Ein kleines Anwaltsbüro geriet kürzlich in Konflikt mit den PCI-Data-Security-Standard-Anforderungen. Das Büro bearbeitet hauptsächlich Schecks, ACH-Überweisungen und Banküberweisungen für Firmenkunden. In drei Jahrzehnten flossen nur 50 Dollar bar. Kreditkarten machen einen winzigen Anteil aus und dienen nur in Eilfällen.

Die Transaktionen laufen verschlüsselt über einen Webbrowser zu einem Prozessor mit 128-Bit-SSL-Verschlüsselung. Keine Kartendaten bleiben digital gespeichert. Sie existieren nur auf Papier in einem verschlossenen Schrank.

Der Prozessor beauftragte einen autorisierten Scanner für die volle PCI-Zertifizierung. Vertreter des PCI Security Standards Council fordern, dass Händler jedes internetzugängliche Asset prüfen, auch unabhängig von Kartendaten. Die verschlüsselte Übertragung löste die umfassende Prüfung aus.

Der Scanner wollte seine IP-Adresse von den Intrusion-Detection- und Prevention-Systemen des Büros ausnehmen. Die Firewall des Büros leitet die meisten Verbindungen über eine einzige externe Adresse um. So bleiben interne Maschinen, inklusive Website und E-Mail-Server, verborgen. Die Scanner lehnten dies ab.

Sie verlangten die Prüfung jedes Assets, obwohl nur ein ausgeschalteter Laptop mit PCI-Bezug betroffen war. Wochenlanger Streit endete mit Zitaten aus PCI Security Scanning Procedures und PCI Security Audit Procedures. Diese schreiben solche Strenge vor.

Dies offenbart Schwächen in Compliance-Systemen. IT-Experten analysieren Code durch Logik, Umsetzung oder Problemdefinitionen. Compliance verteilt Kontrollen auf Vertragsparteien. Mängel häufen sich zu kontextblinden Checklisten. Probleme kaskadieren ohne Feedback-Schleifen.

Finanzmärkte zeigen Parallelen. Bei der Schuldtitrisierung werden Kredite in undurchsichtigen Verträgen aufgeteilt. Bis Krisen wie 2008 alles kippt. Parteien handeln gegen gemeinsame Interessen durch starre Bedingungen. Die Turbulenzen wirken bis Januar 2009 nach.

Behörden stolpern ähnlich. Das US-Steueramt IRS deaktivierte die Arbeitgeber-Identifikationsnummer eines Kleinunternehmens wegen fehlender Form 941. Diese gilt für Lohnsteuern. Die Vorgaben ignorierten firmen ohne Mitarbeiter. Nachwiesene Nutzung anderswo führte zur Reaktivierung.

Das IRS zeigte keine Systemanpassung. Lösung: Vierteljährliche Form 941 mit null Löhnen und Steuern einreichen. So beruhigt man den Computer, wie seit Jahrzehnten geraten.

Täglicher Bürokratie-Schlendrian kommt hinzu. Selbstständige müssen einen unterschriebenen Arbeitgeberbrief vorlegen, um an Veranstaltungen teilzunehmen. Die Formel zählt, der Sinn nicht.

Standards bieten Mindestschutz, verhindern aber keine Breaches. Ein großer Zahlungsprozessor gab am 21. Januar 2009 zu, dass Diebe Kartendaten stahlen. Audits waren bestanden. Hacks gehen weiter.

Fragmentierte Regeln fördern eine ‘Sekurisierung’ der Compliance. Pflichten werden verteilt ohne Gesamtüberwachung. Bei Fehlern bricht Chaos aus. PCI-Regeln treffen alle Kartenakzeptoren gleich, von Riesen bis Nischenanbieter. Scanner prüfen irrelevante Systeme und treiben Kosten sowie Risiken hoch.

Keine Ausnahmen für geringe Volumina mit Verschlüsselung. Kritiker fordern dynamische Standards mit Feedback. Bis dahin irren Kleinunternehmer durch einen Compliance-Kaninchenbau, wo Checklisten über Sicherheitslogik siegen.