Risiko und Compliance

risiko_1

Prolog:
Für viele deutsche Großunternehmen und eine immer größere Anzahl von kleinen und mittelständischen Unternehmen aller Branchen ist der Begriff Compliance aus dem täglichen Umgang, gleichermaßen mit Mitarbeitern, Zulieferern und Kunden, nicht mehr wegzudenken. Viel zu massiv ist der Druck und die sich hieraus ergebenden Regularien, sowohl im nationalen wie auch im internationalen, täglichen Geschäftsumfeld.

Leider ist die Zahl der Unternehmen, die eine Notwendigkeit von Compliance-Instrumentarien missachten oder bei der Umsetzung auf halbem Weg stehen bleiben, immer noch sehr groß! Risiken und Sanktionen könnten mithilfe der Compliance-Umsetzung im Unternehmen somit in noch viel größerem Maße vermieden werden, als es momentan der Fall ist.

Compliance im Jahr 2015

Die Aufmerksamkeit der Öffentlichkeit für Compliance-Vorfälle ist durch eine Vielzahl prominenter Vorkommnisse deutlich größer geworden, etwa im Segment des Kartellrechts in Form von Preis- oder Zinsabsprachen oder durch Korruptionsfälle bei der Vergabe von Großaufträgen oder im Zuge der momentanen Berichterstattung und Aufarbeitung zum Thema FIFA und Korruption bei der Vergabe der Fußballweltmeisterschaften 2018 an Russland und 2022 an Katar.

Die Thematik Compliance ist für die meisten Großunternehmen und immer mehr kleine und mittelständische Unternehmen ein fester Bestandteil der täglichen Aufgaben geworden. Der professionelle Einsatz der einzelnen Compliance-Instrumentarien in den Unternehmen variiert jedoch, und zu oft bleibt die konsequente Durchsetzung eines Compliance Management Systems (CMS) auf halber Strecke stehen.

Studie „Compliance Readiness in deutschen Unternehmen 2015“

Betrachtet man die Ergebnisse einer Studie im Kontext eines Projektes der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, bei der im Dezember 2014 169 Compliance-Verantwortliche aus deutschen Unternehmen befragt wurden, so bestätigt sich der Eindruck eines teils fahrlässigen Umgangs mit der Thematik Compliance.

Aspekte dieser Studie waren unter anderem die Auslöser einer Compliance-Aktivierung und aktiven Umsetzung im Unternehmen sowie der aktuelle Ist-Zustand und die Probleme bei der Umsetzung aller Compliance-Anforderungen. Nachfolgend werden einige Ergebnisse der Studie im Hinblick auf den Compliance-Bereich dargestellt und erläutert.

Ist der Ruf erst ruiniert …

Fast alle Teilnehmer der Studie sind sich über die Wichtigkeit des Imagewertes ihres Unternehmens gegenüber Kunden und Lieferanten bewusst. Die nachfolgende Grafik zeigt die Gründe für die Einführung eines Compliance Management Systems auf:

grafik1
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTScampus

Die ersten beiden Prioritäten eines CMS sehen die Teilnehmer der Studie eindeutig in den Segmenten der Einhaltung gesetzlicher Vorschriften (94%) und der Befolgung von internen, operativen Verhaltensrichtlinien (89%). Dicht gefolgt werden dann die sich im direkten kausalen Zusammenhang befindlichen Gründe der Korruptionsprävention (83%) und der Haftungsvermeidung (79%) gesehen, die sowohl das Unternehmen wie auch die Mitarbeiter präventiv schützen sollen.

Als weitere Hauptgründe für eine bewusste und nachhaltige Einsetzung eines Compliance-Management-Systems nennen die Befragten sowohl die Vermeidung von Imageschädigung durch Compliance-Verstöße, Einhaltung von Vorschriften im Bereich Kartellrecht sowie Vermögensdelikte und die Stärkung des Vertrauens bei den Mitarbeitern durch den Einsatz von Compliance-Instrumenten.

grafik2
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTSCAMPUS

Hinterfragt man die Aspekte, welche durch die Einführung eines Compliance-Systems unterbunden werden sollen, so steht hier ganz eindeutig die Korruption bzw. die Bestechung von Mitarbeitern mit 89 Prozent an erster Stelle. Im Weiteren folgen
• Vermögensdelikte 70 Prozent
• Wettbewerbsdelikte 69 Prozent
• IT- und Datenschutzdelikte 66 Prozent

Betrachtet man die oben genannten Compliance-Schwerpunkte, definieren sich die internen und betroffenen Unternehmensbereiche Einkauf, Vertrieb und Mitarbeiter aus dem mittleren Management als besondere Zielfaktoren des Einsatzes von Compliance-Instrumentarien. Eine allumfassende Transparenz in ausdrücklich allen Abteilungen des Unternehmens und die sich daraus ergebende Imagesteigerung definieren den zu erreichenden und nachhaltigen Erfolg der Compliance-Aktivitäten.

Compliance Management?? – Brauchen wir nicht!!

Obwohl unter den Befragten eine im Großen und Ganzen einheitliche und positive Meinung zur Einführung und Notwendigkeit eines internen Compliance Management Systems besteht, können doch nur 79 Prozent der Befragten auf ein tatsächlich eingeführtes und aktives CMS im Unternehmen zurückgreifen.

Somit ist Handlungs- bzw. Nachholbedarf im Compliance-Segment in jedem fünften deutschen Unternehmen gegeben! Hinterfragt man die Gründe der Untätigkeit im Bereich Compliance, so antworteten die Befragten, es liegt an dem fehlenden operativen Bedarf und / oder fehlenden Möglichkeiten innerhalb des Unternehmens.

Aber selbst in Unternehmen, in denen es bereits zur Einführung von Compliance-Maßnahmen gekommen ist, herrscht Unzufriedenheit durch eine mangelhafte Umsetzung von Compliance-Instrumentarien sowohl auf interner wie externer Ebene. Somit stockt die praxisbezogene und tägliche Umsetzung des Compliance Managements in jedem dritten Unternehmen.

In Unternehmen, in denen Compliance bereits im täglichen Arbeitsumfeld und dem Bewusstsein der Mitarbeiter manifestiert ist, ist der Grad der Umsetzung eines CMS entscheidend für seine Effektivität. Während 82 Prozent der Befragten den ersten Schritt, nämlich die Festlegung und Dokumentation von Compliance Standards wie zum Beispiel die Erarbeitung eines Ethik-Kodex, der Entwicklung eines innerbetrieblichen Kontrollsystems (IKS) und anderen Richtlinien, bereits unternommen haben und immerhin noch 79 Prozent Schulungen der Mitarbeiter zu den Präventivmaßnahmen veranstalten, fehlt es häufig an den im nächsten Schritt notwendigen Kontrollen oder der notwendigen Aktualisierung bestehender Dokumentationen.

Gerade einmal 69 Prozent kontrollieren die strikte Einhaltung der verabschiedeten Compliance-Richtlinien durch regelmäßige Kontrollmaßnahmen, und gerade mal jedes zweite Unternehmen hat Regularien definiert, wie mit aufgedeckten Regelverstößen umzugehen ist.

grafik4
Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTScampus

Risiko? – Mir passiert schon nichts!

Genau hier beginnt das immer noch große, bestehende Risiko bei jedweder Form von Verstößen gegenüber bestehenden, definierten Regeln innerhalb des Unternehmens.

In einer parallel durchgeführten Befragung von 1.000 Mitarbeitern unterschiedlicher Unternehmensbranchen und Größen erkannte man bei der Auswertung im Bereich Risikomanagement, dass gerade einmal 36 Prozent der Befragten die Compliance-Regeln ihres Unternehmens kennen und sich daran halten. Nur 25 Prozent der Befragten war sich zwar bewusst, dass es ein internes Regelwerk gibt, doch durch fehlende regelmäßige Kontrollen wird dieses Regelwerk eher beiläufig und nicht konsequent in der täglichen Praxis umgesetzt.

Unter den Befragten gaben 17 Prozent an, in Ihrem Unternehmen gäbe es keinerlei Compliance-Richtlinien. Viel erschreckender ist die Zahl von 23 Prozent der Befragten, die angaben, noch niemals von „Compliance“ gehört zu haben oder sich unter diesem Begriff etwas vorstellen zu können.

Ausdrücklich muss hier darauf hingewiesen werden, dass diese Fraktion der „Nichtwisser“ nicht nur aus kleinen und mittelständischen Unternehmen, sondern auch aus Großunternehmen gekommen sind. 53 Prozent der Befragten, welche mit dem Begriff „Compliance“ nichts assoziieren konnten, waren in Unternehmen mit mehr als 500 Mitarbeitern tätig; 24 Prozent sogar mit mehr als 5.000 Mitarbeitern.

Compliance – Eine Frage der Größe?!

Es bestätigt sich die Favoritenposition im Bereich Compliance innerhalb von Großunternehmen mit einer Mitarbeiterzahl von mehr als 5.000 Angestellten, in denen die Methoden und Maßnahmen aus dem Segment Compliance gekannt und in der Praxis angewendet werden.

Obwohl hier deutlich mehr geschult und analysiert wird, erkennt man, durch unterdurchschnittliche Aufklärung der Mitarbeiter bei gleichzeitig, teils nachlässiger, Kontrollfunktion des Compliance-Bereiches, tritt eine signifikante Fehlfunktion zwischen der optimalen Nutzung des CMS und der Bewältigung der täglichen Arbeitsleistungen auf. Ausdrücklich sollte durch die immer weiter ansteigende Zahl von Compliance-Verstößen in den letzten 12 bis 24 Monaten ein effektives und nachhaltiges CMS keine Frage der Unternehmensgröße oder Anzahl der Mitarbeiter sein.

Geschenke erhalten die Freundschaft – oder doch nicht??

Neben allgemein gültigen Fragen zu Compliance im Allgemeinen oder einer spezifischen Umsetzung eines CMS im Unternehmen wurden die befragten Mitarbeiter auch im Segment Compliance-Sensibilisierung befragt. Mit der Annahme von Geschenken, Einladungen oder besonderen Vergünstigungen werden viele Mitarbeiter – gleich welcher Position oder Unternehmensgröße – konfrontiert.

Erschreckend ist festzustellen, dass unter den Befragten 25 Prozent erklärten, sie sähen keine Probleme in der Annahme von Geschenken oder Vergünstigungen von Zulieferern und Kunden. Gerade einmal 20 Prozent beurteilten Aufmerksamkeiten im Wert von über 30 Euro als Schmerzgrenze bei der Entgegennahme dieser Aufmerksamkeiten durch Dritte, während hier ein Großteil der Mitarbeiter verunsichert ist. Eine eindeutige und strikte Festlegung von Regeln unter Compliance-Sicht ist oft nicht gegeben und sollte geschaffen werden, um eben genau diesen Mitarbeitern zu helfen und ihnen ein erhebliches Sicherheitsgefühl gegenüber Vorgesetzten zu vermitteln. Momentan würde gerade einmal nur jeder fünfte Mitarbeiter das Gespräch und den Rat mit seinem Vorgesetzten suchen.

Ausblick: Compliance im Zeitalter von Industrie 4.0

Die erste industrielle Revolution begann Mitte des 18. Jahrhunderts mit der Mechanisierung der Landwirtschaft, Rohstoffgewinnung und -verarbeitung sowie der Produktion auf der Grundlage der Dampfmaschine. Zudem erfolgte durch die Verbreitung von Dampfschiffen, Eisenbahnen und dem Bau von Kanälen, wie z. B. dem Suez-Kanal, eine großflächige Vernetzung von Gewinnungs- und Produktionsstätten.

industrielle_revolution
Quelle: Studie „Industrie 4.0 – Volkswirtschaftliches Potenzial für Deutschland“, Fraunhofer-Institut
und BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., 2014
Grafik: WIRTSCHAFTScampus

Bereits zum Ende des 17. Jahrhunderts kündigte sich mit dem ersten mechanischen Webstuhl und der Inbetriebnahme des ersten Fließbands in Cincinnati die erste bzw. zweite industrielle Revolution an. Mit dem Ende des 19. Jahrhunderts setzte sich diese Entwicklung mit der flächendeckenden Elektrifizierung von Städten, Eisenbahnen und Produktionsstätten fort. Außerdem erfolgte ein umfassender Einsatz von Transportmitteln wie Automobile, Lastkraftwagen und Flugzeuge, die durch Verbrennungsmotoren angetrieben wurden. In diese zweite Industrielle Revolution fällt auch die Entwicklung von Telegraphen und Telefonen zur Kommunikation und Koordination von Produktionssystemen.

Mit der Erfindung des Computers Mitte des 20. Jahrhunderts begann die dritte industrielle Revolution, die durch Automatisierung, computergestützte Massenproduktion und Individualisierung gekennzeichnet ist. In dieser Phase haben Computersysteme, beginnend mit einfachen NCProgrammen, weite Teile der Steuerung von Maschinen und Prozessen übernommen.

Die intelligente internetgestützte Vernetzung von Objekten, Maschinen und Menschen mit Informations- und Kommunikationstechnik-Systemen (IKT) stellt den erwarteten nächsten großen Schritt, Industrie 4.0, in der Entwicklung der Produktion dar.

Nach den Neuerungen, die Dampfkraft, Fließbandprinzip und elektronische Steuerung in die Werkhallen brachten, ist es nun die Vernetzung von Maschinen und Produkten, die das Gesicht der Industrie nachhaltig verändern und langjährig bestehende Arbeitsprozesse branchenübergreifend aufbrechen wird.

Das Internet und die Fertigung wachsen somit zusammen. Mit dem Auftauchen cyber-physischer Systeme, ein Verbund informatischer, softwaretechnischer Komponenten mit mechanischen und elektronischen Teilen, die über eine Dateninfrastruktur kommunizieren, entstehen Kommunikations-Infrastrukturen, die eine völlig neue Grundlage industrieller Wertschöpfung bieten. Die vierte industrielle Revolution, Industrie 4.0, kündigt sich nicht an, sondern wir bewegen uns bereits jetzt in dieser neuen, epochalen Phase, und schon jetzt sollten wir Überlegungen anstellen, was uns in der fünften industriellen Revolution erwarten wird.

e_crime_2

Pepper freut sich

Anfang Juni 2015 hat das japanische Unternehmen Softbank seinen überarbeiteten Roboter Pepper vorgestellt, den ersten Roboter, der nicht nur auf die Emotionen seines Gegenüber reagiert, sondern auch selber Emotionen wie Freude und Trauer entwickeln kann, indem er Signale seiner Umwelt aufnimmt und analysiert.

Um diese Form emotionaler Interaktion möglich zu machen, haben sich die Entwickler daran orientiert, wie der menschliche Körper auf äußere Stimulationen reagiert: Er schüttet Hormone aus, die wiederum unsere Emotionen beeinflussen. Wir sehen, hören, fühlen, riechen, schmecken, nehmen unsere Umgebung also sinnlich wahr und reagieren auf der Grundlage dieser Sinnesdaten. Auch wenn die Emotionen des Roboters noch (!) vergleichsweise rudimentär ausgeprägt sind, ähneln sie im Ansatz denen eines Menschen.

Durch die eingebauten Hilfsmittel wie Kameras, Sensoren oder Beschleunigungsmesser nimmt der Roboter Informationen aus seiner Umgebung auf und passt sein Verhalten an die Situation an – je nachdem, in welche Stimmung ihn die aufgenommenen Daten versetzen.

Ein „Problem“ gibt es dennoch mit Pepper, nach Verkaufsstart war er bereits nach 60 Sekunden durch weltweite Verkäufe ausverkauft …

Das Szenario

Eine Werkhalle, irgendwo in Deutschland: Maschinen stanzen, bohren und biegen. Werkstücke fahren über Transportbänder. Kreuz und quer geht es, nichts steht, alles greift stumm ineinander. Industrie 4.0 ist ein lautloses Geschäft. Natürlich sind da noch immer die Arbeitsgeräusche von Maschinen und Transporteinheiten. Doch der Kern von Industrie 4.0 ist die Kommunikation und diese Kommunikation ist stumm.

Anderenorts, in einem gekühlten Raum im Keller, läuft das gleiche Szenario noch mal ab. In den Speichern leistungsstarker Computer wird digital gestanzt, gebohrt und gebogen. Alles redet miteinander. Maschinen, Werkstücke, Transporteinheiten stimmen sich darüber ab, was wo als nächstes zu tun ist.

Epilog

Gerade die deutsche Industrie steht vor einem elementaren Wandel. Sie muss die Herausforderungen der Digitalisierung annehmen und Lösungen entwickeln. Nur so wird sie ihre führende Stellung in vielen Märkten behaupten und ausbauen. Zugleich erleben wir mit Industrie 4.0 den Aufbruch in das Zeitalter der Datenökonomie: Wer kann über welche Daten verfügen und damit eine führende Rolle einnehmen? Mit der Vernetzung nehmen aber auch die Risiken intern im Unternehmen, extern in der Zusammenarbeit zwischen Unternehmen (Zulieferer und Kunden) und der Bedarf an Schutz vor Industriespionage zu.

Die Entwicklung eines belastbaren Rechtsrahmens ist dazu genauso unverzichtbar wie die Entwicklung von neuen Anforderungen im gesamten Compliance-Bereich. Juristen sind gefragt, zusammen mit der technischen und der kaufmännischen Seite tragfähige Lösungen im Bereich Software, Cloud, Smart Data, IT Sicherheit und Datenschutz zu entwickeln und umzusetzen und dies alles unter dem Hintergrund, dass Industrie 4.0 bereits begonnen hat und sich, wenn auch langsam, die nächste industrielle Revolution schon leise ankündigt.

Quellenangaben:

Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Studie „Industrie 4.0 – Volkswirtschaftliches Potenzial für Deutschland“, Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO und BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., 2014
Artikel „Industrie 4.0 im Kontext von IT-Recht & Compliance“, RA Dr. Alexander Duisberg, 2015
Seminar: „IT-Trendes – Die Rolle von IT sowie IT-getriebener Innovationen im geschäftlichen Umfeld“, Georg-August-Universität Göttingen Wirtschaftswissenschaftliche Fakultät. Professur für Electronic Finance und Digitale Märkte, 2015

Kreditkarten und Compliance

k_karten_1

Das Payment Card Industry Security Standards Council hat für den e-Commerce einen Sicherheits- und Compliancestandard definiert, der weltweit für alle am Bezahlprozess beteiligten Parteien gilt. Er trägt zu mehr Sicherheit bei Zahlungen mit Kreditkarten bei und stärkt zugleich das Kundenvertrauen.

 

PCI Standard V3.0

Der Payment Card Industry Data Security Standard, abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen diese Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Der Payment Card Industry Data Security Standard (PCI) basiert auf den nachfolgenden Programmen:

  • Visa-Account-Information-Security-Programm (AIS und CISP)
  • MasterCard-Site-Data-Protection-Programm (SDP)
  • American Express Security Operating Policy (DSOP)
  • Discover Information Security and Compliance (DISC) (Kreditkarte, die fast ausschließlich in den USA ausgegeben wird)
  • JCB (Japan Credit Bureau) Sicherheitsregeln (Kreditkarte, die fast ausschließlich in Japan ausgegeben wird)

Die aktuell gültige Version V3.0 des PCI-DSS ist vom Januar 2015 und steht bei der PCI Security Standards Council, LLC (Wakefield, MA USA) u.a. auch in Deutscher Sprache unter www.pcisecuritystandards.org kostenlos zum download bereit.

 

PCI – Studie 2015

Die Verizon Communications Inc. (Verizon) ist ein amerikanischer Telekommunikationskonzern, welcher im Zeitraum von 2012 bis 2014 als erstes Unternehmen weltweit bei den Fortune-500-Unternehmen (die 500 umsatzstärksten Unternehmen der Welt) sowie bei großen multinationalen Konzernen in mehr als 30 Ländern eine Studie zum Thema PCI und Compliance durchgeführt hat.

Nachfolgend werden nun einige Keynotes der Studie vorgestellt, um das durch globale Cyberangriffe immer wichtiger werdende Thema IT-Sicherheit und Compliance zu betrachten.

 

Compliance und PCI – Umsetzung im Unternehmen

Fast 80 Prozent der Unternehmen fallen durch die Interimsbewertung ihrer PCI-Compliance und sind damit anfällig für Cyberangriffe.

Mittlerweile werden über zwei Drittel der Einkäufe per Zahlungskarte beglichen. Der Umsatz mit Kreditkarten wird 2015 schätzungsweise 20 Billionen US-Dollar überschreiten. Sicherheit ist für Organisationen, die Transaktionen mit Kreditkarten vornehmen, daher so wichtig wie nie zuvor.

sicherheitsvorfaelle1
Basis: 9.700 Unternehmen weltweit aus allen Branchen
Quelle: Verizon 2015 PCI Compliance Report
Grafik: WIRTSCHAFTScampus

Betrachtet man hier den Anstieg von Vorfällen im Bereich der Datenkriminalität und Cyberangriffen in Bezug auf die letzten Jahre, so zeigt sich deutlich der Anstieg von 66 % dieser Delikte zwischen 2010 und 2014.

 

Compliance und PCI – Warum?

Verbraucher erwarten heute von einem Unternehmen eine sowohl nach innen ins Unternehmen als auch nach außen zur Transparenz und Imagegestaltung gegenüber Kunden kommunizierte Compliance. Scheitert diese Kundenbindung, so wird es jetzt und in der Zukunft immer wichtiger und zugleich schwieriger, den Kunden an das Unternehmen zu binden, um erfolgreich weiter auf dem Markt zu bestehen.

Mit der enormen Zunahme der Schnelligkeit von weltweiten Nachrichten und dem Transfer von globalen Informationen im Hinblick auf Kartenmissbrauch und Cyberattacken beschäftigt sich der Verbraucher heute viel schneller mit der Thematik Datendiebstahl und Datenmissbrauch als noch vor einigen Jahren.

kreditkartenbetrug-schaden
Quelle: „The global cost of payment fraud“, BI Intelligence, 2014
Grafik: WIRTSCHAFTScampus

Durch die Reduzierung der Wahrscheinlichkeit eines Datendiebstahls, können Unternehmen ihre Marke besser kommunizieren, das Vertrauen der Verbraucher absichern und mögliche hohe Gebühren durch aufgedeckten Datenmissbrauch vermeiden. Tatsächlich neigen 69 % aller Verbraucher dazu, mit Unternehmen, bei denen eine Verletzung der Datensicherheit vorliegt, weniger häufig Handel zu treiben.

k_karten_2

Compliance und Mobile Payment

Mobile Payment ist weltweit auf dem Vormarsch. Nur die deutschen Bundesbürger bleiben ihrem liebsten Zahlungsmittel treu: dem Bargeld. Wie die Berechnungen der Deutschen Bundesbank im Jahr 2011 ergaben, nutzten die Bundesbürger bei mehr als 80 % aller Zahlungstransaktionen Bargeld. Dies war vor allem dann der Fall, wenn nur kleine Beträge bezahlt werden sollen. Wertmäßig hingegen lag das genutzte Bargeld nur auf 53 % und damit um einiges niedriger.

In anderen Ländern, wie Schweden und Finnland, verliert das Bargeld im Zahlungsverkehr zunehmend an Bedeutung. Das mobile Bezahlen ist dort längst im Alltag angekommen. In einigen schwedischen Bankfilialen gibt es zum Beispiel mittlerweile nicht einmal mehr Bargeld.

Aktuelle Zahlen liegen leider momentan nur aus den USA vor, da die deutsche Bundesbank erst Mitte 2015 aktuelle Zahlen veröffentlichen wird, doch setzt man diese als Trend an, so zeigt sich auch hier eine deutliche Verschiebung des Verbraucherverhaltens, da 2011 in der Bundesbankstudie Zahlungsinstrumentarien, wie PayPal, ApplePay oder auch die verstärkte Verbreitung des Onlinebankverkehrs, durch die aggressive Werbung der Kreditinstitute kaum oder gar nicht berücksichtigt wurden.

Auch in diesem Bereich und in dem ausgerufenen „War of Cash“ ist es für jedes Unternehmen wichtig, seine Sicherungsstandards im Hinblick auf das Segment Compliance und Kundensicherheit deutlich in den Vordergrund zu stellen. Für die heranwachsende Zielgruppe und die gleichzeitige Selbstverständlichkeit der Internetnutzung, ob nun mit Tablets oder Smartphones, kündigt sich hier eine, vor allem schnelle Veränderung der Zahlungsmethoden durch den Verbraucher an (2011 – Nutzung Smartphone in Deutschland 18 % gegenüber 2014 = 54 % lt. Studie Bundesverband Digitaler Wirtschaft in 2014).


* elektronische Zahlungsmethoden, z.B. PayPal
Quelle: The Nilson Report, Mai 2014
Grafik: WIRTSCHAFTScampus

 

Compliance und PCI – Perspektiven

Der Bericht lässt einen weiteren, besorgniserregenden Trend erkennen: Der Umfang und das Ausmaß der Datenverletzungen der vergangenen zwölf Monate ist der Beweis, dass aktuelle Sicherheits-Techniken die Angreifer nicht stoppen und in vielen Fällen nicht einmal behindern. PCI-DSS-Compliance muss als Bestandteil einer umfassenden Informationssicherheits- und Risikomanagement-Strategie gesehen werden. Eine PCI-DSS-Prüfung kann eklatante Sicherheitslücken aufdecken, die es zu schließen gilt.

Weitere Thematiken und ausführliche Informationen sowie die komplette Studie finden Sie auf der Webseite von Verizon unter www.verizonenterprise.com.

Quellenangaben:

Veröffentlichung: PCI Compliance Report 2015 von Verizon, März 2015
Veröffentlichung: „Faszination Mobile Verbreitung, Nutzungsmuster und Trends“, Bundesverband Digitale Wirtschaft, 2014
Veröffentlichung: All about Security, März 2015
Veröffentlichung: The Nilson Report, Mai 2014
Veröffentlichung: „The global cost of payment fraud“, BI Intelligence, 2014