Remsik macht darauf aufmerksam, dass die PCI-Compliance Validation für große Dienstleistungsanbieter definiert ist und auch den Einsatz externer Sicherheitsexperten einschließt. Im Gegensatz dazu können sich Händler und kleinere Dienstleister nur auf das eigene Personal verlassen, das möglicherweise wichtige Hinweise auf Sicherheitslücken nicht erkennt. Zu den Problemsektoren zählt Remsik, dass viele Finanzdienstleister kaum gegen Cross-Sripting (XSS) über das Internet geschützt sind. Das bedeutet, dass externe Angreifer es verhältnismäßig leicht haben, eine Website mit eigenen – illegitimen – Daten zu überlagern. Viele Finanzdienstleister sind bereits Opfer dieser Angriffe geworden. Eine weitere Gruppe, die Angriffen ausgesetzt ist, sind Online-Shopper. Auch sie sind sich häufig nicht der Gefahren bewusst, welchen sie und ihre Finanzdaten im Internetverkehr ausgesetzt sind. SSL-Verschlüsselung reiche nicht aus, so Remsik, um Freizeit-Hacker oder kriminelle Eindringlinge vom Plündern der Konten abzuhalten. In seinem Report hebt Forrester hervor, dass der PCI-Standard nur ein Mindestmaß an Sicherheit bietet. Daher haben Master Card und Visa den ihnen angeschlossenen Instituten auch gestattet, strengere Klassifikationskriterien und stringentere Anforderungen hinsichtlich der Compliance Validation festzulegen. Nach Ansicht von Remsik sollten Händler und Banken zu ihrem Schutz – und zu dem ihrer Kunden – folgende zusätzliche Maßnahmen ergreifen: Zum einen rät er, zertifizierte IT-Sicherheitsexperten in die Überprüfung der PCI-Security einzubeziehen, da diese sowohl IT-Expertise als auch Erfahrungen hinsichtlich der Absicherung von Bezahlsystemen einbringen können. Des Weiteren schlägt er vor, interne Auditoren in den Überprüfungsprozess zu integrieren. Diese verfügen über Erfahrungen in Bezug auf Prüfungsabläufe sowie –techniken und können so den Umfang der Selbstüberprüfung um weitere Aspekte erweitern. tduechting@hfn.de www.forrester.com