Sicherheit kostet Geld

Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. Technische Maßnahmen wie Firewalls müssen nicht nur angeschafft werden, sondern auch betreut werden. Auch möglichen Maßnahmen im Bereich Security Awareness stehen direkte und indirekte Kosten entgegen. Sicherheit gibt es nicht kostenlos.

Die Frage ist letztendlich nur, wie viel ein Unternehmen in Sicherheit investieren muss, damit es sich in einer akzeptierbaren Risikosituation befindet. Die Entscheidung obliegt hier immer der Geschäftsleitung. Ein offener Umgang mit dem Thema von direkten und indirekten Kosten möglicher Sicherheitsmaßnahmen sorgt für eine transparentere Entscheidungsvorlage. Wer dies als Sicherheitsspezialist verschweigt, wird es später als Bumerang zurückbekommen.

PCI DSS 3.0 steht vor der Tür

Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr Erläuterungen und Klarstellungen enthalten, sowie Veränderungen der Bedrohungslage aufnehmen. Interessant finde ich die Ankündigung, dass die Regelungen zur Passwortkomplexität etwas flexibler werden sollen:

„Provided increased flexibility in password strength and complexity to allow for variations that are equivalent”

Der neue PCI DSS 3.0 soll im November veröffentlicht werden. Für Unternehmen wird eine Zertifizierung nach dem alten Standard noch bis Ende 2014 möglich sein, sodass ausreichend Zeit vorhanden ist, um eventuelle Änderungen an Prozessen und Infrastruktur vorzunehmen.