Der PCI Security Standards Council sieht den Zahlungsverkehr an einem Wendepunkt. Geschäftsführerin Gina Gobeyn beschreibt das Zusammenspiel von Tempo und Größenordnung als Kern der Herausforderung: Der Zahlungsverkehr entwickle sich rasant weiter und werde zu einem „zunehmend komplexen Ökosystem", in dem ständig neue Akteure und Technologien aufträten.

„Diese Komplexität kann ein echtes Risiko schaffen", so Gobeyn. Sie sieht die Gefahr einer Fragmentierung – unterschiedlicher Ansätze, ungleichmäßiger Umsetzung und wachsender Lücken zwischen Innovation und Sicherheit.

Der Bericht betont, dass globale Zusammenarbeit hinter den Initiativen zum Schutz des Zahlungsverkehrs steht. Einige Kennzahlen blieben gegenüber dem Vorjahr konstant, etwa die Zahl neuer Schulungsteilnehmer, während andere Meilensteine markierten: Der Beirat für die Jahre 2025 bis 2027 wuchs auf 64 Mitgliedsorganisationen, in Dubai fanden erstmals seit neun Jahren wieder Schulungen statt, und der Verband richtete einen Beirat für Indien und Südasien ein.

Gary Penolver, CTO und Mitgründer von Quod Orbis, der mit Finanzinstituten zu Cyberrisiken und Compliance arbeitet, hält den ersten Bericht für bedeutsamer, als er auf den ersten Blick erscheine. Dass der Verband seine Fortschritte, strategischen Prioritäten und globale Wirkung erstmals in einem einzigen transparenten Bericht festhalte, wertet er als Zeichen der „Reife", das den PCI SSC mit anderen wichtigen Regulierungs- und Standardisierungsgremien gleichstelle. Zahlungen hätten sich „von einem technischen Nischenthema der Compliance zu einer zentralen, auf Vorstandsebene angesiedelten Geschäfts- und Sicherheitsfrage" entwickelt.

Dass die Branche ein großes Ziel bleibt, zeigt ein aktueller Fall: Der Zahlungsdienstleister BridgePay Network Solutions machte in diesem Monat einen Ransomware-Angriff publik, der zu anhaltenden Störungen führte.

Auch Penolver warnt vor der Fragmentierung eines eng vernetzten Zahlungsökosystems. Organisationen sollten ihre internen Kontrollen an globalen Vorgaben messen und sich an Branchenforen sowie Rückmeldungszyklen beteiligen. „Es gibt einen wachsenden Zwang, über lokale Initiativen hinauszublicken und sich an globalen Best Practices auszurichten", sagte er gegenüber Dark Reading. „Zahlungsökosysteme unterscheiden sich von Markt zu Markt, aber Schwachstellen verbreiten sich schnell." Da Angreifer ohne Rücksicht auf Grenzen operierten, Zahlungsinfrastrukturen über Banken, Händler, Dienstleister und Technologieanbieter hinweg aber tief verflochten seien, könnten international abgestimmte Verteidigungsstrategien die Fragmentierung verringern.

Gobeyn verweist zudem auf künstliche Intelligenz als zweischneidiges Werkzeug: Sie ermögliche Innovationen, lasse sich aber ebenso für schädliche Zwecke einsetzen. Organisationen könnten KI und Automatisierung zur Betrugserkennung nutzen, müssten den technologischen Wandel laut Penolver jedoch verantwortungsvoll gestalten – mit belastbarer Governance und Datenschutzkontrollen, die Risiken senken, statt sie nur zu verlagern.

Die globale Zusammenarbeit bezeichnet Gobeyn als Schwerpunkt des Berichts und der künftigen Ausrichtung des Verbands. Dazu gehörten ein stärker strukturiertes Modell für die Bereitstellung von Produkten und eine frühere, häufigere Einbindung der Beteiligten. „Wir arbeiten daran, Verschwendung aus unseren Prozessen zu entfernen, die Auswirkungen von Veränderungen besser zu verstehen, unsere Leistungserbringung zu skalieren und, ehrlich gesagt, schneller zum richtigen Ergebnis zu kommen", sagt sie.