VERIZON-REPORT ZUR PCI-COMPLIANCE: GUTE UND SCHLECHTE NACHRICHTEN

APTs (Advanced Persistent Threats) stehen seit kurzer Zeit vermehrt im Rampenlicht. Die meisten Hacking-Angriffe basieren auf einfachen Methoden: Hintertüren, Passwort-Roulette etc. Die komplexe Malware, die in APTs verwendet wird, ist deutlich...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Verizon ist nicht nur eine ausgezeichnete Quelle für Hacking-Statistiken, sondern veröffentlicht auch eine eigene Studie zur Einhaltung des PCI Data Security Standard (DSS). Seit 2009 haben Verizon und die zugehörigen Sicherheitsgutachter (Qualified Security Assessors, QSA) 4.000 Bewertungen meist großer, internationaler Unternehmen vorgenommen. Nachdem erst kürzlich wieder Kreditkartendaten auf spektakuläre Weise entwendet wurden, bietet es sich an, einmal zu überprüfen, wie gut Unternehmen im Hinblick auf die Anforderungen des PCI-Standards gewappnet sind.

Laut den Prüfungsergebnissen von Verizon gibt es sowohl gute als auch schlechte Nachrichten. Um die Ergebnisse zu verstehen, sollte man wissen, dass der DSS 2.0 aus zwölf Anforderungen besteht, die in insgesamt etwa 290 Unterpunkte unterteilt sind. Sie können hier einen Blick auf den DSS werfen, wenn Sie sich mit den Einzelheiten auseinandersetzen wollen.

Unter den guten Nachrichten sticht diese hier besonders hervor: Die 2013 überprüften Unternehmen erfüllten durchschnittlich 85 % der Anforderungen des DSS 2.0. Mit anderen Worten: Im Durchschnitt bestanden die Unternehmen die Prüfung in 245 von 290 Unterpunkten.

Gab es Unternehmen, die alle zwölf Anforderungen erfüllten? 2013 berichtete Verizon, dass nur 11 % der geprüften Unternehmen alle Anforderungen des DSS 2.0 erfüllten; die statistischen Daten deuteten allerdings auf eine Verbesserung in den letzten Jahren hin. Dies ist laut Verizon höchstwahrscheinlich auf eine neue Bewertung des PCI DSS und auf die ausführliche Berichterstattung zu Sicherheitsvorfällen zurückzuführen.

Die gute Nachricht

Die Berichte über Datendiebstahl und entwendete Kreditkartendaten haben ihr Gutes: Die Verbraucher sind zunehmend für das Thema Datensicherheit sensibilisiert.

Die schlechte Nachricht

Solche Vorfälle machen weiterhin Schlagzeilen. Wie man bei Verizon offen zugibt, sind die Hacker außerordentlich erfolgreich bei der Ausnutzung von Schwachstellen im Zusammenhang mit bestimmten DSS-Anforderungen. An einer Stelle des Data Breach Investigations Report (DBIR) 2014 bemerkt Verizon, dass die technische Kompetenz der Hacker bei rund 75% der Angriffe gering bis sehr gering war. Die Leser dieses Blogs sollte das nicht weiter überraschen.

Das ist eine höfliche Umschreibung der Tatsache, dass Hacker mit dem Erraten von Passwörtern und anderen Brute-Force-Ansätzen bislang sehr erfolgreich waren, sind und leider auch weiterhin sein werden.

Bei DSS-Anforderung 2 zum Beispiel laut der keine Standard-Passwörter oder -Sicherheitseinstellungen verwendet werden sollten erfüllten 2013 nur 50 % der Unternehmen alle Unterpunkte (eine schnelle Zählung ergab, dass es etwa 25 sein müssten). Das ist eine deutliche Verbesserung gegenüber 2012, wo nur 20% diese Punkte einhielten!

Die Statistiken für Anforderung 8, laut der für den Zugriff auf Systemkomponenten eine Identifizierung und Authentifizierung erforderlich ist, sind ermutigender: 62 % der Unternehmen gaben an, sie vollständig einzuhalten. Doch Verizon überprüfte große Unternehmen mit mehreren Standorten, bei denen man eigentlich davon ausgehen sollte, dass sie höher entwickelte Authentifizierungstechniken einsetzen sollten.

Daher sind die Zahlen eher alarmierend – die Überprüfung hätte reine Routine sein und ein einwandfreies Ergebnis liefern müssen.

Der Bericht enthält noch weitere interessante Daten und widerlegt außerdem einige der Kritikpunkte, die im Zusammenhang mit dem PCI-Standard geäußert worden sind. Darauf gehe ich im nächsten Blog-Eintrag näher ein.

The post VERIZON-REPORT ZUR PCI-COMPLIANCE: GUTE UND SCHLECHTE NACHRICHTEN appeared first on Varonis Deutsch.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

verlassen-sie-sich-beim-schutz-vor-advanced-persistent-threats-nicht-auf-höhere-schutzwände
VERLASSEN SIE SICH BEIM SCHUTZ VOR ADVANCED PERSISTENT THREATS NICHT AUF HÖHERE SCHUTZWÄNDE
APTs (Advanced Persistent Threats) stehen seit kurzer Zeit vermehrt im Rampenlicht. Die meisten Hacking-Angriffe basieren auf einfachen Methoden: Hintertüren, Passwort-Roulette etc. Die komplexe Malware, die in APTs verwendet wird, ist deutlich...
ssl-und-tls-1.0-reichen-nicht-mehr-für-pci-compliance
SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance
Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf...
was-phishing,-nutzergenerierte-daten-und-das-datenrisiko-verbindet
Was Phishing, nutzergenerierte Daten und das Datenrisiko verbindet
Vergangene Woche schrieb ich über die Bedeutung des Vortrags, den Bruce Schneider kürzlich bei einer Kryptografie-Konferenz in New York hielt. Kurz zusammengefasst: Advanced Persistent Threats (APTs) und Phishing...
unerwartet-stürmisch:-non-compliance-und-wirtschaftskriminalität-“nach-nsa“
Unerwartet stürmisch: Non-Compliance und Wirtschaftskriminalität “nach NSA“
Von Cyril Simonnet Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten...