- Anzeige -

Sie sind hier: Home » Fachartikel » Hintergrund

Warum PCI DSS-Compliance wichtig ist


Erreichung der Compliance nach dem PCI DSS-Standard: Die Herausforderung als Chance nutzen – Mit PCI-Compliance Sicherheitsprozesse im Griff haben
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen

Von Bernd Frenz*

(11.06.08) - Sieht man sich zum ersten Mal mit den Anforderungen des PCI DSS konfrontiert, wird die Umsetzung der Anforderungen oft als gravierender Eingriff in die gewohnten Geschäftsprozessabläufe verstanden und deshalb kritisch gesehen. Löst man sich aber von der Vorstellung, dass die Sicherheitsvorgaben ein Hemmnis seien und nur Geld und Mühen kosten, tritt der eigentliche Nutzen von PCI DSS in den Vordergrund.

Lassen Sie uns zunächst ein kurzes Beispiel aus einem anderen Wirtschaftsbereich betrachten:
Im Automobilbau sind Sicherheits-Features, wie Airbags, ESP oder ABS selbstverständlich geworden. Kaum jemand würde auf die Idee kommen, absichtlich auf solche Sicherheitsvorkehrungen zu verzichten, weil "einem ja schon nichts passieren wird".
Zudem nutzen Automobilhersteller Sicherheitssysteme als Kaufargumente, um mittels immer ausgefeilterer Technologien Kunden zu gewinnen. Genauso wie das Sicherheitsdenken in der Automobilindustrie für selbstverständlich gehalten wird, muss es auch im Umgang mit sensiblen Daten sein.

Prozessdenken mit Sicherheit
Vielfach wird bei der Erreichung der Compliance nach dem PCI-Standard jede einzelne Anforderung für sich betrachtet und umgesetzt. Diese Vorgehensweise führt oftmals zu Konflikten, wenn Sicherheitsvorkehrungen als zusätzliche, den Geschäftsprozess störende Prozessschritte implementiert werden.

Der Lösungsansatz muss daher lauten, den Geschäftsprozess in sich sicher zu gestalten und die Sicherheitsanforderungen als integralen Bestandteil des Geschäftsprozesses zu verstehen. In vielen Unternehmen wird die Güte von Geschäftsprozessen mittels SLA oder OLA definiert und über KPI gemessen und bewertet. Was spricht dagegen, Sicherheit ebenfalls mittels Kennzahlen zu bewerten und somit in das gewohnte Reportingschema zu integrieren? Der Erfolg umgesetzter Sicherheitsmaßnahmen lässt sich genauso messen, wie eine Fehlerquote bei der Herstellung von Produkten oder der Verarbeitung von Transaktionen.

Sicherheit ganzheitlich verstehen
Löst man sich von der Annahme, dass der PCI-Standard ausschließlich dem Schutz der Kreditkartendaten dient, wird man erkennen, dass die meisten Sicherheitsanforderungen "Best Practice"-Ansätze verfolgen. Der Bezug zu Kreditkartendaten wird über die Definition der besonders zu schützenden Daten hergestellt. Somit lassen sich fast alle Sicherheitsanforderungen des Standards auch auf das gesamte Unternehmen übertragen. Vielfach ist es aus Prozesssicht auch einfacher, Sicherheitsmaßnahmen innerhalb des ganzen Unternehmens anzuwenden, als Maßnahmen selektiv nur für die Prozesse, bei denen Kreditkarten betroffen sind, zu implementieren.

Insellösung oder unternehmensweiter Ansatz?
Beispielsweise verlangt PCI DSS die Härtung von Server-Systemen. Es ist durchaus sinnvoll zu prüfen, ob ein einheitlicher Prozess implementiert werden kann, der die Härtung von allen Servern sicherstellt und sich nicht nur auf Server beschränkt, die von dem Standard betroffen sind. Wenn nämlich zwei Systembereiche mit unterschiedlich hohen Anforderungen bestehen, muss immer entschieden werden, ob Server-Härtung durchgeführt werden soll oder nicht. Schlimmstenfalls sind bei der Härtung noch verschiedene Varianten vorgegeben. Diese Vorgehensweise kann zu Konflikten führen, denen sich ein Systemadministrator ausgesetzt sieht. Wer entscheidet, ob ein Server vom PCI-Standard betroffen ist oder nicht? Wer stellt sicher, dass möglicherweise unterschiedliche Härtungsregeln korrekt angewendet werden?

Sinnvoller ist es, einen einzigen Prozess mit eindeutigem Regelwerk zu definieren, um Konflikte zu vermeiden und - was wesentlich ist - ein gleichmäßig hohes Sicherheitsniveau unternehmensweit zu erreichen. Dabei spielt es dann keine Rolle mehr, ob auf dem jeweiligen Server Kreditkarten verarbeitet werden oder nicht. Die umgesetzte Sicherheitsmaßnahme "Server-Härtung" erhöht das Sicherheitsniveau im Unternehmen und erfüllt damit automatisch die Anforderungen des PCI DSS.

Beispiele aus der Praxis zeigen, dass die konsequente und umfassende Umsetzung von Sicherheitsmaßnahmen zu einer Optimierung von Serviceprozessen führen kann. Wenn man beispielsweise das Patch Management (Requirement 6.1) nur bei Bedarf und nur auf den als kritisch angesehenen Systemen anwendet, ist das Resultat ein Betrieb von Systemen mit unterschiedlichen Patch-Levels. Dringende Sicherheits-Patches können möglicherweise nur mit hohem Aufwand implementiert werden, da zunächst immer das individuelle Sicherheitsniveau festgestellt werden muss.

Umdenken durch konsequentes Umsetzen des PCI DSS
Die Implementierung eines umfassenden Patch-Management-Prozesses bietet folgende Vorteile: Alle Systeme haben einen einheitlich hohen Sicherheitsstand, da alle Systeme konsequent und auf dem gleichen Level gepatcht werden. Das Patch-Management wird durch die Prozessdefinition zu einer planbaren Aktivität mit einem festen definierten Wartungsfenster. Da alle Systeme immer aktuell gehalten werden, reduziert sich der Arbeitsaufwand zum Patchen erheblich, da in jedem Wartungszyklus nur eine geringe Anzahl von Patches zu testen und implementieren ist. Somit ergibt sich neben dem verbesserten Sicherheitsniveau auch eine Kostenreduzierung im operativen Betrieb.

Als einen weiteren Vorteil kann man die Aufnahme der Kennzahlen des Patch-Managements in ein Managementreporting zur Erhöhung der Transparenz der Sicherheitsprozesse werten. Die Kennzahlen liefern Aussagen über Bedrohungslage, Sicherheitszustand der Systeme, Prozessfehler und Reaktionszeiten bei der Beseitigung akuter Schwachstellen. Gleichzeitig dienen sie als Nachweis über die Einhaltung von Sicherheitsprozessen bei zukünftigen Zertifizierungen nach PCI DSS und anderen Sicherheitsnormen.

Transparenz ermöglicht Prozesssteuerung
Die Einführung eines kennzahlenbasierten Sicherheitsreportings schafft auf unterschiedlichen Prozessebenen Voraussetzungen für eine Prozesssteuerung. Auf der Arbeitsebene liefern die Kennzahlen wichtige Aussagen über die aktuelle Bedrohungslage und eine entsprechende Absicherung. Systembetreuer ermitteln die Daten im täglichen Betrieb und können so frühzeitig Schwachstellen erkennen.

Das Management erhält korrelierte Daten, die nicht nur die Anzahl der sicherheitsrelevanten Ereignisse und Maßnahmen wiedergeben, sondern auch Aussagen über die Prozessgüte treffen können.

Wichtig bei der Einführung eines Sicherheitsreportings ist ein wertfreier Umgang mit den möglicherweise erstmalig transparent dargestellten Kennzahlen. "Schlechte" Werte, gerade am Anfang des Prozesses sollten als Herausforderung angesehen werden und nicht unmittelbar zu einer "Bestrafung" der betroffenen Personen führen. Vielmehr ist es die Chance, die Prozessqualität zu verbessern und den Mitarbeitern den Wert ihrer Arbeit zu vermitteln, denn ein geregeltes Reporting sagt nicht nur aus, wie "schlecht" das Sicherheitsniveau ist sondern auch, wie gut es ist und wie erfolgreich eine Organisation auf neue Sicherheitsschwachstellen reagieren kann.

Nicht zuletzt bei der Zertifizierung nach PCI DSS kann das Unternehmen dann nachweisen, dass es die Sicherheitsprozesse im Griff hat und in der Lage ist, die besonderen Anforderungen an den Schutz der Kreditkarten zu erfüllen.

* Bernd Frenz ist Leiter PCI Zertifizierung und Beratung bei usd.de AG
(usd.de: ra

Lesen Sie auch:
Novell Payment Card Industry Solution
PCI: Regelwerk im Zahlungsverkehr
PCI DDS: Hohe Sicherheitshürden für Webshops
PCI-Compliance: Bei Nichtbeachtung droht Bußgeld

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)



Meldungen: Hintergrund

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

  • Pluspunkt der No-Code-Methode

    Fragen Sie Geschäftsführer, CEOs oder Vorstände: Das Thema ‚digitale Transformation' steht mittlerweile bei fast allen Unternehmen ganz oben auf der Prioritätenliste. Den Protagonisten der Digitalisierung ist dringlich klar geworden, dass die Modellierung und Automatisierung von Geschäftsprozessen ein wesentlicher Baustein für den Erfolg eines Unternehmens ist. Eine digitale Prozess- und Entscheidungsautomatisierung ermöglicht es Unternehmen, schnell, flexibel und kostensparend am Markt zu agieren. Und in dynamischen Marktumfeldern müssen Entscheidungsprozesse schnell ablaufen und ebenso schnell an neue Anforderungen anpassbar sein. Das Potenzial für die digitale Prozess- und Entscheidungsautomatisierung in den Unternehmen ist enorm: Viele Ablauf- und Entscheidungsprozesse im Unternehmen wiederholen sich oder ähneln sich, sie sind standardisiert und folgen festen, eindeutigen Regeln. Das manuelle Abarbeiten ist sehr zeitintensiv und bindet wertvolle personelle Ressourcen, die dem Unternehmen für andere, wertschöpfendere Tätigkeiten verloren gehen. Der Effizienzgewinn, der durch eine Prozessautomatisierung erzielt werden kann, ist dementsprechend hoch. Und im regulatorisch Bereich noch oft ungenutzt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen