02.10.2007, 09:01 Uhr
Kreditkartennummer ohne Reue
Die Kreditkartenbetreiber wollen Webshops zu mehr Sicherheit anhalten. In gut einem Jahr müssen die Vorschriften umgesetzt sein.
Roman Hugelshofer von Visonys lobt die klaren Anweisungen im PCI-DSS.
Wer online mit der Kreditkarte einkauft, den beschleicht oft ein Gefühl der Unsicherheit: Wo wird die Nummer gespeichert, wer hat Zugriff auf die Karteninformation und kann jemand die Daten abfangen? Gegen das Unbehagen im Webshop haben namhafte Kreditkartenfirmen, allen voran Mastercard Worldwide und Visa International, nun den internationalen Datensicherheitsstandard PCI-DSS (Payment Card Industry Data Security Standard) ausgearbeitet. Der seit 2005 erarbeitete Standard gilt seit letztem Wochenende und ist für alle Firmen bindend, die Kreditkartendaten elektronisch speichern.
Die Kreditkartenindustrie sei nun daran, ihre Kunden auf die frisch in Kraft getretenen Richtlinien hinzuweisen, erklärt Roman Hugelshofer, Verkaufschef der Schweizer Spezialistin für Webapplikations-Security Visonys, gegenüber Computerworld. «Richtig durchgesetzt wird der Standard voraussichtlich erst im Sommer 2008», weiss er. Als Strafen für Firmen, die sich bis dann nicht an die Vorschriften halten, könnten beispielsweise die Kommissionen erhöht werden.
«PCI-DSS soll aber keinesfalls als Schikane verstanden werden», argumentiert Hugelshofer. «Vielmehr sollen neben den Verbrauchern auch die Shopbetreiber geschützt werden und sich an den Richtlinien festhalten können», sagt er. Dass sich der Standard durchsetzen werde, sei auch auf die knappe und klare Formulierungen zurückzuführen, meint Hugelshofer, dessen Firma das erste deutschsprachige Mitglied in der PCI Security Vendor Alliance ist.
Nicht nur Anbieter von Sicherheitsprodukten sehen Positives in den Vorgaben. Avivah Litan, Marktbeobachterin bei der Gartner Group, lobt ebenfalls die klaren Vorgaben des Standards: «PCI-DSS ist wirklich einzigartig, wie konkret er in seinen Vorgaben ist - ganz im Gegenteil zu Sarbanes-Oxley, dessen Vorschriften zur Datensicherheit sehr schwammig formuliert sind». Trotzdem gebe es auch kritische Stimmen von Grossunternehmen, denen die Vorgaben zu strikt sind, meint Litan. Bob Russo vom PCI Security Standards Council nimmt deren Argumente ernst und will sie in künftige Ausgaben der Vorschriften einbinden. «Die Mehrheit der Online-Läden ist allerdings froh, dass wir ihnen so klare Hinweise geben.»
www.pcisecuritystandards.org Sicherheitsstandards
Vorgaben des Payment Card Industry Data Security Standard (PCI DSS)
Die Kreditkartenindustrie fordert von den Betreibern von Webshops folgende Massnahmen zur Erhöhung der Datensicherheit:
1. Installation und Pflege einer Firewall zur Absicherung aller Daten
2. Kennwörter und andere Sicherheitseinstellungen müssen nach der Werksauslieferung geändert werden
3. Sicherung der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmässiges Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das absolut Notwendige
8. Zuteilen einer einmaligen Benutzerkennung für jede Person mit Rechnerzugang9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern£
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Kontinuierliche Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführung unternehmensweit einheitlicher Sicherheitsrichtlinien
