Finanzdienstleister gehören zu den von Datenverlust und Datendiebstahl am meisten bedrohten Unternehmen. Sowohl für externe Angreifer wie für Innentäter sind Daten aus Zahlungsvorgängen enorm wertvoll. Im vergangenen Jahr kam es bei einer ganzen Reihe von Banken und Kreditinstituten in der ganzen Welt zu Datenpannen, auch Institute in Deutschland waren betroffen. So mussten mehrere Banken Anfang 2016 wegen eines Datenlecks bei einem Kreditkarten-Dienstleister Kreditkarten austauschen. Geschuldet ist die Zunahme der Datenverluste auch dem sprunghaften Anstieg von Spear-Phishing-Attacken und CEO-Betrug, bei denen hilfsbereite Angestellte daran mitwirken, dass Karteninhaberdaten und weitere abhandengekommen sind.
Was ist PCI-DSS?
Mit dem Payment Card Industry Data Security Standard, kurz PCI oder PCI-DSS, verfügt die Finanzindustrie über ein Regelwerk für die Abwicklung von Kartentransaktionen. Es soll sicherstellen, dass sämtliche Unternehmen, die personenbezogene Daten von Inhabern von Karten wie Kontokarten, Kreditkarten, Prepaid-Karten oder Geldkarten beziehungsweise Daten für die Benutzerauthentifizierung speichern, übermitteln, oder verarbeiten, Sicherheitsstandards zum Schutz dieser Daten einhalten. Zu diesen Unternehmen gehören nicht nur Banken und Kreditkarten-Dienstleister, sondern ebenso der stationäre Handel und Webshop-Betreiber. Das Regelwerk deckt sämtliche Verarbeitungsprozesse vom Eintrittspunkt von Zahlungskartendaten in ein System bis zur Art und Weise der Verarbeitung ab. Seine Einhaltung wird, in Abhängigkeit vom Transaktionsvolumen des Unternehmens, überprüft, bei Nichteinhaltung drohen empfindliche Strafen. Die Organisation, die die Standards weiterentwickelt, ist das 2006 gegründete PCI Security Standards Council.
Die zwölf PCI-Anforderungen
Das Regelwerk besteht aus einer Liste von zwölf Anforderungen an die IT-Systeme der Unternehmen, Unterpunkte beschreiben die Anforderungen im Detail sowie die Prüfverfahren:
- Firewall zum Schutz der Karteninhaberdaten installieren und warten
- Die vom Hersteller gelieferten Kennwörter und anderen Sicherheitseinstellungen ändern
- Gespeicherte Daten von Karteninhabern schützen
- Daten von Karteninhabern bei der Übertragung über öffentliche Netze verschlüsseln
- Alle Systeme vor Schadcode schützen, Virenschutzprogramme regelmäßig aktualisieren
- Sichere Systeme und Anwendungen entwickeln und diese warten
- Zugriff auf Karteninhaberdaten auf das Notwendige beschränken
- Systemzugriff nur mit Benutzerkennung
- Beschränkung des physischen Zugriffs auf Daten von Karteninhabern
- Alle Zugriffe auf Netzwerke und Daten von Karteninhabern protokollieren und überwachen
- Sicherheitssysteme und -prozesse regelmäßig testen
- Sicherheitsrichtlinien für alle Mitarbeiter einführen und verwalten
Welche PCI-Anforderungen deckt Endpoint Protector ab?
Grundsätzlich enthält die Lösung für Data Loss Prevention Endpoint Protector im Modul Content Aware Protection Überwachungsfunktionen, mit der Unternehmen Dateien inhaltbasiert prüfen und den Transfer beispielsweise über E-Mail-Anwendungen, browser-basierte Anwendungen wie Cloud-Speicher oder Social Media oder auf mobile Speichergeräte blockieren können. EPP enthält dafür auch vordefinierte PCI-Richtlinien für Kreditkarten-Nummern, Daten von Karteninhabern und ähnliche.
Zudem unterstützt EPP bei den folgenden Anforderungen:
Anforderung 3
Schutz gespeicherter Daten: Werden personenbezogene Daten auf USB-Geräten gespeichert, verschlüsselt die in Endpoint Protector integrierte Verschlüsselungslösung die Daten beim Transfer standardmäßig und speichert sie in einem Verschlüsselungs-Container.
Anforderung 7.1
Beschränkung des Datenzugriffs: Endpoint Protector bietet die Erstellung von IT-Compliance-Richtlinien bis auf die Ebene einzelner Benutzer. Da nicht jeder Mitarbeiter für seine Aufgaben Zugriff auf alle Daten benötigt, verringert die Beschränkung des Datenzugriffs auf Mitarbeiter, die tatsächlich mit den personenbezogenen Daten der Karteninhaber arbeiten müssen, das Risiko versehentlicher Datenweitergabe und versehentlichen Datenverlustes.
Anforderung 9.5
Beschränkung des physischen Zugriffs: Mit Endpoint Protector lassen sich dedizierte Richtlinien für die Geräteüberwachung einrichten. Damit wird unterbunden, dass nicht befugte Personen Speichergeräte an den Endgeräten benutzen und sensitive Daten kopieren, ansehen oder scannen.
Die Finanzindustrie gilt als Vorreiter bei der Implementierung von IT-Sicherheitslösungen. Allerdings gehört sie auch zu den Top-Zielen für Angriffe von außen und ist anfälliger als andere Branchen für Schäden infolge Datendiebstahls oder zufälliger Datenverluste durch Angestellte. Mit PCI steht ihr ein auf ihre Branche exakt zugeschnittener, klar formulierter Anforderungskatalog zur Verfügung. Dennoch sollten die Unternehmen berücksichtigen, dass der Schutz der Karteninhaberdaten und weiterer sensibler Daten über die in PCI aufgeführten Lösungen, Verfahren und Technologien hinaus ergänzt werden muss.