Ein Kreditkartensystem funktioniert nur, wenn es das Vertrauen der Kunden hat. Um Kreditkartenbetrug und anderen Delikten im Zusammenhang mit Karten vorzubeugen, haben Anbieter wie Visa, American Express, Mastercard mit dem Payment Card Industry Data Security Standard (PCI-DSS) ein Security-Regelwerk für Verarbeitung, Speicherung und Übertragung von Karteninformationen entwickelt.
Beim PCI-DSS handelt es sich nicht um eine gesetzliche Regelung, sondern um einen weltweit anerkannten Standard. Alle Unternehmen, die Karten- und Transaktionsdaten verarbeiten, müssen Sicherheitsmaßnahmen umsetzen, die der Standard vorgibt. Händler und Dienstleister erhalten nur dann die Erlaubnis der Banken, Kartenzahlungen zu akzeptieren, wenn sie alle zwölf Anforderungen des Standards erfüllen und deren Einhaltung jährlich bescheinigen lassen. Bei Verstößen müssen die Firmen mit Geldbußen rechnen; Händler riskieren, dass die Banken ihnen die Annahme von Kreditkarten untersagen.
Die Anforderungen betreffen grundlegende Schutzmaßnahmen wie Firewall und Virenschutz, aber auch komplexere Maßnahmen wie die Entwicklung sicherer Systeme und Anwendungen. Wie Firmen die Anforderungen am besten erfüllen, zeigen die folgenden fünf Best Practices
1.Transparenz herstellen
Zu den grundlegenden Anforderungen für den Schutz von Daten nicht nur im Rahmen von PCI-DSS, sondern auch der DSGVO gehört, dass Unternehmen wissen müssen, wo sich die Daten befinden und wohin sie übermittelt werden. Schließlich kann man nichts schützen, von dem man nichts weiß. Unternehmen müssen also die Datenbewegungen erfassen und ihr Netzwerk regelmäßig scannen, um sicherzustellen, dass unvorsichtige Mitarbeiter Karteninformationen gespeichert oder an nicht adäquaten Speicherorten vergessen haben.
Dafür kann eine DLP-Lösung wie Endpoint Protector eingesetzt werden. Mit eDiscovery-Funktionalität können Unternehmen manuell oder automatisch nach Kreditkarteninformationen auf den Arbeitsplatzrechnern im Firmennetz suchen und die Daten verschlüsseln oder löschen.
2. Daten in Bewegung schützen
Daten in Bewegung lassen sich am besten mittels Tokenisierung (Tokenization) oder Verschlüsselung schützen. Bei Bezahlvorgängen arbeitet Tokenisierung mit Ersatzwerten (Token); die Originaldaten befinden sich auf einem externen Tokenisierungs-Server, auf dem sie vor unbefugtem Zugriff geschützt sind. Bei der Verschlüsselung gelten SSL und frühere TLS-Versionen nicht mehr als sicher. Unternehmen, die bei der Verschlüsselung von Karteninformationen PCI-DSS-konform vorgehen wollen, müssen seit Juli 2018 mindestens TLS 1.1, besser noch TLS v1.2 verwenden.
Daten in Bewegung werden auch durch DLP-Lösungen überwacht. Dabei werden mittels vordefinierter Richtlinien Kreditkarteninformationen erkannt und ihre Übermittlung über Kanäle blockiert, die als nicht sicher angesehen werden. Das können beispielsweise Messaging-Tools oder Filesharing-Dienste sein.
3. Zugriffsrechte einschränken
Der PCI-DSS-Anforderung 7 entsprechend muss der Zugang zu den Daten von Karteninhabern auf das Erforderliche beschränkt werden. Unternehmen müssen ermitteln, welche Mitarbeiter für ihre Arbeit Zugriff benötigen und mit geeigneten Lösungen und Prozessen weiteren Zugriffsmöglichkeiten unterbinden.
Dafür müssen den Mitarbeitern eindeutige ID-Nummern zugewiesen werden, anhand derer nachverfolgt werden kann, welche Mitarbeiter Kreditkartendaten verwenden. Tools für Access Rights Management (ARM, Berechtigungsmanagement) ermöglichen dann die Rechtevergabe entsprechend der aufgabenspezifischen Erfordernisse und verhindern unbefugte Zugriffe.
4. Mitarbeiter schulen
Eine ganz erhebliche Schwachstelle in jeder Sicherheitsstrategie ist der Mensch. Untersuchungen zeigen, dass in mehr als die Hälfte aller Vorfälle mit unerlaubtem Datenabfluss die eigenen Mitarbeiter involviert sind. Unternehmen sollten die Mitarbeiter als Faktor der PCI-DSS-Compliance nicht außer Acht lassen und bedenken, dass sich die Wirksamkeit technischer Lösungen wie DLP, ARM oder Antivirus steigern lässt, wenn Mitarbeiter verstehen, weshalb sie notwendig sind.
Mitarbeiter, die um die Bedeutung von Sicherheitsmaßnahmen wissen und verstehen, welche Auswirkungen Verstöße gegen Regelungen wie PCI-DSS haben, sind weniger gewillt, Schutzlösungen zu umgehen. Unternehmen müssen daher in branchenspezifische Schulungen investieren.
5. Erfassen und protokollieren
Anforderung 12 des PCI-DSS gibt die Festlegung unternehmensweiter Sicherheitsrichtlinien für Mitarbeiter und Vertragspartner mit regelmäßiger Überprüfung und Aktualisierung sowie Risikobewertung und Incident Response-Plan vor. Eine aussagekräftige Dokumentation ist die Grundlage für Entscheidungen über den weiteren Ausbau der Sicherheitsmaßnahmen und hilft dabei, Compliance nachzuweisen.
Das Überwachen und Protokollieren sämtlicher Zugriffe auf Netzwerkressourcen und Karteninhaberdaten enthält die Anforderung 10. Die Unternehmen sollten daher sicherstellen, dass ihr Virenschutz sicherheitsrelevante Ereignisse erfasst. Eine DLP-Lösung protokolliert alle versuchten unberechtigten Datentransfers und die dafür verantwortlichen Anwender.
