Die zwölf neuen Richtlinien betreffen Webshop-Betreiber, News-Portale, Finanzseiten und andere Unternehmen, die Kreditkartendaten speichern, übermitteln oder abwickeln. Für kleinere Händler mit ein bis sechs Millionen Übertragungen jährlich greifen die Vorschriften ab dem 31. Dezember. Unternehmen mit mehr als sechs Millionen Transaktionen pro Jahr müssen sich bereits ab dem 30. September an den Standard halten und zudem ihre Netzsicherheit einmal pro Quartal extern prüfen lassen.
PCI DSS: das Zwölf-Punkte-Programm
Nach dem Payment Card Industry Data Security Standard haben die Händler zwölf Voraussetzungen zu erfüllen, die in sechs Kategorien eingeteilt wurden:
Aufbau und Wartung eines gesicherten Netzwerks
Installation und Pflege einer Firewall zur Absicherung der Daten;
Änderung von voreingestellten Kennwörtern und Sicherheitskonfigurationen der eingesetzten Netzwerk-Peripherie;
Datenschutz
prinzipieller Zugriffsschutz auf die gespeicherten Kreditkartendaten;
verschlüsselte Übertragung der Kreditkartendaten in öffentlichen Rechnernetzen;
Einsatz von Sicherheitslösungen
Einsatz und regelmäßige Updates von Virenschutzprogrammen;
Entwicklung und Pflege sicherer Systeme und Anwendungen;
Implementierung strenger Zugriffs-Kontrollmechanismen
Einschränkung von Datenzugriffen auf autorisierte Unternehmen und Institutionen;
Zuteilung einer einmaligen Nutzerkennung für jede Person mit Rechnerzugang;
Beschränkung des physikalischen Zugriffs auf Kreditkartendaten;
Überwachung des Netzwerkverkehrs
Protokollierung und Prüfung aller Datenzugriffe;
Regelmäßige Prüfung der Sicherheitssysteme und –prozesse;
Verbindliche Sicherheitspolicies
Installation von unternehmensweit einheitlichen Sicherheitsrichtlinien.
Dass ein einheitlicher Sicherheitsstandard notwendig ist, zeigen die steigenden Umsatz- und Käuferzahlen im Internet. Nach Angaben des Bundesverbandes der Digitalen Wirtschaft (BVDW) gab es 2006 allein in Deutschland über 27 Millionen Online-Shopper. Mit den neuen Richtlinien will die Kreditkarten-Industrie den Diebstahl von Kunden- und Kreditkartendaten eindämmen und das Vertrauen der Kunden in elektronische Bezahlsysteme erhöhen.
Geldstrafen und Ausschluss drohen
Wer die zwölf Regeln nicht befolgt, muss mit Strafen rechnen. Unter anderem sollen für jeden Kreditkartendatensatz, der aufgrund mangelhafter Einhaltung des DSS kompromittiert werden konnte, fünf Euro Bußgeld fällig werden. Wenn ein einziger Angriff auf unzureichend geschützte Daten eines oder mehrerer Kunden zusammen mehr als 100.000 Euro kostet, wird eine zusätzliche Strafgebühr fällig. Dem Händler drohen darüber hinaus Einschränkungen bis hin zum dauerhaften Ausschluss vom Kreditkartenprogramm bei Anbietern wie Visa und Mastercard. Alle Strafen setzen allerdings zunächst voraus, dass ein Missbrauchsfall eintritt – sie greifen nicht bei der bloßen Nichteinhaltung der neuen Richtlinien.
Wirtschaft reagiert geteilt
In Analystenkreisen ist man geteilter Meinung über den neuen Standard. Avivah Litan von Gartner sieht die eng gefassten Vorschriften zwar positiv, da sie wenig Raum zur Interpretation ließen. Dennoch sei es für Großkonzerne beinahe unmöglich, Millionen Datensätze dermaßen strikt gegen alle Eventualitäten abzusichern. Darüber hinaus verlören zahlreiche Großhändler nach Auffassung Litans ihre wirtschaftliche Unabhängigkeit, wenn sie verpflichtet würden, externe Sicherheits-Auditoren zu beschäftigen. Die geeigneten Prüfer arbeiteten nämlich zumeist in den Unternehmen, die auch die Hard- und Softwarelösungen zur Einhaltung des Standards vertrieben.
Bob Russo, Geschäftsführer des PCI Security Standard Council, das die Einhaltung der Standards überwacht, zieht hingegen ein überwiegend positives Fazit der ersten Reaktionen aus der Industrie: "Einige Händler wollen genaue Vorschriften serviert bekommen. Diesen Wunsch erfüllen wir ihnen mit dem DSS. Andere hatten die Standards bereits vorher erfüllt und werden von unseren Richtlinien nicht weiter berührt."
Termineinhaltung bleibt ungewiss
Ob der PCI Data Security Standard wie geplant zum 30. September respektive 31. Dezember tatsächlich weltweit in Kraft treten kann, ist aber noch nicht sicher: Das Kreditkarten-Unternehmen Visa meldete erst vergangene Woche aus Kanada, dass die großen Online-Händler dort Probleme bekämen, die Richtlinien rechtzeitig bis Ende des Monats umzusetzen. Dennoch hält man in Kanada bislang an den gesetzten Terminen fest.