Archiv für den Monat: Februar 2013

10 02, 2013

PCI DSS Compliance bedeutet nicht Sicherheit

von |10. Februar 2013|PCI DSS|0 Kommentare|

Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsläufig, dass ein Unternehmen „sicher” ist:

Zum Ersten konzentriert sich PCI DSS ausschließlich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus stärker auf die Vertraulichkeit als auf die Integrität oder Verfügbarkeit dieser Daten gerichtet. Ich möchte nicht abstreiten, dass viele Maßnahmen des PCI DSS das generelle Sicherheitsniveau eines Unternehmens steigert. Gerade viele vom Standard geforderte organisatorische Maßnahmen wie z.B. die Implementierung eines Security Awareness-Programms,  die Definition eines Plans zur Vorgehensweise bei Sicherheitsvorfällen usw. haben positive Auswirkungen auf das allgemeine Sicherheitsniveau. Auch viele technische Maßnahmen wie z.B. Netzwerksegmentierung können positive Auswirkungen haben, sofern andere Daten oder Systeme davon auch eingeschlossen sind.

Zum Zweiten ist die Feststellung, ob ein Unternehmen „sicher“ ist, nicht trivial. Was bedeutet denn überhaupt „Sicherheit“? In der ISO 27001 wird Informationssicherheit als die „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit“ definiert.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Sicherheit als „einen Zustand, in dem die Risiken […] auf ein tragbares Maß reduziert sind“. Das BSI wendet dieses Betriff auch auf den Bereich der Informationssicherheit an. Der Begriff Sicherheit geht also über die Sicherung von Kreditkartendaten weit hinaus.

Zum Dritten gilt PCI DSS nicht für das gesamte Unternehmen, sondern nur für den Bereich, in den Kreditkartendaten verarbeitet oder gespeichert werden (Scope).  Es ist möglich, die kreditkartendatenverarbeitende Systeme von einer restlichen Infrastruktur so zu trennen, dass die Anforderungen des Standards nicht für die gesamte IT-Infrastruktur sondern nur für einen kleinen Bereich gelten. Oftmals ist diese Vorgehensweise sogar empfehlenswert.

Und zum Vierten: Auch PCI DSS ist nicht perfekt. Es wird immer Bereiche geben, die der Standard nicht allumfassend abdecken kann. Auch können sich Bedrohungssituationen wesentlich schneller entwickeln, als der Standard angepasst werden kann. Und die Interpretation von Anforderungen und deren Umsetzung hängt dann wieder auch von den  beteiligten Personen ab, sodass auch der Standard etwas „Spielraum“ zur Umsetzung lässt.

6 02, 2013

Erfahrungen zur CISSP-Prüfung

von |6. Februar 2013|Zertifizierung|2 Kommentare|

Ich habe Ende 2012 erfolgreich die Prüfung zum CISSP bestanden und möchte noch meine Erfahrungen dazu mitteilen. Zur Prüfungsvorbereitung habe ich ausschließlich folgende Bücher benutzt:

  • CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart, Mike Chapple und Darril Gibson
  • CISSP All-in-One Exam Guide von Shon Harris
  • Official (ISC)2 Guide to the CISSP CBK ((ISC)2 Press) von Harold F. Tipton

Der Study Guide von Stewart/Chapple/Gibson lässt sich relativ locker lesen und könnte auch ausreichend sein. Das Buch von Harris geht stellenweise mehr in die Tiefe, war aber zu dem Zeitpunkt des Kaufs nicht an das aktuelle CBK angepasst (im Gegensatz zum vorher genannten Study Guide). Beide Bücher waren insbesondere zusammen für mich ausreichend. Den offiziellen Guide kann ich weniger empfehlen. Er liest sich einfach zu trocken.

Die Zeit in der Prüfung war für mich mehr als komfortabel. Neben theoretischen Kenntnissen und praktischen Erfahrungen, die in der Prüfung abgefragt werden, sollte man auch die eigene Konzentration über einen längeren Zeitraum aufrecht halten können. So schnell man die ersten Fragen beantwortet, so langsam wird es dann am Ende. Nachdem man während der Prüfung auf Toilette gehen kann, sollte man die Gelegenheit nutzen die Beine zu vertreten um kurz etwas anderes zu sehen als den Prüfungsbildschirm. Man kann zwar – genug Zeit vorausgesetzt – am Ende nochmals alle Fragen durchgehen, vielleicht ist dazu auch noch genug Zeit, aber ich würde und habe darauf verzichtet.  Am Ende war ich schon froh, dass ich alle Fragen und in der Regel auch mit einem guten Gefühl beantwortet habe. Wie viele andere finde ich es schade, dass man kein genaueres Prüfungsergebnis im Erfolgsfall bekommt als die Information, dass man bestanden hat.