11,1 %

4

9

2013 WAREN NUR

11,1 %DER VON UNS BEWERTETEN

UNTERNEHMEN VOLLKOMMEN

PCI-DSS-KONFORM

1

2

3

5

6

78

0 % konform

100 % konformCompliance-Skala

4

10

11

12

9

84,4 %73,3 % 77,8 %

84,4 %

86,7 %

73,3 %

68,9 %

73,3 % 82,2 %

97,8 % 95,6 %

80,0 %

80,0 %

51,1 %

80,0 %

55,6 %

91,1 %

97,8 %95,6 % 93,3 %

95,6 %

95,6 %93,3 %

84,4 %

82,2 %44,4 %

80,0 %93,3 % 88,9 %

88,9 %80,0 %

84,4 %

88,9 %80,0 %

73,3 %

66,7 %

84,4 %82,2 %93,3 %93,3 %88,9 %

71,1 %

84,4 %

86,7 %

73,3 %

73,3 %75,6 %100 %

73,3 %53,3 %

93,3 %100 %75,6 %77,8

%

51,1

%

93,3 %80,0 %

84,4 %

73,3 %

100 %

95,6 %

77,8 %

Nur 53,3 % der Unternehmen erfülltendie Anforderung, keine werkseitigen Standardpasswörter zu verwenden. Viele haderten mit den Teilanforderungen unter 2.2.2 – nur 50,5 % waren mit beiden konform.

Im Jahr 2013 waren 80,0 % der Unternehmenkonform – an zweiter Stelle in unserer Studie. Alle, die Anforderung 4 nicht erfüllten, scheiterten an 4.1.a, der Datenverschlüsselung bei der Übertragung über unsichere Netze.

2012 erfüllte nur ein Drittel (34,0 %) derVirenschutzmaßnahmen alle Anforderungen.2013 stieg die Compliance-Rate sprunghaft auf 84,4 %.

Nur 13,2 % der Unternehmen erfüllten 2012 alle Anforderungen in Bezug auf die Speicherung von Karteninhaberdaten. Im Jahr 2013 stieg diese Zahl auf 55,6 %.

Über 70 % der Unternehmenwaren 2013 mit

80-99 % der Anforderungen

konform (45 Prozentpunkte

mehr als 2012).

+180 %

*Im Jahr 2013 waren 11,1 %

der Unternehmen zum Zeitpunkt

ihrer Erstbewertungvollständig konform – verglichen mit 7,5 %

im Jahr 2012.

+48 %Der Trend ist vielversprechend: 46,9 % der Unternehmen sind konform. Aber das effektive Log-Management birgt noch Herausforderungen. Dieses warnt frühzeitig vor Angriffen und verringert den Datenverlust im Ernstfall.

35 % der Verstöße gingen mit physischen Angriffen einher, und POS-Geräte sind ein häufiges Ziel. Zwischen 2012 und 2013 verdreifachte sich die Erfüllung von Anforderung 9 nahezu auf 75,6 %.

2

Von 2012 bis 2013 verdoppelte sich die Compliance-Rate auf 35,6 %. Dennoch scheitern Unternehmen nach wie vor daran, zwei wichtige Maßnahmen zu implementieren: das Sperren von Nutzerkonten nach maximal sechs erfolglosen Anmeldeversuchen und den Abbruch voninaktiven Sitzungen nach 15 Minuten. So machen sie es Kriminellen leichter, rechtmäßige Nutzerkonten zu kapern.

Unternehmen erkennen, dass effektive Sicherheitunternehmensweite Wachsamkeit erfordert. DieEinhaltung von Anforderung 12 stieg sprunghaft von17,0 % im Jahr 2012 auf 55,6 % im Jahr 2013 an.

Die durchschnittliche Compliance-Rate stieg von 52,9 %

im Jahr 2012 auf 85,2 %

im Jahr 2013.

+61 %

Die Verluste durch

Kartenmissbrauch nehmen weltweit zu.

Laut The Nilson Report beliefen sich dieVerluste im Jahr

2012 auf etwa 11,27 Mrd. $.

11,27Mrd. $

Anforderung 11 [regelmäßiges Testen vonSicherheitssystemen und -prozessen] bleibt 2013 auf dem letzten Platz. Aber die Compliance verbesserte sich von 11,3 % im Jahr 2012 auf 40,0 % im Jahr 2013.

2013 waren zum Zeitpunkt der Datenkompromittierungnur 12,5 % der betroffenen Unternehmen konform – verglichen mit einem Durchschnitt von 46,7 % bezogen auf alle Unternehmen.

Es hat sich bewährt, den Zugriff auf Karteninhaberdaten auf das geschäftlich Notwendige zu beschränken. Die meisten Unternehmen sind sich mittlerweile bewusst, dass es nicht akzeptabel ist, Nutzern Zugang zu allen Daten zu gewähren, und folglich ist die Compliance-Rate auf 77,8 % hochgeschnellt.

2013 waren 16,4 % der von einer Datenkompromittierung betroffenen Unternehmen konform – verglichen mit einem Durchschnitt von 53,3 % bezogen auf alle bewerteten Unternehmen. Dies lässt auf eine Korrelation zwischen Non-Compliance und Datenkompromittierungen schließen.

on 2012

Daten aus dem Verizon 2014 PCI Compliance Report

1. The Nilson Report © 2013 2. Verizon 2013 Data Breach Investigations Report

© 2014 Verizon. Alle Rechte vorbehalten. Der Name und das Logo von Verizon sowie sonstige Namen, Logos und Slogans, die auf Produkte und Dienstleistungen von Verizon verweisen, sind Marken und Dienstleistungsmarken oder eingetragene Marken und Dienstleistungsmarken der Verizon Trademark Services LLC oder ihrer verbundenen Unternehmen in den USA und/oder anderen Ländern. Alle anderen genannten Handelsmarken und Dienstleistungsmarken sind Eigentum der jeweiligen Rechteinhaber.

Laden Sie den Verizon 2014 PCI Compliance Report herunter: verizonenterprise.com/de/pcireport/2014

Ihre Marke und Ihr Ansehen hängen von der Sicherheit Ihrer Daten abGeschäfte macht man mit Unternehmen, denen man vertraut. Allerdings stellen wir fest, dass nur eines von neun Unternehmen (11,1 %) bei seiner Ausgangsbewertung vollständig konform ist. Bei einer Datenkompromittierung gehen nicht nur Daten und Vertrauen verloren: Unternehmen müssen mit Betriebsunterbrechungen, Geldbußen und Umsatzverlusten rechnen. 2012 entstanden durch Kartenbetrug weltweit Verluste von 11,27 Milliarden $.1 Da so viel von Ihren Kundendaten abhängt, ist es wichtiger denn je sie zu schützen.

PCI-DSS-Anforderungen

1 Installation und Wartung einer Firewallkonfiguration zum Schutz der Karteninhaberdaten

2 Keine werksseitigen Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden

3 Schutz gespeicherter Karteninhaberdaten4 Verschlüsselung von Karteninhaberdaten

bei der Übertragung über öffentliche Netze5 Verwendung und Aktualisierung von

Virenschutzsoftware oder -programmen6 Entwicklung und Wartung sicherer Systeme

und Anwendungen7 Beschränkung des Datenzugriffs auf das

geschäftlich Notwendige8 Zuweisung einer eindeutigen ID für jede

Person mit Computerzugang9 Beschränkung des physischen Zugriffs auf

Karteninhaberdaten10 Verfolgung und Überwachung aller

Zugriffe auf Netzwerkressourcen und Karteninhaberdaten

11 Regelmäßiges Testen der Sicherheitssysteme und -prozesse

12 Befolgen einer Richtlinie zur Informations-sicherheit durch das gesamte Personal