Das Image von PCI DSS

PCI DSS besteht primär aus sinnvollen Best Practices, wenn man mit sensiblen Informationen arbeitet. Dennoch hat er keinen guten Ruf. Er kann Prozesse verkomplizieren, er fordert Investitionen und kostet in Augen vieler Verantwortlicher erst einmal Geld. Aber wo würde die Industrie ohne den Standard stehen? Ich vermute ohne PCI DSS wäre die Zahlung per Kreditkarte im Internet nicht so weit verbreitet. Keine Endkunde würde mehr der Kreditkarte als Online-Zahlungsmittel vertrauen, wenn er regelmäßig von seinem Issuer eine neue Karte erhalten würde, nachdem die vorherige kompromittiert wurde.

Der Standard scheint sein Ziel der Vertraulichkeit von Karteninhaberdaten gut zu erreichen: So wurden erst kürzlich bei Vodafone personenbezogene Daten gestohlen, auch Kontodaten. Aber keine Kreditkartendaten.

Der PCI DSS benötigt ein besseres Image.

Sicherheit kostet Geld

Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. Technische Maßnahmen wie Firewalls müssen nicht nur angeschafft werden, sondern auch betreut werden. Auch möglichen Maßnahmen im Bereich Security Awareness stehen direkte und indirekte Kosten entgegen. Sicherheit gibt es nicht kostenlos.

Die Frage ist letztendlich nur, wie viel ein Unternehmen in Sicherheit investieren muss, damit es sich in einer akzeptierbaren Risikosituation befindet. Die Entscheidung obliegt hier immer der Geschäftsleitung. Ein offener Umgang mit dem Thema von direkten und indirekten Kosten möglicher Sicherheitsmaßnahmen sorgt für eine transparentere Entscheidungsvorlage. Wer dies als Sicherheitsspezialist verschweigt, wird es später als Bumerang zurückbekommen.

PCI DSS 3.0 steht vor der Tür

Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr Erläuterungen und Klarstellungen enthalten, sowie Veränderungen der Bedrohungslage aufnehmen. Interessant finde ich die Ankündigung, dass die Regelungen zur Passwortkomplexität etwas flexibler werden sollen:

„Provided increased flexibility in password strength and complexity to allow for variations that are equivalent”

Der neue PCI DSS 3.0 soll im November veröffentlicht werden. Für Unternehmen wird eine Zertifizierung nach dem alten Standard noch bis Ende 2014 möglich sein, sodass ausreichend Zeit vorhanden ist, um eventuelle Änderungen an Prozessen und Infrastruktur vorzunehmen.