Tripwire: Einhaltung der PCI Compliance schützt Handel nicht automatisch vor Cyberattacken

Die Tripwire Inc., ein globaler Anbieter von umfangreichen Bedrohungsschutz-, IT-Sicherheits- und Compliance-Lösungen, hat heute die kombinierten Ergebnisse einer im Jahr 2014 im Handelsumfeld von Dimensional und Atomic Research im Auftrag von Tripwire durchgeführten Cybersecurity Umfrage vorgestellt. In der Umfrage wurden die Meinungen von 407 Handels- und Finanzdienstleistungsunternehmen in den USA und Großbritannien hinsichtlich verschiedenen Cybersicherheits-Themen untersucht.

Im Gegensatz zu industriell erfassten Daten zeigt die Cybersecurity Umfrage von Tripwire im Einzelhandel, dass die Organisationen, die ihre IT-Sicherheitsprogramme vor allem auf der Einhaltung der PCI Compliance aufgebaut haben, doppelt so zuversichtlich wie andere Organisationen sind, dass sie gefährliche Applikationen selbst entdecken würden, die die Daten aus dem Netzwerk stehlen können. Diese Befragten waren auch überwiegend davon überzeugt, dass sie in der Lage wären, falsch konfigurierte oder unautorisierte Netzwerkfreigaben selbst erkennen zu können – ein Hauptangriffsvektor bei zielgerichteten Datenschutzangriffen.

Die Forschungsdaten aus dem industriellen Umfeld zeigen leider deutlich, dass die meisten Datenschutzverstöße für Wochen, Monate oder sogar länger unentdeckt bleiben. Der Trustwave Global Security Report 2014 (Info-Point-Security berichtete) deckte bereits auf, dass der Einzelhandel mittlerweile das Hauptziel für die Cyberkriminellen ist und auf dieses Segment 35 Prozent aller untersuchten Angriffe des Jahres 2013 entfielen. In diesem Bericht ist zudem zu lesen, dass der Prozentsatz der Unternehmen, die den Datenverlust selber feststellten, von 37% aus dem Jahr 2012 auf 33% im Jahr 2013 gefallen ist.

“Zusammengefasst zeigen diese Cybersecurity Umfrageergebnisse im Einzelhandel dass die meisten Kreditkartendaten-verarbeitenden Unternehmen hinsichtlich ihrer IT-Sicherheitsprogramme einen grundlegenden Diskussionsstandard benötigen” erklärt Dwayne Melancon, Chief Technology Officer bei Tripwire. “Obwohl die meisten Befragten sehr zufrieden mit ihren Investitionen in die IT-Sicherheit sind, so ist überhaupt nicht klar, was die Grundlage für diese Zuversicht ist. Anstatt in die Entwicklung von grundlegenden geschäftsrelevanten IT-Sicherheits-Prozessen zu investieren sind die meisten Unternehmen nur auf generelle IT-Sicherheitsmaßnahmen fokussiert, die – obwohl notwendig – nicht mehr ausreichend die Organisationen vor den heutigen komplexen Cyberattacken schützen.”

Die wichtigsten Umfrageergebnisse von den Befragten, die PCI als “Rückgrat ihres IT-Sicherheitsprogramms” angaben, sind:

  • 89 Prozent erklärten Sie „würden“ in der Lage sein, eine Datenschutzverletzung innerhalb von drei Tagen zu erkennen
  • 69 Prozent seien “sehr zuversichtlich” betrügerische Applikationen erkennen zu können
  • 64 Prozent sind ebenfalls “sehr zuversichtlich” unerlaubte Netzwerkfreigaben aufspüren zu können

“Es macht durchaus Sinn, dass die Einhaltung der PCI Compliance das Vertrauen in die eigene Cybersicherheit erhöht” erklärt Tim Erlin, Leiter der IT-Sicherheit und Risikostrategie bei Tripwire. “Ein strukturiertes Programm, dessen Maßnahmen vor Ort objektiv durch Dritte bemessen werden, ist deutlich besser als lediglich lose formulierte Vorgaben die nur durch interne Mitarbeiter überprüft werden. Dennoch haben die meisten Organisationen immer noch nicht verstanden, dass das eigentliche Ziel der PCI Compliance nur der Schutz der Daten der Karteninhaber ist. PCI schützt nicht den Rest des Unternehmens.”

Der Tripwire Retail Security Survey Report 2014 ist hier nach einer kurzen Registrierung erhältlich: http://www.tripwire.com/register/tripwire-2014-retail-security-survey-report

Über Tripwire
Tripwire ist ein weltweit führender Anbieter von auf Risiko-Analysen basierenden IT-Sicherheits- und Compliance-Management-Lösungen, die es Unternehmen, Behörden und Service Providern ermöglichen, die notwendige IT-Sicherheit in ihren Geschäftsalltag zu integrieren. Tripwire bietet ein breites Produktportfolio für grundlegende IT-Sicherheitsmaßnahmen wie eine sichere Konfigurationsverwaltung, Schwachstellenmanagement, die Überwachung der Integrität von Dateien wie auch das Log- und Event-Management. Die Lösungen von Tripwire ermöglichen einen bisher unerreichten Einblick in wichtige IT-Sicherheitsbereiche und stellen die erforderlichen Zusammenhänge zum geschäftskritischen Umfeld her. Die Kunden können ihre sensiblen Daten vor Datenverlust, Schwachstellen und Bedrohungen schützen. Weitere Informationen finden Sie unter http://www.tripwire.com