Im Jahr 2022 erwirtschafteten "mobile Technologien und Dienste 5% des BIP, ein Beitrag, der sich auf $5,2 Billionen belief", so die GSMA. Da so viel auf dem Spiel steht und für digitale Geldbörsen bis 2026 ein Wachstum von 15% CAGR prognostiziert wird, war die Gewährleistung der Sicherheit von Zahlungsdaten noch nie so wichtig wie heute.
Seit mehr als einem Jahrzehnt ist die Rat für Sicherheitsstandards der Zahlungskartenindustrie (PCI SSC) hat sich an vorderster Front für die Sicherheit des digitalen Zahlungsverkehrs eingesetzt. Als globaler Rat, der 2006 von American Express, Discover, JCB International, MasterCard und Visa Inc. gegründet wurde, treibt das PCI SSC die Einführung von Datensicherheitsstandards voran und stellt Ressourcen zur Verfügung, um Zahlungen weltweit sicher zu machen.
Der Rat legt diese Standards im Rahmen des Payment Card Industry Data Security Standard (PCI DSS) fest, einem Regelwerk zum Schutz von Zahlungskartenkontodaten und des gesamten Zahlungsumfelds. Die neueste Version seiner Richtlinien, PCI DSS 4.0, wird wichtige neue Standards für digitale Zahlungen setzen, indem sie eine Multi-Faktor-Authentifizierung (MFA) vorschreibt. Da "jeder Händler, unabhängig von der Anzahl der verarbeiteten Kartentransaktionen, PCI-konform sein muss", bedeutet dieser neue Leitfaden eine große Veränderung für die Unternehmen weltweit.
Lassen Sie uns also überprüfen, wann Unternehmen auf PCI DSS 4.0 umstellen müssen, was das neue Rahmenwerk erfordert, welchen Wert MFA für alle Unternehmen hat und wie Unternehmen MFA am besten schnell und erfolgreich implementieren können.
PCI DSS v4.0 wurde im März 2022 veröffentlicht und enthält mehrere wichtige Änderungen und Aktualisierungen im Vergleich zur Vorgängerversion v3.2.1. Eine der wichtigsten Aktualisierungen in der neuesten Version ist, dass die MFA hatte war in früheren Versionen des PCI DSS eine bewährte Praxis, Version 4.0 erfordert MFA für alle Konten, die nach dem 31. März 2025 auf Karteninhaberdaten zugreifen können.
Die Strafen für die Nichteinhaltung der PCI-Vorschriften sind hoch. PCI ist zwar kein Gesetz, aber Verstöße gegen den PCI DSS können zwischen $5.000 und $100.000 kosten. Und die Kreditkartenunternehmen selbst können höhere Transaktionsgebühren verlangen oder sogar die Verwendung einer bestimmten Karte für Zahlungen widerrufen, wenn ein Unternehmen die Vorschriften nicht einhält.
Die MFA-Anforderung in PCI DSS v4 ist eine der größten, wertvollsten und wichtigsten Aktualisierungen für globale Händler. MFA ist eine entscheidende Komponente der Cybersicherheitsarchitektur: die Verizon 2023 Data Breach Investigations Report stellte fest, dass "die Verwendung gestohlener Zugangsdaten in den letzten fünf Jahren zum beliebtesten Einstiegspunkt für Sicherheitsverletzungen wurde". MFA hätte viele - wenn nicht sogar alle - der Sicherheitsverletzungen, die mit gestohlenen Zugangsdaten begannen, von vornherein verhindern können.
Genauso wichtig wie die Frage, wie es zu Datenverletzungen kommt, ist die Frage, warum Cyberkriminelle handeln: Verizon fand heraus, dass "finanzielle Motive immer noch die überwiegende Mehrheit der Verstöße ausmachen". Tatsächlich waren finanzielle Motive im vergangenen Jahr für 94,6% aller Sicherheitsverletzungen verantwortlich. Da die meisten Cyberkriminellen dem Geld folgen, ist es wahrscheinlich, dass sie die Zahlungsinformationen und die Infrastruktur angreifen, über die jedes Jahr Milliarden von Dollar übertragen werden.
MFA könnte Cyberkriminelle daran hindern, sich mit gestohlenen Zugangsdaten unbefugt Zugang zu verschaffen und sensible Informationen oder Zahlungskartendaten zu exfiltrieren. MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer zwei oder mehr verschiedene Faktoren angeben müssen, um Zugang zu einer Ressource zu erhalten. Dabei kann es sich um etwas handeln, das sie kennen (z. B. ein Einmalpasswort), etwas, das sie besitzen (z. B. eine Smartcard oder ein mobiles Gerät), oder etwas, das sie sind (z. B. eine biometrische Verifizierung). Mit MFA kann ein zusätzlicher Faktor den Zugriff auf gesicherte Ressourcen oder Anwendungen verhindern, selbst wenn ein Cyberkrimineller das Passwort eines Benutzers stiehlt oder fälscht.
Da so viele Datenschutzverletzungen mit dem Brechen von Passwörtern beginnen und MFA viele davon hätte verhindern können, ist MFA eine der dauerhaftesten Best Practices der Cybersicherheit: MFA-Lösungen sind Anforderungen in Staatliche Mandate für Cybersicherheit und Cyber-Versicherungspolicen. MFA sorgt nicht nur dafür, dass Unternehmen die Vorschriften einhalten und sicher sind, sondern kann sich auch positiv auf das Ergebnis auswirken: Die IBM Bericht über die Kosten einer Datenpanne 2023 ergab, dass Datenschutzverletzungen durchschnittlich $4,45 Millionen kosten.
MFA bietet Unternehmen große Vorteile: Sie sorgt für eine stärkere Cybersicherheit, verhindert Datenverletzungen, schützt den Gewinn eines Unternehmens, erhält das Vertrauen der Kunden und bewahrt Unternehmen vor Geldstrafen. Letztendlich bietet die PCI-Compliance im Allgemeinen und die Implementierung von MFA im Besonderen erhebliche Vorteile.
Und noch eine gute Nachricht: Die MFA-Implementierung muss kein lästiger Aufwand sein. RSA bietet eine Reihe von MFA-Optionen an - darunter Biometrie, Push-to-Approve, Einmalpasswort und FIDO-basierte Authentifizierung -, die alle Unternehmen dabei helfen können, die neuen MFA-Anforderungen von PCI DSS 4.0 zu erfüllen. Als Teil von ID Plus kann RSA MFA sogar auf lokale, Multicloud- und hybride Umgebungen ausgeweitet werden.
Probieren Sie es selbst aus: Melden Sie sich für eine kostenlose, 45-tägige Testversion von ID Plus an, um MFA über MFA, OTP, passwortlos und mehr zu testen.
