Sie sind hier: Home » Fachartikel » Hintergrund

Warum PCI DSS-Compliance wichtig ist


Erreichung der Compliance nach dem PCI DSS-Standard: Die Herausforderung als Chance nutzen – Mit PCI-Compliance Sicherheitsprozesse im Griff haben
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen

Von Bernd Frenz*

(11.06.08) - Sieht man sich zum ersten Mal mit den Anforderungen des PCI DSS konfrontiert, wird die Umsetzung der Anforderungen oft als gravierender Eingriff in die gewohnten Geschäftsprozessabläufe verstanden und deshalb kritisch gesehen. Löst man sich aber von der Vorstellung, dass die Sicherheitsvorgaben ein Hemmnis seien und nur Geld und Mühen kosten, tritt der eigentliche Nutzen von PCI DSS in den Vordergrund.

Lassen Sie uns zunächst ein kurzes Beispiel aus einem anderen Wirtschaftsbereich betrachten:
Im Automobilbau sind Sicherheits-Features, wie Airbags, ESP oder ABS selbstverständlich geworden. Kaum jemand würde auf die Idee kommen, absichtlich auf solche Sicherheitsvorkehrungen zu verzichten, weil "einem ja schon nichts passieren wird".
Zudem nutzen Automobilhersteller Sicherheitssysteme als Kaufargumente, um mittels immer ausgefeilterer Technologien Kunden zu gewinnen. Genauso wie das Sicherheitsdenken in der Automobilindustrie für selbstverständlich gehalten wird, muss es auch im Umgang mit sensiblen Daten sein.

Prozessdenken mit Sicherheit
Vielfach wird bei der Erreichung der Compliance nach dem PCI-Standard jede einzelne Anforderung für sich betrachtet und umgesetzt. Diese Vorgehensweise führt oftmals zu Konflikten, wenn Sicherheitsvorkehrungen als zusätzliche, den Geschäftsprozess störende Prozessschritte implementiert werden.

Der Lösungsansatz muss daher lauten, den Geschäftsprozess in sich sicher zu gestalten und die Sicherheitsanforderungen als integralen Bestandteil des Geschäftsprozesses zu verstehen. In vielen Unternehmen wird die Güte von Geschäftsprozessen mittels SLA oder OLA definiert und über KPI gemessen und bewertet. Was spricht dagegen, Sicherheit ebenfalls mittels Kennzahlen zu bewerten und somit in das gewohnte Reportingschema zu integrieren? Der Erfolg umgesetzter Sicherheitsmaßnahmen lässt sich genauso messen, wie eine Fehlerquote bei der Herstellung von Produkten oder der Verarbeitung von Transaktionen.

Sicherheit ganzheitlich verstehen
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen. Der Bezug zu Kreditkartendaten wird über die Definition der besonders zu schützenden Daten hergestellt. Somit lassen sich fast alle Sicherheitsanforderungen des Standards auch auf das gesamte Unternehmen übertragen. Vielfach ist es aus Prozesssicht auch einfacher, Sicherheitsmaßnahmen innerhalb des ganzen Unternehmens anzuwenden, als Maßnahmen selektiv nur für die Prozesse, bei denen Kreditkarten betroffen sind, zu implementieren.

Insellösung oder unternehmensweiter Ansatz?
Beispielsweise verlangt PCI DSS die Härtung von Server-Systemen. Es ist durchaus sinnvoll zu prüfen, ob ein einheitlicher Prozess implementiert werden kann, der die Härtung von allen Servern sicherstellt und sich nicht nur auf Server beschränkt, die von dem Standard betroffen sind. Wenn nämlich zwei Systembereiche mit unterschiedlich hohen Anforderungen bestehen, muss immer entschieden werden, ob Server-Härtung durchgeführt werden soll oder nicht. Schlimmstenfalls sind bei der Härtung noch verschiedene Varianten vorgegeben. Diese Vorgehensweise kann zu Konflikten führen, denen sich ein Systemadministrator ausgesetzt sieht. Wer entscheidet, ob ein Server vom PCI-Standard betroffen ist oder nicht? Wer stellt sicher, dass möglicherweise unterschiedliche Härtungsregeln korrekt angewendet werden?

Sinnvoller ist es, einen einzigen Prozess mit eindeutigem Regelwerk zu definieren, um Konflikte zu vermeiden und - was wesentlich ist - ein gleichmäßig hohes Sicherheitsniveau unternehmensweit zu erreichen. Dabei spielt es dann keine Rolle mehr, ob auf dem jeweiligen Server Kreditkarten verarbeitet werden oder nicht. Die umgesetzte Sicherheitsmaßnahme "Server-Härtung" erhöht das Sicherheitsniveau im Unternehmen und erfüllt damit automatisch die Anforderungen des PCI DSS.

Beispiele aus der Praxis zeigen, dass die konsequente und umfassende Umsetzung von Sicherheitsmaßnahmen zu einer Optimierung von Serviceprozessen führen kann. Wenn man beispielsweise das Patch Management (Requirement 6.1) nur bei Bedarf und nur auf den als kritisch angesehenen Systemen anwendet, ist das Resultat ein Betrieb von Systemen mit unterschiedlichen Patch-Levels. Dringende Sicherheits-Patches können möglicherweise nur mit hohem Aufwand implementiert werden, da zunächst immer das individuelle Sicherheitsniveau festgestellt werden muss.

Umdenken durch konsequentes Umsetzen des PCI DSS
Die Implementierung eines umfassenden Patch-Management-Prozesses bietet folgende Vorteile: Alle Systeme haben einen einheitlich hohen Sicherheitsstand, da alle Systeme konsequent und auf dem gleichen Level gepatcht werden. Das Patch-Management wird durch die Prozessdefinition zu einer planbaren Aktivität mit einem festen definierten Wartungsfenster. Da alle Systeme immer aktuell gehalten werden, reduziert sich der Arbeitsaufwand zum Patchen erheblich, da in jedem Wartungszyklus nur eine geringe Anzahl von Patches zu testen und implementieren ist. Somit ergibt sich neben dem verbesserten Sicherheitsniveau auch eine Kostenreduzierung im operativen Betrieb.

Als einen weiteren Vorteil kann man die Aufnahme der Kennzahlen des Patch-Managements in ein Managementreporting zur Erhöhung der Transparenz der Sicherheitsprozesse werten. Die Kennzahlen liefern Aussagen über Bedrohungslage, Sicherheitszustand der Systeme, Prozessfehler und Reaktionszeiten bei der Beseitigung akuter Schwachstellen. Gleichzeitig dienen sie als Nachweis über die Einhaltung von Sicherheitsprozessen bei zukünftigen Zertifizierungen nach PCI DSS und anderen Sicherheitsnormen.

Transparenz ermöglicht Prozesssteuerung
Die Einführung eines kennzahlenbasierten Sicherheitsreportings schafft auf unterschiedlichen Prozessebenen Voraussetzungen für eine Prozesssteuerung. Auf der Arbeitsebene liefern die Kennzahlen wichtige Aussagen über die aktuelle Bedrohungslage und eine entsprechende Absicherung. Systembetreuer ermitteln die Daten im täglichen Betrieb und können so frühzeitig Schwachstellen erkennen.

Das Management erhält korrelierte Daten, die nicht nur die Anzahl der sicherheitsrelevanten Ereignisse und Maßnahmen wiedergeben, sondern auch Aussagen über die Prozessgüte treffen können.

Wichtig bei der Einführung eines Sicherheitsreportings ist ein wertfreier Umgang mit den möglicherweise erstmalig transparent dargestellten Kennzahlen. "Schlechte" Werte, gerade am Anfang des Prozesses sollten als Herausforderung angesehen werden und nicht unmittelbar zu einer "Bestrafung" der betroffenen Personen führen. Vielmehr ist es die Chance, die Prozessqualität zu verbessern und den Mitarbeitern den Wert ihrer Arbeit zu vermitteln, denn ein geregeltes Reporting sagt nicht nur aus, wie "schlecht" das Sicherheitsniveau ist sondern auch, wie gut es ist und wie erfolgreich eine Organisation auf neue Sicherheitsschwachstellen reagieren kann.

Nicht zuletzt bei der Zertifizierung nach PCI DSS kann das Unternehmen dann nachweisen, dass es die Sicherheitsprozesse im Griff hat und in der Lage ist, die besonderen Anforderungen an den Schutz der Kreditkarten zu erfüllen.

* Bernd Frenz ist Leiter PCI Zertifizierung und Beratung bei usd.de AG
(usd.de: ra

Lesen Sie auch:
Novell Payment Card Industry Solution
PCI: Regelwerk im Zahlungsverkehr
PCI DDS: Hohe Sicherheitshürden für Webshops
PCI-Compliance: Bei Nichtbeachtung droht Bußgeld

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen