Beim Schutz von Kreditkartendaten gehen Gefühl und Statistik auseinander. Die Informationen können besser geschützt werden, als viele Entscheider glauben. Das legt zumindest die "2011 PCI DSS Compliance Trends Study" nahe, die das US-amerikanische Ponemon Institute im Auftrag des US-Sicherheitsanbieters Imperva unter 670 international tätigen Unternehmen durchgeführt hat.
Die Analyse fokussiert sich auf die Frage, inwieweit sich die Richtlinie Payment Card Industry Data Security Standard (PCI DSS) durchgesetzt hat. Diese Richtlinie umfasst insgesamt zwölf Anforderungen an die Netzwerksicherheit von Unternehmen. Der PCI DSS regelt innerhalb des Zahlungsverkehrs die Kreditkartentransaktionen und wird, so Ponemon, "von allen wichtigen Kreditkartenanbietern unterstützt".
In der Studie betrachten die Forscher die vergangenen zwei Jahre. Folgt man ihren Worten, könnten zum Beispiel deutsche Unternehmen der Forderung der Bundesregierung nach mehr IT-Sicherheit mit PCI DSS nachkommen.
Dazu ein paar Zahlen: Unter den Firmen, die den PCI-Standard eingeführt haben, blieben fast zwei Drittel (64 Prozent) ohne Datenverlust im Bereich Kreditkartendaten. Das gilt aber nur für 38 Prozent derer, die auf den Standard verzichten.
Die Firmen mit dem Standard schneiden auch sonst besser ab: In Punkto "generelle Datenverluste" beklagten 63 Prozent lediglich einen Vorfall. Bei den nicht PCI DSS-konformen Unternehmen sind es nur 22 Prozent. 25 Prozent derer, die ohne den Standard arbeiten, verzeichneten mehr als fünf Fälle von Datenverlust.
Soweit die Ponemon-Statistik. Die Zahlen überzeugen allerdings nicht jeden: 16 Prozent der Befragten halten nach eigenen Angaben keinen einzigen Punkt der Richtlinie ein. Eine große Mehrheit von 88 Prozent erklärt denn auch, sie glaubten nicht, dass die Einhaltung des Standards den Datenschutz verbessert. Die Implementierung von PCI DSS gilt als so kompliziert, dass der Nutzen den Aufwand nicht rechtfertigt.
Immerhin geben jedoch zwei Drittel an, ihre Richtlinienkonformität in den vergangenen zwei Jahren "verbessert" zu haben. Instituts-Gründer Larry Ponemon zieht das Fazit, offenbar hätten "viele Anwender einen unzureichenden Eindruck vom Wert der Einhaltung der PCI DSS".
IT-ler sehen keinen Zusammenhang zwischen Compliance und den Markenwerten eines Unternehmens
Das liegt laut Ponemon nicht zuletzt auch an der mangelnden internen Unterstützung durch Führungskräfte. Offenbar gilt PCI DSS überwiegend als IT-Thema. Weil IT-ler keinen Zusammenhang sehen zwischen Datensicherheit beziehungsweise Compliance einerseits und den Markenwerten ihres Unternehmens andererseits, machen sie sich auch nicht unbedingt stark dafür. Nur 19 Prozent der Informatiker glauben, dass das Eine mit dem Anderen zu tun hat.