In den USA gab es mal wieder einen großangelegten Diebstahl von Identitätsdaten. Dem Lebensmittelhändler Hannaford wurden etwa 4,2 Millionen (!) Datensätze von Kunden gestohlen. Ok, das ist ein beliebtes Problem und ich vermeide es auch, mit Karte bei Aldi, Lidl und Co. zu bezahlen.
Interessant wird der Vorgang eigentlich erst durch etwas ganz anderes. Nur einen Monat bevor der Datendiebstahl bekannt wurde und während der Klau bereits in vollem Gang war bestand Hannaford ein PCI Security Audit. Der PCI Standard (Payment Card Industry) wurde von den großen Kreditkartenfirmen Visa und Mastercard entwickelt um sicherzustellen, dass Unternehmen die Karten annehmen gewisse Mindestsicherheitsstandards erfüllen, die eigentlich vor genau so einem Datendiebstahl schützen sollen. Wenn jedoch eine Firma das Audit besteht während gerade der Diebstahl stattfindet … das ist wie bei einer Sicherheitsbegehung in einer Bank die gerade ausgeraubt wird.
Was ist das gesamte PCI als Sicherheitsstandard und Zertifizierung dann eigentlich überhaupt noch wert?