PCI DSS Compliance bedeutet nicht Sicherheit

Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsläufig, dass ein Unternehmen „sicher” ist:

Zum Ersten konzentriert sich PCI DSS ausschließlich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus stärker auf die Vertraulichkeit als auf die Integrität oder Verfügbarkeit dieser Daten gerichtet. Ich möchte nicht abstreiten, dass viele Maßnahmen des PCI DSS das generelle Sicherheitsniveau eines Unternehmens steigert. Gerade viele vom Standard geforderte organisatorische Maßnahmen wie z.B. die Implementierung eines Security Awareness-Programms,  die Definition eines Plans zur Vorgehensweise bei Sicherheitsvorfällen usw. haben positive Auswirkungen auf das allgemeine Sicherheitsniveau. Auch viele technische Maßnahmen wie z.B. Netzwerksegmentierung können positive Auswirkungen haben, sofern andere Daten oder Systeme davon auch eingeschlossen sind.

Zum Zweiten ist die Feststellung, ob ein Unternehmen „sicher“ ist, nicht trivial. Was bedeutet denn überhaupt „Sicherheit“? In der ISO 27001 wird Informationssicherheit als die „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit“ definiert.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Sicherheit als „einen Zustand, in dem die Risiken […] auf ein tragbares Maß reduziert sind“. Das BSI wendet dieses Betriff auch auf den Bereich der Informationssicherheit an. Der Begriff Sicherheit geht also über die Sicherung von Kreditkartendaten weit hinaus.

Zum Dritten gilt PCI DSS nicht für das gesamte Unternehmen, sondern nur für den Bereich, in den Kreditkartendaten verarbeitet oder gespeichert werden (Scope).  Es ist möglich, die kreditkartendatenverarbeitende Systeme von einer restlichen Infrastruktur so zu trennen, dass die Anforderungen des Standards nicht für die gesamte IT-Infrastruktur sondern nur für einen kleinen Bereich gelten. Oftmals ist diese Vorgehensweise sogar empfehlenswert.

Und zum Vierten: Auch PCI DSS ist nicht perfekt. Es wird immer Bereiche geben, die der Standard nicht allumfassend abdecken kann. Auch können sich Bedrohungssituationen wesentlich schneller entwickeln, als der Standard angepasst werden kann. Und die Interpretation von Anforderungen und deren Umsetzung hängt dann wieder auch von den  beteiligten Personen ab, sodass auch der Standard etwas „Spielraum“ zur Umsetzung lässt.