCI-Compliance verzeichnete im gleichen Zeitraum mehr als fünf Vorfälle.
Anwender bezweifeln Nutzen der Richtlinien
Die statistischen Ergebnisse der Studie stehen jedoch in hartem Gegensatz zu den Einschätzungen der befragten Experten. Obwohl die Studie einen positiven Effekt der Richtlinien für die Datensicherheit deutlich belegt, glauben 88 Prozent der Befragten nicht an eine Verbesserung durch die Einhaltung der Richtlinien. Nur 39 Prozent schätzten die Verbesserung der Datensicherheit als einen wichtigen Vorteil der PCI DSS ein. Gerade einmal 33 Prozent gaben an, dass der Aufwand der Richtlinienkonformität den Nutzen ihrer Meinung nach überhaupt rechtfertigen würde.
"Wenn man die aktuellen, steigenden Zahlen der Datenverlustfälle und die dadurch verursachten Kosten betrachtet, bekommt man den Eindruck, dass viele Anwender einen unzureichenden Eindruck vom Wert der Einhaltung der PCI DSS haben", so Larry Ponemon, Vorsitzender und Mitbegründer des Ponemon Institute.
Immer mehr Unternehmen setzen auf PCI-Richtlinien
Zwei Drittel der Befragten gaben an, ihre Richtlinienkonformität bei den PCI DSS seit der letzten Befragung verbessert zu haben. Im Jahr 2009 war die Zahl der Anwender einiger Punkte der PCI DSS nur halb so hoch wie im aktuellen Befragungszeitraum. Rund 25 Prozent der Unternehmen hielten zu diesem Zeitpunkt allerdings nach eigenen Angaben keinen Punkt der Richtlinien ein. Dieser Wert sank im aktuellen Befragungszeitraum auf 16 Prozent.
"Die starken Unterschiede zwischen objektivem Nutzen und subjektivem Empfinden der Befragten sprechen eine deutliche Sprache", so Dietmar Kenzle, Regional Sales Director DACH und Eastern Europe bei Imperva. "Offensichtlich haben Unternehmen einigen Aufwand bei der Implementierung der Richtlinien. Wenn man bedenkt, dass auch heute noch jedes sechste Unternehmen keinen Punkt der PCI-Richtlinien erfüllt, zeigt das erheblichen Nachholbedarf bei der Datensicherheit."
PCI DSS regelt innerhalb des Zahlungsverkehrs die Kreditkartentransaktionen und wird von allen wichtigen Kreditkartenanbietern unterstützt. Insgesamt definiert der Standard zwölf Anforderungen an die Netzwerksicherheit von Unternehmen, zu denen unter anderem die Installation und Pflege einer Firewall sowie auch der Schutz gespeicherter Daten der Kreditkarteninhaber gehören.