Verizon ist nicht nur eine ausgezeichnete Quelle für Hacking-Statistiken, sondern veröffentlicht auch eine eigene Studie zur Einhaltung des PCI Data Security Standard (DSS). Seit 2009 haben Verizon und die zugehörigen Sicherheitsgutachter (Qualified Security Assessors, QSA) 4.000 Bewertungen meist großer, internationaler Unternehmen vorgenommen. Nachdem erst kürzlich wieder Kreditkartendaten auf spektakuläre Weise entwendet wurden, bietet es sich an, einmal zu überprüfen, wie gut Unternehmen im Hinblick auf die Anforderungen des PCI-Standards gewappnet sind.
Laut den Prüfungsergebnissen von Verizon gibt es sowohl gute als auch schlechte Nachrichten. Um die Ergebnisse zu verstehen, sollte man wissen, dass der DSS 2.0 aus zwölf Anforderungen besteht, die in insgesamt etwa 290 Unterpunkte unterteilt sind. Sie können hier einen Blick auf den DSS werfen, wenn Sie sich mit den Einzelheiten auseinandersetzen wollen.
Unter den guten Nachrichten sticht diese hier besonders hervor: Die 2013 überprüften Unternehmen erfüllten durchschnittlich 85 % der Anforderungen des DSS 2.0. Mit anderen Worten: Im Durchschnitt bestanden die Unternehmen die Prüfung in 245 von 290 Unterpunkten.
Gab es Unternehmen, die alle zwölf Anforderungen erfüllten? 2013 berichtete Verizon, dass nur 11 % der geprüften Unternehmen alle Anforderungen des DSS 2.0 erfüllten; die statistischen Daten deuteten allerdings auf eine Verbesserung in den letzten Jahren hin. Dies ist laut Verizon höchstwahrscheinlich auf eine neue Bewertung des PCI DSS und auf die ausführliche Berichterstattung zu Sicherheitsvorfällen zurückzuführen.
Die gute Nachricht
Die Berichte über Datendiebstahl und entwendete Kreditkartendaten haben ihr Gutes: Die Verbraucher sind zunehmend für das Thema Datensicherheit sensibilisiert.
Die schlechte Nachricht
Solche Vorfälle machen weiterhin Schlagzeilen. Wie man bei Verizon offen zugibt, sind die Hacker außerordentlich erfolgreich bei der Ausnutzung von Schwachstellen im Zusammenhang mit bestimmten DSS-Anforderungen. An einer Stelle des Data Breach Investigations Report (DBIR) 2014 bemerkt Verizon, dass die technische Kompetenz der Hacker bei rund 75% der Angriffe gering bis sehr gering war. Die Leser dieses Blogs sollte das nicht weiter überraschen.
Das ist eine höfliche Umschreibung der Tatsache, dass Hacker mit dem Erraten von Passwörtern und anderen Brute-Force-Ansätzen bislang sehr erfolgreich waren, sind und leider auch weiterhin sein werden.
Bei DSS-Anforderung 2 zum Beispiel laut der keine Standard-Passwörter oder -Sicherheitseinstellungen verwendet werden sollten erfüllten 2013 nur 50 % der Unternehmen alle Unterpunkte (eine schnelle Zählung ergab, dass es etwa 25 sein müssten). Das ist eine deutliche Verbesserung gegenüber 2012, wo nur 20% diese Punkte einhielten!
Die Statistiken für Anforderung 8, laut der für den Zugriff auf Systemkomponenten eine Identifizierung und Authentifizierung erforderlich ist, sind ermutigender: 62 % der Unternehmen gaben an, sie vollständig einzuhalten. Doch Verizon überprüfte große Unternehmen mit mehreren Standorten, bei denen man eigentlich davon ausgehen sollte, dass sie höher entwickelte Authentifizierungstechniken einsetzen sollten.
Daher sind die Zahlen eher alarmierend – die Überprüfung hätte reine Routine sein und ein einwandfreies Ergebnis liefern müssen.
Der Bericht enthält noch weitere interessante Daten und widerlegt außerdem einige der Kritikpunkte, die im Zusammenhang mit dem PCI-Standard geäußert worden sind. Darauf gehe ich im nächsten Blog-Eintrag näher ein.
The post VERIZON-REPORT ZUR PCI-COMPLIANCE: GUTE UND SCHLECHTE NACHRICHTEN appeared first on Varonis Deutsch.