Kreditkartenindustrie drängt Unternehmen zur Verwendung von DMARC-Tools

Unternehmen, ob groß oder klein, sehen sich mit einer drohenden Frist konfrontiert, in der sie den globalen DMARC-Standard (Domain-based Message Authentication, Reporting and Conformance) für E-Mail-Sicherheit und Markenschutz implementieren müssen - oder sie müssen mit erheblichen Konsequenzen rechnen.

Der Payment Card Industry Security Standards Council (PCI SSC) hat die Verwendung von DMARC bis 2025 für alle Unternehmen, die Kreditkarten und andere Zahlungen abwickeln, sowie für Finanzdienstleister vorgeschrieben[1]. DMARC ist offiziell Teil des neuesten PCI Data Security Standard, Version 4 (PCI DSS v4.0).

Die DMARC-Anforderung soll Unternehmen dabei helfen, in einem wirtschaftlichen Umfeld sicherer zu arbeiten, in dem die Zahl der Datenschutzverletzungen und Kreditkartendiebstähle immer weiter ansteigt und auch die Kosten steigen, wie jüngste Statistiken zur Cybersicherheit zeigen. Es wird auch erwartet, dass die Einführung von DMARC beschleunigt wird, da die Nichteinhaltung von PCI DSS zu Geldstrafen und Sanktionen bis hin zum Verlust des Rechts, Zahlungen abzuwickeln, führen kann. Andererseits ist es für die meisten Unternehmen - insbesondere für kleine und mittlere Unternehmen (KMUs) - schwierig, den E-Mail-Authentifizierungsstandard zu übernehmen, da sich DMARC-Tools als kompliziert in der Anwendung erwiesen haben.

Warum die PCI-Einhaltung jetzt DMARC-Tools erfordert

DMARC wurde erstmals 2015 von der Internet Engineering Task Force (IETF) veröffentlicht und ermöglicht es E-Mail-Absendern und -Empfängern, Informationen über die Legitimität von E-Mails sowie Anweisungen zum Umgang mit verdächtigen E-Mails auszutauschen. Diese Anweisungen - DMARC-Richtlinien genannt - können zum Beispiel so eingestellt werden, dass E-Mails von Domänen, die einen DMARC-Authentifizierungstest nicht bestehen, automatisch zurückgewiesen werden.

Der PCI SSC arbeitet seit seiner Gründung im Jahr 2006 durch eine Gruppe von Kreditkartenunternehmen an der Bekämpfung von Kreditkartendiebstahl und -betrug. Die 800 Kreditkarten- und Zahlungsabwicklungsunternehmen, die jetzt das PCI SSC bilden, schreiben in ihren Verträgen die Einhaltung der PCI-Richtlinien vor und sehen Geldbußen und andere Strafen für die Nichteinhaltung vor. [2]

Dank der Effektivität von DMARC, die verhindert, dass Phishing-E-Mails, die die Domäne einer Marke fälschen, beim Empfänger ankommen, werden die beiden Bemühungen nun in PCI DSS v4.0 zusammengeführt. 

Sowohl Phishing als auch Brand Spoofing haben zugenommen:

• Phishing: Im Global Fraud and Payments Report 2023 des Merchant Risk Council haben Einzelhändler und andere Unternehmen Phishing als die häufigste Art von Betrugsangriff und als wachsendes Problem bezeichnet[3]. Tatsächlich gaben 43 % der Händler an, dass sie im Jahr 2022 Betrug durch Phishing-Angriffe erlebt haben, gegenüber 35 % im Jahr 2021.
• Spoofing: Im Bericht State of Email Security 2023 (SOES 2023) von Mimecast gaben fast alle Unternehmen an, dass ihre Webdomain im vergangenen Jahr geklont wurde. Und 44 % gaben an, dass sie im Vergleich zum Vorjahr einen Anstieg des Missbrauchs ihrer Marken durch gefälschte E-Mails festgestellt haben.

Die Kosten, die den Unternehmen durch Cyber-Kreditkartendiebstahl entstehen, steigen. Laut dem IBM-Bericht "2023 Cost of a Data Breach Report" kosten kompromittierte Datensätze mit persönlich identifizierbaren Informationen (PII), einschließlich solcher mit Kreditkarteninformationen, Unternehmen 183 US-Dollar pro Datensatz - mehr als jede andere Kategorie von Vermögenswerten, die bei Datenschutzverletzungen gestohlen werden. [4 ] PII von Kunden sind auch der am häufigsten verletzte Datentyp, verglichen mit PII von Mitarbeitern, geistigem Eigentum und anderen Kategorien. PII von Kunden machen 52 % aller Verstöße im Bericht 2023 aus, ein Anstieg um acht Prozentpunkte in den letzten zwei Jahren.

Laut dem Identity Theft Resource Center (ITRC), dessen Bericht über die Auswirkungen auf die Verbraucher im Jahr 2023 einen Anstieg ausgeklügelter Social-Engineering-Betrügereien, wie z. B. Phishing zur Erlangung von Kreditkartennummern, und einen Anstieg der damit verbundenen Dollarverluste feststellt, wächst auch die Sorge der Verbraucher. [5 ] Fast ein Drittel (31 %) der Opfer, die dem ITRC im Jahr 2022 Identitätsdiebstahl gemeldet haben, sahen sich gezwungen, ihren Kredit einzufrieren.

Die Vermählung von PCI DSS und DMARC-Tools

Der im März 2022 herausgegebene PCI DSS v4.0 führt Anti-Phishing-Mechanismen wie DMARC als empfohlene Best Practice an. Bis Ende März 2025 werden solche Anstrengungen für die PCI-Konformität erforderlich sein[6].

Der aktualisierte Standard fordert eine Kombination von Anti-Phishing-Kontrollen, die unternehmensweit angewendet werden. Die Liste umfasst:

• DMARC-Tools und das zugehörige Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM), um Phisher davon abzuhalten, die Domäne des Unternehmens zu fälschen und sich als Mitarbeiter auszugeben.
• Anti-Malware-Technologien und URL-Schutz, um Phishing-E-Mails und Malware zu blockieren, bevor sie die Mitarbeiter erreichen.
• Cybersicherheitsschulungen für Mitarbeiter zur schnellen Erkennung und Meldung von bösartigen E-Mails.

Andere allgemeine PCI DSS-Bestimmungen, die für die Sicherheit von E-Mails und E-Mail-Archiven gelten, umfassen Netzwerksicherheitskontrollen, Verschlüsselung, Richtlinien für die zulässige Nutzung, Tests und Mindestrichtlinien für die Datenaufbewahrung und -entsorgung - alles im Rahmen einer übergreifenden Informationssicherheitspolitik.

Unternehmen setzten DMARC-Tools nur langsam ein

Laut dem Global Fraud and Payments Report[7 ] geben Händler etwa ein Zehntel ihres jährlichen E-Commerce-Umsatzes für das Management von Zahlungsbetrug im Allgemeinen aus. Bisher hat DMARC in den Budgets der Unternehmen keine große Rolle gespielt.

Der Bericht SOES 2023 von Mimecast bestätigt, dass die Einführung von DMARC in den letzten Jahren bei einer Marktdurchdringung von unter 30 % stagnierte. In einem von Mimecast gesponserten Bericht der Enterprise Strategy Group (ESG) wird festgestellt, dass DMARC auch in anderer Hinsicht nicht sein volles Potenzial ausschöpft. Anstatt DMARC-Tools zur Festlegung und Durchsetzung von Richtlinien für den Umgang mit unerlaubten E-Mails zu verwenden (z. B. automatische Zurückweisung), wurden sie in erster Linie zur Überwachung und Berichterstattung eingesetzt.

Die Komplexität hat den Einsatz von DMARC-Tools behindert. Das DMARC-Reporting kann zeitaufwändig sein, da Sicherheitsteams unzählige Berichte durchforsten, um zu überprüfen, welche Domains gültig sind und welche nicht, so der ESG-Bericht. 

PCI-Konformität soll DMARC-Einführung beschleunigen

Der Standard PCI DSS v4.0 und die PCI-Compliance-Verpflichtungen werden dies voraussichtlich ändern. Unternehmen bewerten die Einhaltung bestehender und neuer Anforderungen in der Regel selbst, aber Datenschutzverletzungen ziehen die Aufmerksamkeit der PCI-Compliance-Beamten auf sich. Einem kürzlich erschienenen Artikel von CSO Online zufolge sind die Bußgelder unterschiedlich hoch, können aber bei 5.000 Dollar pro Monat liegen und sich verzehnfachen, wenn die Einhaltung der Vorschriften nicht innerhalb einiger Monate wiederhergestellt wird. Bußgelder in Höhe von 50 bis 90 US-Dollar pro von einer Datenschutzverletzung betroffenem Kunden können ebenfalls fällig werden, wenn ein Unternehmen die PCI-Vorschriften nicht einhält.[8] 

Andere aktuelle Entwicklungen, wie das Aufkommen von Zero-Trust-Strategien, beschleunigen ebenfalls die Verbreitung von DMARC, ebenso wie die zunehmende Verfügbarkeit von verwalteten DMARC-Diensten und Selbstbedienungsplattformen. Lösungen wie diese reduzieren die Komplexität von DMARC mit Hilfe von Assistenten für die Einrichtung von Datensätzen und benutzerfreundlichen Berichten zur Analyse und Durchsetzung von Richtlinien. Lösungen wie der DMARC Analyzer von Mimecast können auch in verschiedene Sicherheitstools integriert werden, um die Nutzung noch einfacher zu gestalten.

Mehr als ein Viertel (27 %) der Teilnehmer an der SOES 2023-Umfrage gaben an, dass ihr Unternehmen bereits DMARC zur Bekämpfung von E-Mail-Spoofing einsetzt, 35 % sind dabei, es einzuführen, und 26 % wollen es in den nächsten 12 Monaten einführen. 

Die Quintessenz

Alle Unternehmen, die Zahlungen abwickeln, müssen bis März 2025 DMARC-Tools für die E-Mail-Sicherheit und den Markenschutz gemäß der jüngsten Aktualisierung des PCI DSS-Standards implementieren. Es wird erwartet, dass das Mandat die Einführung von DMARC wieder ankurbeln wird, da die grundlegenden Probleme des E-Mail-Phishings und des Kreditkartendiebstahls weiter zunehmen. Machen Sie sich bereit. Holen Sie sich hier eine kostenlose Testversion des DMARC Analyzers von Mimecast.

[1 ] "Live-Diskussion über PCI DSS v4.0", LinkedIn

[2 ] "Verzeichnis der teilnehmenden Organisationen", PCI Security Standards Council

[3 ] "2023 Global Fraud and Payments Report", Merchant Risk Council und Visa Cybersource

[4 ] "Cost of a Data Breach Report 2023", IBM und Ponemon Institute

[5 ] "2023 Consumer Impact Report", Identitätsdiebstahl-Ressourcenzentrum

[6 ] "Payment Card Industry Data Security Standard Version 4.0", PCI Security Standards Council

[7 ] "2023 Global Fraud and Payments Report", Merchant Risk Council und Visa Cybersource

[8] "PCI DSS Erläutert: Anforderungen, Geldbußen und Schritte zur Einhaltung," CSO Online