Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM.
Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise habe ich auch über Hörensagen von ein paar berichtet bekommen. Insgesamt muss ich feststellen, dass es stellenweise sehr gute Auditoren gibt, die ein hohes Maß an Fachkompetenz besitzen. Dass ein QSA seinen Standard natürlich kennen sollte, versteht sich von selbst. Das PCI Council sorgt über Qualifizierungsmaßnahmen ohnehin dafür. Dennoch stelle ich aus meinen Erfahrungen in den letzten Jahren weitere Anforderungen an einen guten QSA:
- Ein QSA muss seinen Standard PCI DSS nicht nur kennen, er muss ihn verstehen. Das scheint auf dem ersten Blick selbstverständlich zu sein, ist es aber nicht. Der Punkt wird mit der Auflistung der nächsten Punkte klarer.
- Er sollte einen CISSP besitzen. Der CISSP ist schon sehr managementlastig, aber man muss zumindest gewisse technische Grundkenntnisse besitzen. Im Gegensatz dazu sind CISM und CISA einfach nicht technisch genug ausgerichtet. Ich kenne Auditoren, die „nur“ eine CISA-Zertifizierung besitzen und dennoch fachlich extrem kompetent sind. Eine höhere Wahrscheinlichkeit einen guten QSA zu erwischen hat man jedoch, wenn man einen nimmt, der CISSP zertifiziert ist.
- Ein QSA muss Security „verstehen“. Es greift einfach zu kurz, wenn man nur den Wortlaut des Standards folgt. Hinter jeder einzelnen Anforderung des PCI DSS steckt eine Bedeutung. Ein Ziel, welches erreicht werden möchte! Natürlich prüfen QSA den Wortlaut des Standards und sie müssen den definierten Testprozeduren folgen. Das heißt allerdings nicht, dass man Anforderungen im Wortlauft folgt, ohne die Intention oder den Kontextbezug der Anforderung zu betrachten. Ein allseits bekanntes Beispiel ist das Wort „Testdaten im Produktionssystem“. Je nach Kontextbezug ist das sehr tatsächlich sehr „böse“. Aber es hängt vom Kontext ab. Und es gilt nicht grundsätzlich. Bevor man sich für einen QSA entscheidet, einfach einmal nachfragen, ob Testdaten im Produktionssystem erlaubt sind. Man sollte eine differenzierte Antwort erhalten.
- Auditoren sind keine Götter, sondern Menschen, die für ein Unternehmen arbeiten. Man bezahlt für ihre Dienstleistung. Man ist Kunde. Man kann immer erwarten, dass Auditoren ihre Einschätzungen erläutern und begründen. Der PCI DSS ist nicht exakt, sondern hinterlässt Interpretationsspielraum. Dieser sollte stets im Sinne des Kunden ausgelegt werden, sofern nicht tatsächlich ein Risiko existiert, sodass der jeweilige Punkt streng ausgelegt werden muss. Eigentlich sollte das selbstverständlich sein, ist es aber nicht.
Die Bedeutung der Qualifikation und Erfahrung eines Auditors ist extrem wichtig. Für den „Erfolg“ eines Audits ist das etwas weniger relevant. Aber einem Unternehmen kann eine PCI-Zertifizierung sowie das spätere Daily Business etwas leichter fallen, wenn es einen guten QSA besitzt, mit dem es auch kritische Punkte offen und sachlich diskutieren kann. Ich kenne aktuell 1-2 aktive QSA persönlich, die ich weiter empfehlen kann. Bei Interesse einfach mit mir Kontakt aufnehmen. Ich bekomme keine Provision ;-).
