09.11.2007 | Autor / Redakteur: Mike Rothman und Stephan Augsten / Stephan Augsten
Der Tag der Abrechnung ist nah: Die Deadline zur Umsetzung von PCI DSS (Payment Card Industry Data Security Standard) für Tier-1-Unternehmen, die mehr als sechs Millionen Transaktionen im Jahr verarbeiten, war der 30. September. Ab dem neuen Jahr gelten die Compliance-Vorgaben auch für Tier-2-Retailer mit einer bis zu sechs Millionen Transkationen. Für alle Administratoren, die sich kaum mit PCI DSS auskennen, bietet SearchSecurity einen roten Faden zur Umsetzung der wichtigsten Maßnahmen.
Eigentlich sollten die PCI-DSS-Deadlines nicht überraschen – schon lange hat sich abgezeichnet, dass sie von der Kür zur Pflichtübung werden. Die ersten Audits und Untersuchungen sollten bereits abgeschlossen sein. Es wäre mehr als überraschend, wenn sich Tier-1- oder Tier-2-Händler erst jetzt mit PCI-DSS-Compliance befassen, denn das könnte sie teuer zu stehen kommen.
Bei Nichteinhaltung drohen zunächst einmal Strafgelder und Beschränkungen im Zahlungsverkehr, im schlimmsten Fall darf sogar die Akzeptanz von Kreditkarten verboten werden. Andererseits sind schon viele eigenartige Dinge in der IT-Welt geschehen – und nicht jedes Unternehmen kann immer alles richtig machen.
Gehen wir einmal davon aus, ein unerfahrener Security Manager beginnt seinen neuen Job bei einem Tier-3-Unternehmen, und sieht sich plötzlich mit PCI DSS konfrontiert: Die Deadline ist noch weit genug entfernt, also wurden in Sachen Compliance kaum Anstrengungen unternommen. Was soll der Administrator tun? In Panik geraten? Beten? Um Gnade bitten, sobald ein Prüfer auftaucht? Seinen Vorgänger beschuldigen? All das mag (vielleicht) helfen. Doch es ist viel wirkungsvoller, erst einmal schnell umsetzbare Data Security Standards zu implementieren.
Zunächst sollten also die kleinsten Hürden genommen werden. Eine davon ist die erste PCI-DSS-Anforderung: eine Firewall, um die Datensätze der Kartenkunden zu schützen. Ebenso grundlegend ist Maßnahme fünf, die den Einsatz und die Aktualität einer Antiviren-Software vorschreibt. Unternehmen sollten bereits beide Techniken implementiert haben, sie müssen also nur noch richtig dokumentiert werden.
Welche Anforderungen lassen sich anschließend ähnlich einfach umsetzen? Da wäre beispielsweise Regel zwei – das Ändern von Kennwörtern und anderen Security-Parametern nach der Werksauslieferung. Dies nimmt zwar einige Zeit in Anspruch, insbesondere wenn viele Geräte zu managen sind. Dafür ist es weder ein ungewohnter noch komplizierter Vorgang, sich in ein Gerät einzuloggen und das Passwort zu ändern.
Verhältnismäßig einfach lässt sich auch die vierte Maßnahme umsetzen: Dabei handelt es sich um die obligatorische Verschlüsselung von Kreditkartendaten, die über öffentliche Netze verschickt werden. Mittels SSL-Encryption können Unternehmen auch diesen Punkt abhaken.
Sind die einfachsten Schritte erst einmal umgesetzt, muss der Administrator sich mit undurchsichtigeren Problemen auseinandersetzen. Dazu gehören beispielsweise der Schutz gespeicherter Daten von Kreditkarten-Inhabern laut Anforderung drei sowie die sechste Auflage, die Entwicklung und Pflege sicherer Systeme und Anwendungen. Derart knifflige weil unklar definierte Anforderungen können nicht über Nacht umgesetzt werden. Jedes Unternehmen muss eine individuelle Strategie entwickeln, um diesen Vorschriften gerecht zu werden.
Im Maßnahmenplan sollte der Administrator einen stufenweisen Lösungsansatz beschreiben, in denen er die notwendigen Maßnahmen aufgreift. So umfasst der Schutz von Kartenkunden die Implementierung eines Database-Monitoring-Gateway oder das Filtern ausgehender Nachrichten durch ein E-Mail-Security-Gateway. Völlig egal, wie der Plan aussieht – hauptsache es gibt überhaupt einen.
Bei anderen, noch unklarer formulierten PCI-Anforderungen gibt es viele Wege, die zum Ziel führen. Die Herausforderung besteht darin, die effektivste Methode für die speziellen Bedürfnisse eines Unternehmens zu finden. Ein entsprechender Maßnahmenplan sollte in ähnlicher Form vorgestellt werden, wie Budget-Anfragen an die Geschäftsführung: Welches Problem muss bewältigt werden, auf welchem Weg ist es zu lösen, und in welchem Zeitrahmen?
Dabei gibt es einige Knackpunkte zu überwinden, besonders wenn verschiedene Ebenen des Netzwerk-Designs und der -Architektur durchleuchtet werden müssen. Offen gesagt, führt das eher zu einem Overkill. Ein Auditor will zunächst einmal wissen, ob die Anforderungen wirklich verstanden wurden und ein entsprechender Maßnahmenplan existiert.
Steht der Prüfer tatsächlich vor der Tür, dann zahlt sich Offenheit in der Regel aus. Ein Unternehmen sollte nichts beschönigen, wenn es noch viel für Compliance tun muss. Es gibt zwar einige unerfahrene PCI-Inspektoren, ein erfahrener Auditor lässt sich allerdings nicht täuschen. Bitten Sie ihn doch einfach höflich darum, Ihnen mögliche Maßnahmen vorzuschlagen, um PCI DSS zu erfüllen. Außerdem kann er auch bei der Priorisierung bestimmter Probleme helfen.
Prüfer erwarten noch keine umfassende Compliance, auch wenn die Zeitgrenze für einige Unternehmen bereits überschritten ist. Der Security Manager bekommt zumindest eine zweite Chance – aber vermutlich nur diese eine.
Deshalb ist es wichtig, so genau wie möglich aus dem Auditor herauszukitzeln, welche Maßnahmen er für nötig hält. Diese sollten Sie anschließend dem Vorstand vorstellen und das Geld einfordern, das Sie für Ihren Job benötigen – denn mit den Einschätzungen des Prüfers können Sie Ihre Bedürfnisse besser untermauern.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008956)
