Datenschutz und Bezahlung

Die Herausforderungen von PCI DSS meistern

Thorsten Krüger ist Regional Director DACH, CEE, CIS bei Thales. Er beschäftigt sich seit über 20 Jahren mit dem Vertrieb und der Beratung von IT und IT-Sicherheitslösungen. Er ist Experte für die Themen Verschlüsselung, Key Management und starke Authentifizierung. Vor Thales und Gemalto war Herr Krüger für internationale Unternehmen wie ActivCard tätig, in denen er unterschiedliche Vertriebs- und Managementpositionen innehatte.
Um die Anforderungen der PCI DSS (Payment Card Industry Security Standards Council) an den Datenschutz zu erfüllen, müssen Händler sechs wesentliche Punkte beachten.

Nach Jahren spektakulärer Datenschutzverstöße wird deutlich, dass die Wahrscheinlichkeit für Diebstähle von Kundendaten durch Cyberangriffe auf Einzelhändler und deren Onlineplattformen ebenso hoch ist, wie für physische Einbrüche. Natürlich spürt man beim Betreten eines Supermarktes oder eines Kleidergeschäfts keine Gefahr. Trotzdem haben die meisten Läden Alarmsysteme und Videoüberwachung installiert oder beschäftigen Wachpersonal, um physischen Diebstahl zu verhindern.

Der Payment Card Industry Security Standards Council (PCI-SSC) liefert Händlern mit dem Data Security Standard (PCI-DSS) Vorgaben, wie sie Zahlungsdaten ihrer Kunden speichern und bearbeiten sollen.
Der Payment Card Industry Security Standards Council (PCI-SSC) liefert Händlern mit dem Data Security Standard (PCI-DSS) Vorgaben, wie sie Zahlungsdaten ihrer Kunden speichern und bearbeiten sollen.
Foto: dean bertoncelj - shutterstock.com

Das erscheint im Alltag ganz normal. Dennoch verfügen viele Unternehmen noch immer nicht über angemessene Cybersicherheitsvorkehrungen, um vertrauliche Kundendaten zu schützen. Viele glauben, dass eine Cyberattacke bei ihnen unwahrscheinlich ist. Dabei zeigen Studien den großen Schaden solcher Attacken und belegen, dass diese nicht weniger gefährlich sind als Bedrohungen im Filialalltag. Auch die Tatsache, dass sich die Anzahl der Angriffe auf Online-Händler von 2016 bis 2017 verdoppelt hat, macht deutlich, wie unterschätzt Cybersicherheit ist.

Zwar gibt es einige offenkundige Folgen von Datenschutzverstößen, etwa gestohlenes geistiges Eigentum, doch müssen Händler sich bewusst sein, dass der entstehende Schaden an der Reputation viel schwerer wiegt. Da negative Presseberichte spürbare Folgen für Marken haben, müssen Datenschutzverstöße auf jeden Fall vermieden werden. Beispielsweise zeigt der Consumer Loyalty Report, dass die Mehrheit (70 Prozent) der Verbraucher keine Geschäfte mehr mit einem Unternehmen machen würden, bei dem es zu einer Datenschutzverletzung gekommen ist. Sollte ein Händler also Opfer einer Datenschutzverletzung werden, riskiert er nicht nur schwerwiegende Folgen für seinen Ruf, sondern auch für seinen Reingewinn. Die jüngsten Datenschutzverstöße bei Händlern hatten daher auch erhebliche Einbrüche der Aktienpreise sowie Rücktritte von Führungskräften zur Folge.

Lesetipp: Viele Deutsche fürchten Identitätsklau im Internet

Trotzdem haben es viele Organisationen nicht geschafft, ihre Daten richtig zu schützen und sich selbst zu regulieren. Damit haben sie Regierungen und Gesetzgeber gezwungen, strengere Datenschutzbestimmungen einzuführen. Insbesondere der Payment Card Industry Security Standards Council (PCI-SSC) hat Händlern mit dem Data Security Standard, kurz PCI-DSS, ein Instrument an die Hand gegeben, das regelt, wie sie Zahlungsdaten ihrer Kunden speichern und bearbeiten sollen.

Dieser Standard hilft Unternehmen, Kartenzahlungen sicher zu verarbeiten und Kartenbetrug einzudämmen. Die Richtlinien wurden im Februar 2018 zu obligatorischen Standards. Werden sie nicht befolgt, kann dies ein gesetzliches und finanzielles Nachspiel haben.

Viele Händler haben bereits dafür gesorgt, dass sie den Anforderungen entsprechen. Aber was müssen die, bei denen das noch nicht der Fall ist tun, um Compliance zu erreichen?

Sechs einfache Schritte zu PCI-DSS-Compliance

PCI DSS ist in sechs Kategorien unterteilt:

  1. Aufbau und Pflege eines sicheren Netzwerks -Hierzu ist eine Firewall zu installieren und zu pflegen, um den Zugriff auf Daten zu beschränken und diese zu schützen. Wichtig ist auch, dass Produkte keine Herstellervorgaben für Systempasswörter und andere Sicherheitsparameter nutzen, da auf diese problemlos zugegriffen werden kann.

  1. Schutz von Kartenhalterdaten -Es sollte nur das absolute Minimum an Kartenhalterdaten gespeichert werden. Bestimme Daten - wie der Kartenchip oder der Magnetstreifen, die Kartenprüfnummer (KPN) oder die persönliche Identifikationsnummer (PIN) - sollten niemals gespeichert werden. Wenn Daten gespeichert werden, müssen Lösungen wie Verschlüsselung, Maskierung und Hashing implementiert werden.

  1. Pflege eines Schwachstellen-Management-Programms -Bei allen Systemen muss eine Antivirus-Software verwendet und kontinuierlich gepflegt werden sowie permanent im Einsatz sein. Viele Schwachstellen werden von Software-Anbietern zwar schnell gepatcht, wichtig ist aber auch, dass Händler die Patches so schnell wie möglich installieren. Umso länger es dauert, umso größer ist die Wahrscheinlichkeit, dass Angreifer die Schwachstelle ausnutzen können.

  1. Einführung strenger Zugriffskontrollmaßnahmen -Um unbefugten Zugriff auf Daten zu verhindern, sollten die Systeme allen Mitarbeitern den Zugriff standardmäßig verweigern. Nur Personal, das Kenntnis haben muss, wie Wirtschaftsprüfer oder die Personalabteilung, sollten auf personenbezogene Daten zugreifen können. Um dies leichter umsetzen zu können, sollte allen Nutzern eine individuelle ID zugewiesen werden, mit deren Hilfe Unternehmen sehen können, ob jemand versucht, auf nicht autorisierte Daten zuzugreifen. Darüber hinaus muss Multi-Faktor-Authentifizierung für internen und Remote-Zugriff auf das Netzwerk eingesetzt werden.

  1. Regelmäßiges Überwachen und Testen von Netzwerken -Um potenzielle Datenschutzverstöße aufzuspüren, müssen Logging-Mechanismen implementiert werden. Diese Prüfprotokolle verknüpfen individuelle Nutzer und protokollieren ihre Aktionen. Aktionen wie Zugriff auf Kartenhalterdaten oder Löschung von Dateien werden dabei hervorgehoben. Da ständig neue Schwachstellen gefunden und ausgenutzt werden ist es zusätzlich zur schnellen Installation aller Patches äußerst wichtig, regelmäßig Systemkomponenten, Prozesse und benutzerdefinierte Software zu testen, um deren Sicherheit zu gewährleisten.

  1. Einrichtung einer Informationssicherheitsrichtlinie -Schließlich müssen Organisationen eine Sicherheitsrichtlinie einrichten und aufrechterhalten, die entsprechend dem sich verändernden Risikoumfeld regelmäßig aktualisiert wird. Organisationen sollten auch einen Vorfallsreaktionsplan implementieren, so dass sie auf jede Systemverletzung unmittelbar reagieren können.

Diese Schritte gelten insbesondere für PCI DSS, sie leisten aber auch einen wichtigen Beitrag zur Umsetzung der DSGVO. Es muss aber auch darauf hingewiesen werden, dass die einige Anforderungen enthält, etwa das Recht auf Vergessenwerden, die es ausschließlich in der DSGVO gibt. Unternehmen können daher nicht davon ausgehen, den Anforderungen dieser Verordnung automatisch zu entsprechen, wenn sie die PCI-DSS-Standards erfüllen.

Letzten Endes geht es bei diesen Schritten darum, die Daten von Kunden zu schützen und sicherzustellen, dass sie Händlern vertrauen, die ihre Informationen speichern. Verbraucher sind sich der Bedrohungen bewusst und machen Unternehmen sowie Händler für den Schutz ihrer Informationen verantwortlich. Im Zeitalter des Datenverstoßes muss das Sicherheitskonzept eines Händlers genauso wichtig sein wie seine Verkaufsstrategie. Andernfalls wird er die Konsequenzen tragen müssen.

Zur Startseite