Warum PCI DSS-Compliance wichtig ist
Erreichung der Compliance nach dem PCI DSS-Standard: Die Herausforderung als Chance nutzen – Mit PCI-Compliance Sicherheitsprozesse im Griff haben
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen
Von Bernd Frenz*
(11.06.08) - Sieht man sich zum ersten Mal mit den Anforderungen des PCI DSS konfrontiert, wird die Umsetzung der Anforderungen oft als gravierender Eingriff in die gewohnten Geschäftsprozessabläufe verstanden und deshalb kritisch gesehen. Löst man sich aber von der Vorstellung, dass die Sicherheitsvorgaben ein Hemmnis seien und nur Geld und Mühen kosten, tritt der eigentliche Nutzen von PCI DSS in den Vordergrund.
Lassen Sie uns zunächst ein kurzes Beispiel aus einem anderen Wirtschaftsbereich betrachten:
Im Automobilbau sind Sicherheits-Features, wie Airbags, ESP oder ABS selbstverständlich geworden. Kaum jemand würde auf die Idee kommen, absichtlich auf solche Sicherheitsvorkehrungen zu verzichten, weil "einem ja schon nichts passieren wird".
Zudem nutzen Automobilhersteller Sicherheitssysteme als Kaufargumente, um mittels immer ausgefeilterer Technologien Kunden zu gewinnen. Genauso wie das Sicherheitsdenken in der Automobilindustrie für selbstverständlich gehalten wird, muss es auch im Umgang mit sensiblen Daten sein.
Prozessdenken mit Sicherheit
Vielfach wird bei der Erreichung der Compliance nach dem PCI-Standard jede einzelne Anforderung für sich betrachtet und umgesetzt. Diese Vorgehensweise führt oftmals zu Konflikten, wenn Sicherheitsvorkehrungen als zusätzliche, den Geschäftsprozess störende Prozessschritte implementiert werden.
Der Lösungsansatz muss daher lauten, den Geschäftsprozess in sich sicher zu gestalten und die Sicherheitsanforderungen als integralen Bestandteil des Geschäftsprozesses zu verstehen. In vielen Unternehmen wird die Güte von Geschäftsprozessen mittels SLA oder OLA definiert und über KPI gemessen und bewertet. Was spricht dagegen, Sicherheit ebenfalls mittels Kennzahlen zu bewerten und somit in das gewohnte Reportingschema zu integrieren? Der Erfolg umgesetzter Sicherheitsmaßnahmen lässt sich genauso messen, wie eine Fehlerquote bei der Herstellung von Produkten oder der Verarbeitung von Transaktionen.
Sicherheit ganzheitlich verstehen
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen. Der Bezug zu Kreditkartendaten wird über die Definition der besonders zu schützenden Daten hergestellt. Somit lassen sich fast alle Sicherheitsanforderungen des Standards auch auf das gesamte Unternehmen übertragen. Vielfach ist es aus Prozesssicht auch einfacher, Sicherheitsmaßnahmen innerhalb des ganzen Unternehmens anzuwenden, als Maßnahmen selektiv nur für die Prozesse, bei denen Kreditkarten betroffen sind, zu implementieren.
Insellösung oder unternehmensweiter Ansatz?
Beispielsweise verlangt PCI DSS die Härtung von Server-Systemen. Es ist durchaus sinnvoll zu prüfen, ob ein einheitlicher Prozess implementiert werden kann, der die Härtung von allen Servern sicherstellt und sich nicht nur auf Server beschränkt, die von dem Standard betroffen sind. Wenn nämlich zwei Systembereiche mit unterschiedlich hohen Anforderungen bestehen, muss immer entschieden werden, ob Server-Härtung durchgeführt werden soll oder nicht. Schlimmstenfalls sind bei der Härtung noch verschiedene Varianten vorgegeben. Diese Vorgehensweise kann zu Konflikten führen, denen sich ein Systemadministrator ausgesetzt sieht. Wer entscheidet, ob ein Server vom PCI-Standard betroffen ist oder nicht? Wer stellt sicher, dass möglicherweise unterschiedliche Härtungsregeln korrekt angewendet werden?
Sinnvoller ist es, einen einzigen Prozess mit eindeutigem Regelwerk zu definieren, um Konflikte zu vermeiden und - was wesentlich ist - ein gleichmäßig hohes Sicherheitsniveau unternehmensweit zu erreichen. Dabei spielt es dann keine Rolle mehr, ob auf dem jeweiligen Server Kreditkarten verarbeitet werden oder nicht. Die umgesetzte Sicherheitsmaßnahme "Server-Härtung" erhöht das Sicherheitsniveau im Unternehmen und erfüllt damit automatisch die Anforderungen des PCI DSS.
Beispiele aus der Praxis zeigen, dass die konsequente und umfassende Umsetzung von Sicherheitsmaßnahmen zu einer Optimierung von Serviceprozessen führen kann. Wenn man beispielsweise das Patch Management (Requirement 6.1) nur bei Bedarf und nur auf den als kritisch angesehenen Systemen anwendet, ist das Resultat ein Betrieb von Systemen mit unterschiedlichen Patch-Levels. Dringende Sicherheits-Patches können möglicherweise nur mit hohem Aufwand implementiert werden, da zunächst immer das individuelle Sicherheitsniveau festgestellt werden muss.
Umdenken durch konsequentes Umsetzen des PCI DSS
Die Implementierung eines umfassenden Patch-Management-Prozesses bietet folgende Vorteile: Alle Systeme haben einen einheitlich hohen Sicherheitsstand, da alle Systeme konsequent und auf dem gleichen Level gepatcht werden. Das Patch-Management wird durch die Prozessdefinition zu einer planbaren Aktivität mit einem festen definierten Wartungsfenster. Da alle Systeme immer aktuell gehalten werden, reduziert sich der Arbeitsaufwand zum Patchen erheblich, da in jedem Wartungszyklus nur eine geringe Anzahl von Patches zu testen und implementieren ist. Somit ergibt sich neben dem verbesserten Sicherheitsniveau auch eine Kostenreduzierung im operativen Betrieb.
Als einen weiteren Vorteil kann man die Aufnahme der Kennzahlen des Patch-Managements in ein Managementreporting zur Erhöhung der Transparenz der Sicherheitsprozesse werten. Die Kennzahlen liefern Aussagen über Bedrohungslage, Sicherheitszustand der Systeme, Prozessfehler und Reaktionszeiten bei der Beseitigung akuter Schwachstellen. Gleichzeitig dienen sie als Nachweis über die Einhaltung von Sicherheitsprozessen bei zukünftigen Zertifizierungen nach PCI DSS und anderen Sicherheitsnormen.
Transparenz ermöglicht Prozesssteuerung
Die Einführung eines kennzahlenbasierten Sicherheitsreportings schafft auf unterschiedlichen Prozessebenen Voraussetzungen für eine Prozesssteuerung. Auf der Arbeitsebene liefern die Kennzahlen wichtige Aussagen über die aktuelle Bedrohungslage und eine entsprechende Absicherung. Systembetreuer ermitteln die Daten im täglichen Betrieb und können so frühzeitig Schwachstellen erkennen.
Das Management erhält korrelierte Daten, die nicht nur die Anzahl der sicherheitsrelevanten Ereignisse und Maßnahmen wiedergeben, sondern auch Aussagen über die Prozessgüte treffen können.
Wichtig bei der Einführung eines Sicherheitsreportings ist ein wertfreier Umgang mit den möglicherweise erstmalig transparent dargestellten Kennzahlen. "Schlechte" Werte, gerade am Anfang des Prozesses sollten als Herausforderung angesehen werden und nicht unmittelbar zu einer "Bestrafung" der betroffenen Personen führen. Vielmehr ist es die Chance, die Prozessqualität zu verbessern und den Mitarbeitern den Wert ihrer Arbeit zu vermitteln, denn ein geregeltes Reporting sagt nicht nur aus, wie "schlecht" das Sicherheitsniveau ist sondern auch, wie gut es ist und wie erfolgreich eine Organisation auf neue Sicherheitsschwachstellen reagieren kann.
Nicht zuletzt bei der Zertifizierung nach PCI DSS kann das Unternehmen dann nachweisen, dass es die Sicherheitsprozesse im Griff hat und in der Lage ist, die besonderen Anforderungen an den Schutz der Kreditkarten zu erfüllen.
* Bernd Frenz ist Leiter PCI Zertifizierung und Beratung bei usd.de AG
(usd.de: ra
Lesen Sie auch:
Novell Payment Card Industry Solution
PCI: Regelwerk im Zahlungsverkehr
PCI DDS: Hohe Sicherheitshürden für Webshops
PCI-Compliance: Bei Nichtbeachtung droht Bußgeld
Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)
|
|
