:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance ist kein Grund für Selbstzufriedenheit PCI-Sicherheit – Geschäftschance oder Ausstiegsgrund?
In vielen Branchen herrscht ein Missverständnis vor: Compliance mit PCI-Sicherheitsrichtlinien sei eine rein technische Angelegenheit, die nicht über das Wohl des Unternehmens entscheidet. Doch angesichts der zunehmenden Bedrohungen und schützenswerten Daten wird die Einhaltung gesetzlicher und industrieller Vorgaben immer wichtiger.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Die Herausforderungen und die Verantwortung von Organisationen nehmen zu, je mehr sensible Daten sie speichern und je stärker sie Datenverletzungen und Schwachstellen ausgesetzt sind. Ginge es nach vernünftigen Geschäftspraktiken, so sollte man Investitionen kontinuierlich schützen und das Ertragspotenzial eines jeden genutzten Assets steigern.
Das Akzeptieren von Zahlungskarten ist nach wie vor ein wertvolles Unternehmens-Asset. Bei gutem Management und ausreichendem Schutz verspricht die Zahlungskarten-Akzeptanz auch in Zukunft eine gute Investmentrendite. Tut man dies nicht, sind Probleme programmiert. Allerdings muss man dann auch die Vorgaben des Payment Card Industry Data Security Standard (PCI DSS) umsetzen.
Die Autoren des Verizon 2014 PCI Compliance Report haben herausgefunden, dass viel zu viele Unternehmen im Anschluss an ihr jährliches Assessment bei der Aufrechterhaltung von Compliance versagen – und damit ihr Geschäft einem erhöhten Risiko in Form von Datenverletzungen und damit verbundenen Schäden in finanzieller und reputativer Hinsicht aussetzen.
2013 erfüllten 11,1 Prozent der Organisationen zum Zeitpunkt ihres Baseline-Assessments die PCI-DSS-Richtlinien zu 100 Prozent, 2012 waren es gerade einmal 7,5 Prozent. Und wir beobachten immer wieder, dass viele Unternehmen PCI-Compliance lediglich als ein Ereignis betrachten, das einmal im Jahr vorkommt. Ihnen ist nicht bewusst, dass Compliance etwas ist, das 365 Tage im Jahr im Mittelpunkt stehen muss.
Ist PCI DSS eher Fluch oder Segen?
Unternehmen stellen häufig die Frage: Kann man PCI-Compliance wirklich als Geschäftschance betrachten? Die Antwort ist ein definitives Ja. Compliance, Sicherheit und Datenschutz sind entscheidend für das Geschäft und stellen für jedes Unternehmen, das diese Bedingungen erfüllt, eine Chance dar.
Vom PCI Security Standards Council selbst ist zu hören, dass die Änderungen in PCI DSS 3.0 (PDF, 5 MB) darauf abzielen, Organisationen bei der Einnahme einer proaktiven Herangehensweise an den Schutz von Karteninhaberdaten zu unterstützen, die sich auf Sicherheit und nicht so sehr auf Compliance konzentriert und PCI DSS zu einer tagtäglichen Geschäftspraxis macht.
Unternehmen profitieren merklich davon, wenn sie Compliance-Maßnahmen zum „business as usual“ machen. Allerdings werden sie etwas Hilfestellung bei der Durchführung ihrer Sicherheits- und Compliance-Programme benötigen, wenn es um Assessment, Management, Change Control und das Reagieren auf Vorfälle geht.
Wie Unternehmen von PCI-Compliance profitieren
Eine engere Ausrichtung an Informationssicherheits-Governance und Management-Qualitätsstandards oder Verweise darauf – besonders im Bezug auf die Einbindung von Befähigungs- und Performance-Maturitätsmodellen – wären zum Beispiel hilfreich. Bei richtiger Handhabung kann Compliance zur Optimierung von Prozessen beitragen, Chancen zur Konsolidierung von Infrastruktur aufzeigen und neue Einnahmequellen erschließen, wie etwa:
- Verbesserte geschäftliche Effizienz: Programme zur Erreichung von PCI Security Compliance sind eine hervorragende Gelegenheit, betriebliche Abläufe von Anfang bis Ende neu zu überdenken – Prozessoptimierung, verbesserte interne Kommunikation und aus Managementsicht ein besserer Überblick über Sicherheit und damit verbundene Ausgaben sind die Folge.
- Effizientere IT-Services: Bestrebungen, die PCI Security Standards zu erfüllen, schließen fast immer Änderungen an der IT sowie am Geschäft insgesamt ein. Compliance-Programme bieten die Möglichkeit, einen strategischen Blick auf Systeme und Investitionen zu werfen, die sich womöglich im Laufe der Jahre angesammelt haben. Daraus ergeben sich Vorteile wie Konsolidierung und Straffung der Infrastruktur, Optimierung von Sicherheit, Business Continuity, Handhabbarkeit und System-Performance.
- Verringertes Risiko: Bei der Initiierung eines PCI Security Compliance Programms schaut man häufig zum ersten Mal auf die Informationsverfügbarkeit im Unternehmen. Der Basissatz an Kriterien, der daraus hervorgeht, lässt sich auch auf andere Arten von Daten und Systemen außerhalb der Karteninhaberdaten-Umgebung anwenden. Er trägt zu mehr Sicherheit bei und verringert Risiko-Schwachstellen.
- Mehr Innovation: Bei Compliance geht es nicht nur darum, Lücken zu stopfen. PCI Security Compliance kann durchaus Innovation vorantreiben, etwa durch Einführung neuer Technologien (z. B. Cloud-Computing und mobile Services), Arbeitsmethoden oder gar Geschäftsmodelle. Beispielsweise haben Einzelhändler zur Erfüllung von PCI-Anforderungen neue Point-of-Sale-Systeme angeschafft und sind dadurch in den Genuss weiterer Vorteile wie erhöhter Durchsatz und neue Einnahmekanäle durch Werbemöglichkeiten gekommen.
- Gestärktes Kundenvertrauen: Die Kunden von morgen werden noch anspruchsvoller sein. Big Data und weiterentwickelte Analysemethoden bieten neuartige Einblicke in das Kundenverhalten, jedoch nur, wenn die Kunden dem Unternehmen im Hinblick auf Daten vertrauen. Die Anwendung von PCI-Sicherheitsstandards im gesamten operativen Kundengeschäft trägt zum Schutz der Privatsphäre der Kunden und zum Aufbau von Vertrauen in die Marke(n) des Unternehmens bei.
Organisationen müssen kontinuierlich nicht nur ihren PCI-Security-Compliance-Status überprüfen, sondern auch die Datenschutzrichtlinien ihrer allgemeinen Sicherheitspraktiken. Hundertprozentige Compliance mit PCI DSS zu einem gegebenen Zeitpunkt macht ein Geschäft nicht 100-prozentig sicher, sie ist lediglich ein Teil der größeren Sicherheitslösung.
* Ciske van Oosten ist Director of Operations bei Global Verizon PCI Security Practice.
(ID:42955782)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904571/original.jpg "Auch im Cloud-native-Umfeld wollen sensible und personenbezogene Daten geschützt sein. (kran77 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")