71% der Unternehmen behandeln PCI nicht als eine strategische Initiative — aber 79% haben Datensicherheitsverfehlungen erfahren

55% schützen weder Sozialversicherungs-, Führerscheinnummern noch Bankkontendetails; für Kunden besteht ein höheres Risiko bei kleineren Unternehmen

Führender Datensicherheitsspezialist Imperva bietet Empfehlungen für Konsumenten, Unternehmen und dem PCI-DSS-Beirat vor dem Termin am 31. Oktober

Redwood Shores, Kalifornien und Traverse City, Michigan – 23. September 2009 – Imperva und das Ponemon Institute gaben heute die Ergebnisse einer Umfrage von mehr als 500 U.S. und multinationale IT-Sicherheitspraktiker bekannt, welche aufzeigen, dass trotz des Datensicherheitsstandards (Data Security Standard – DSS) der Kreditkartenbranche (Payment Card Industry – PCI) Unternehmen noch immer mit der Datensicherheit ringen, was dazu führt, dass Konsumenten dem Risiko des Datendiebstahls weiterhin ausgesetzt werden. Tatsächlich geben 71% der befragten Unternehmen zu, Datensicherheit nicht als oberste strategische Initiative zu befolgen, und 55% geben zu, nur die Kreditkarteninformation abzusichern und nicht die sensiblen Informationen wie z.B., Sozialversicherungs-, Führerscheinnummer und Bankkontendetails. Die Umfrage ergab jedoch auch, dass Unternehmen, die einen strategischen Ansatz zur PCI-Einhaltung einnehmen, weniger Datenmissbrauchsfälle erfahren. Basierend auf diesen Ergebnissen bietet Imperva spezifische Empfehlungen für Konsumenten, Unternehmen und dem PCI-DSS-Beirat zur Sicherheitsverbesserung persönlicher Daten der Konsumenten.

Der PCI-DSS-Standard wurde in Kraft gesetzt, um alle mit Kreditkarteninformationen arbeitenden Unternehmen, Sicherheitsrichtlinien zu geben, um damit Konsumenten besser zu schützen. Seit der Einführung im Juni 2005 sind die Anzahl der Datenmissbräuche und der Umfang des Kreditkartenbetrugs stetig gestiegen.

Gemäß der Umfrage von mehr als 500 U.S. und multinationalen IT-Sicherheitspraktikern bei Unternehmen mit einem durchschnittlichen Jahresumsatz von 5,6 Milliarden US-Dollar sind:

  • 71% der Befragten behandeln PCI nicht als eine strategische Initiative, aber 79 Prozent haben eine Datensicherheitsverfehlung mit dem Verlust oder Diebstahl von Kreditkarteninformationen erfahren.
  • 55% der Umfrageteilnehmer fokussieren nur auf die Absicherung der Kreditkarteninformationen und versuchen nicht sensible Informationen wie z.B. Sozialversicherungs-, Führerscheinnummer Bankkontendetails und andere personenbezogene und familiäre Daten zu schützen
  • 60% der Teilnehmer sind der Meinung, dass sie nicht ausreichende Ressourcen hätten, um den PCI einzuhalten und den notwendigen Sicherheitsgrad für die Kartenhalter herbeizuführen.

„Niemand betreibt ein Unternehmen, um ‚Compliant‘ zu sein”. Aber der Silberstreifen dieser Umfrage ist: Wenn man Konsumenten schützt, wie im PCI-DSS-Standard gefordert, dann besteht eine unglaublich große Gelegenheit, die Sicherheitslage insgesamt zu verbessern“ sagte Shlomo Kramer, CEO von Imperva.

„Sicherheitsabteilungen setzen die PCI-Einhaltung als Hebel ein, um mehr Budget zu erhalten, aber diese Ressourcen ergeben nicht immer eine größere Sicherheit für sensible Kundendaten“ sagte Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes, LLC. „Die Ergebnisse unserer Umfrage deuten darauf hin, dass während einige Unternehmen herausgefunden haben, wie sie den PCI-Standard in ein übergreifendes Sicherheitsmandat umwandeln können – viele haben dieses jedoch noch nicht realisiert.“

Kleinere Unternehmen ringen am meisten

Die Umfrage zeigte, dass nur 28% der kleineren Unternehmen (mit 501-1000 Mitarbeitern) PCI einhalten, im Gegensatz zu 70% bei den größeren Unternehmen (mit 75.000 oder mehr Mitarbeitern).

„Unternehmen verwenden im Durchschnitt 35% des IT-Sicherheitsbudgets für die Einhaltung des PCIs. Dadurch sind die Kosten eine signifikante Hürde, insbesondere für kleine Unternehmen“ erklärte Amichai Shulman, CTO von Imperva. „Aus diesem Grund empfiehlt Imperva dem PCI-DSS-Beirat die Anforderungen für größere und kleinere Unternehmen anzupassen, um die unterschiedlichen Umgebungen und Sicherheitsbedürfnisse zu berücksichtigen.“

“Die PCI-Sicherheitsstandards und die Kreditkartenmarken müssen den PCI-DSS aktualisieren, so dass es auf Risiken basiert, die der Systemkonfiguration des einhaltenden Unternehmens entsprechen. Der ‘Einheitsansatz’ des derzeitigen Standards bürdet vielen Unternehmen unrealistische Anforderungen auf. Selbst wenn diese Unternehmen einfache Netzwerke oder Sicherheitstechnologien eingeführt haben, die im PCI-Standard nicht enthalten sind, aber den selben oder einen besseren Schutzgrad bieten,“ sagte Avivah Litan, Vice President und Distinguished Analyst bei Gartner Research in dem Bericht vom Mai 2009, “Moving Beyond PCI at Visa’s Global Security Summit.” (Über PCI hinaus beim globalen Sicherheitsgipfel von VISA).

Unternehmen die einen strategischen Ansatz für die PCI-Einhaltung wählen, erfahren weniger Datenmissbrauchsfälle

Der PCI-DSS-Standard hat das Potenzial für eine starke Auswirkung auf konzernweite IT-Sicherheitsinitiativen. Die Umfrage zeigt, dass 27% der Unternehmen glauben, dass die Einhaltung des PCI-DSS einen positiven Einfluss auf die Sicherheitslage der Organisation hat. Diese haben einen strategischen Ansatz zur Einhaltung eingenommen. In der Tat, Unternehmen, die PCI vollständig einhalten, erfahren weniger Missbrauchsfälle als die Unternehmen, die nicht „Compliant“ sind. Jedoch die Mehrheit der Teilnehmer (73%) hat die PCI-Einhaltung durch einen einfachen Checklisten-Ansatz erreicht.

Die Empfehlungen von Imperva an Konsumenten, Unternehmen und den PCI-DSS-Beirat

Um mit dem Abgabetermin am 31. Oktober für Empfehlungen zur Änderung des PCI-DSS-Standards übereinzustimmen, bietet Imperva Empfehlungen an Konsumenten, Unternehmen und dem PCI-DSS-Beirat.

Für den PCI-DSS-Beirat

  • Ein „PCI compliant“-Logo für Konsumenten einzuführen. Derzeit können Unternehmen ihre Sicherheitsaufwendungen an Konsumenten nicht artikulieren und Konsumenten sind sich des Einhaltungsstatus der Einzelhändler mit dem sie Geschäfte machen nicht bewusst. Folglich können Unternehmen ihre Investition in der PCI-Einhaltung nicht einsetzen, um wirtschaftliche Vorteile zu erzielen.
  • Die Einhaltungsanforderungen für kleinere und größere Unternehmen anzupassen. Kleinere Unternehmen benötigen einen angepassten Standard, welcher unterschiedliche Umgebungen und Sicherheitsbedürfnisse berücksichtigt.

Empfehlungen für die Konsumenten

Ausschau nach PCI einhaltenden Unternehmen zu halten — generell haben Unternehmen, die den PCI einhalten weniger Datenmissbrauchsfälle. Obwohl die PCI-Einhaltung perfekte Sicherheit nicht garantieren kann.

Empfehlungen für Unternehmen

  • Verwenden Sie PCI, um einen breitgefächertes, effektiveres Sicherheitsprogramm einzuführen.
  • Verwenden Sie PCI, um IT-Sicherheit dem Top-Management näher zu bringen und sie darin zu involvieren. PCI ermöglicht einen Geschäftsplan, welches eng mit der Informationssicherheit verbunden ist.
  • Benennen Sie einen eindeutigen Verantwortlichen, der sowohl PCI als auch Sicherheit vorantreibt, der bevollmächtigt ist eine Mehrzahl von Support-Teams anzuweisen. Ohne einen eindeutigen Verantwortlichen werden Sicherheit und Einhaltung leiden.

Für mehr Informationen

Hören Sie Brian Contos den Chief Security Strategist von Imperva im Interview mit Dr. Larry Ponemon als podcast oder laden Sie das transskript herunter.

Über das Ponemon Institute

Das Ponemon Institute© widmet sich der Förderung verantwortlicher Information und Datenschutz-Management-Verfahren in Unternehmen und der öffentlichen Verwaltung. Um dieses Ziel zu erreichen, unternimmt das Institut unabhängige Forschung, bildet Führungspersonal aus dem privaten und öffentlichen Sektor aus und überprüft Datenschutzverfahren von Organisationen unterschiedlicher Branchen. Besuchen Sie das Ponemon Institute unter www.ponemon.org.

Über Imperva

Imperva, einer der führenden Datensicherheitsspezialisten, ermöglicht einen kompletten Sicherheitslebenszyklus für Unternehmensdatenbänke und die Anwendungen, die diese verwenden. Über 4.500 der führenden Unternehmen, Regierungsorganisationen und Managed-Services-Anbieter verlassen sich auf Imperva, um den Diebstahl sensibler Daten zu verhindern, sich gegen Datenmissbrauch zu schützen, Anwendungen abzusichern und die Vertraulichkeit von Daten zu gewährleisten. Das ausgezeichnete Produkt ‚Imperva SecureSphere‘ ist die einzige Lösung, die eine vollständige Aktivitätsüberwachung liefert, von der Datenbank bis zum verantwortlichen Anwendungsbenutzer. Ferner wird das Produkt für das übergreifend-einfache Management und den bequemen Einsatz anerkannt. Für mehr Informationen besuchen Sie www.imperva.com.

# # #

Presse Kontakt

Neil Stinchcombe, Eskenzi PR Ltd.
Tel: +44(0)2071 832 833
neil@eskenzipr.com

Rob Rachwald, Imperva
Tel: +1 415 613 4008
rob.rachwald@imperva.com