QSA

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

Leave a Comment

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis.

Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:

(sorry Jungs, meine Meinung)

Schnarchnasen. Unvorbereitet. Überfordert. Unsicher im PCI Standard. Verrückte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!

Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grundsätzlich von Sicherheitskonzepten nicht viel verinnerlicht haben. Wie oft habe ich Auditoren für Kunden „eingefangen“, die Diskussion zurück auf den PCI DSS bezogen und Interpretationen korrigiert.

Es gibt hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor für die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor wählen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber schützt vor Überraschungen – sowie vor grauen Haaren und Buthochdruck.

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

Leave a Comment

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen:

  • Adsigo AG
  • Internet Security Systems a wholly owned IBM Company
  • NTT Com Security (UK) Ltd.
  • Protiviti
  • SRC Security Research & Consulting GmbH
  • TUV SUD Management Service GmbH
  • usd AG
  • Verizon/CyberTrust

Als „deutsche Unternehmen“ (mit deutscher Rechtsform) bleiben nur noch

  • Adsigo AG
  • SRC Security Research & Consulting GmbH
  • TUV SUD Management Service GmbH
  • usd AG

Zu drei dieser Unternehmen hatte ich bisher in irgendeiner Art und Weise Kontakt. Wer gerne eine persönliche Empfehlung haben möchte, darf mich gerne kontaktieren. Aus eigener Erfahrung weiß ich, wie wichtig ein kompetenter und erfahrener QSA für die erfolgreiche und effiziente Durchführung eines PCI DSS Audits ist.

[1] https://de.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

Der richtige Umgang mit QSAs / Auditoren für PCI DSS

Leave a Comment

Letztens habe ich für einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich möchte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der „böse Auditor“. Das stimmt so nicht und ist auch ein Fehler. Ein zertifiziertes oder demnächst zertifiziertes Unternehmen ist der Kunde und die QSA-Company der Dienstleister. PCI-Audits sind keine behördliche Prüfung einer Aufsichtsbehörde für Datenschutz oder ähnliches. Man bezahlt für den Audit, also sollte man das Beste aus der Situation machen.

Verliert man die Ansicht, dass der Audit der „böse“ ist und ruft sich in Erinnerung, dass man für seine Dienstleistung bezahlt, ändert sich auch automatisch die Herangehensweise. Der beste Umgang mit einem QSA ist die offene Variante. Man sollte eventuelle Probleme offen ansprechen und mit ihm darüber sachlich diskutieren. Nochmals: Offen und sachlich! Wenn man weiß, dass vielleicht ein Compliance-Problem lauert, kann man das am besten gleich ansprechen. Und zwar direkt am Anfang. Warum? Weil man dann nichts mehr zu verbergen hat und ein Auditor nichts mehr finden kann, was man vielleicht ohnehin schon weiß. Hat man in der Vorbereitung seinen Job gut gemacht, findet er gar nichts mehr. Idealerweise gibt es natürlich gar keine Probleme, aber das ist nicht immer der Fall.

Diese Vorgehensweise schafft etwas Vertrauen zwischen den Beteiligten und kann ungemein den Audit erleichtern. Auditoren müssen für ihren Job eine gewisse Grundskepsis mitbringen, das lässt sich nicht vermeiden. Wer sachlich diskutiert, ehrlich und offen ist, wird beim Audit insgesamt besser fahren, als wenn man sich verschließt und sinnlose Diskussionen führt, bei denen man ohnehin nur verlieren kann. Einfach den Auditor als Partner sehen ;-).

Erfolgsfaktoren für den PCI DSS Audit und die Zertifizierung

Leave a Comment

Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man

  • einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt.
  • eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von außen einkaufen und dabei auf eine CISSP-Zertifizierung achten. Der Berater muss aber nicht nur PCI DSS verstehen, sondern auch Security mit Business kombinieren können.
  • eine Reduzierung des Scopes. In der Regel ist es sehr ungünstig, wenn alle Bereiche eines Unternehmens unter PCI DSS fallen. Das erhöht nicht nur den Dokumentationsaufwand, sondern verringert auch die allgemeine Produktivität.
  • Unterstützung vom Management. Ohne Unterstützung von oben geht es nicht. Eine PCI-Zertifizierung kostet nicht nur Geld, sondern wird im Unternehmen am Anfang garantiert unbequem sein. PCI DSS hat in der Praxis nicht den besten Ruf und es gibt zugegeben angenehmere Zertifizierungen. Insbesondere Softwareentwickler scheinen PCI DSS schnell als Feindbild zu sehen. Das muss nicht sein.
  • Sicherheit als kontinuierlichen Prozess. Vor dem Audit ist nach dem Audit. PCI DSS hört nicht nach dem Audit auf, und fängt nicht zum nächsten Audit wieder an. Beim ersten Audit muss man weniger nachweisen, dass man „pci lebt“. Beim zweiten sollte man besser nicht wieder von vorne anfangen. Hierzu werden Prozesse notwendig sein. Mitarbeiter müssen mitgenommen werden. Ohne eine Person, die hierfür explizit die Zuständigkeit besitzt, wird der nächst Audit meist so schwierig wie der erste.
  • eine gute Vorbereitung. Man sollte bereits vor dem eigentlichen Audit wissen, ob alles compliant ist und wenn nicht, wo die eigenen Schwachstellen liegen.

Was einen guten QSA bzw. PCI-Auditor auszeichnet

Leave a Comment

Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM.

Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise habe ich auch über Hörensagen von ein paar berichtet bekommen. Insgesamt muss ich feststellen, dass es stellenweise sehr gute Auditoren gibt, die ein hohes Maß an Fachkompetenz besitzen. Dass ein QSA seinen Standard natürlich kennen sollte, versteht sich von selbst. Das PCI Council sorgt über Qualifizierungsmaßnahmen ohnehin dafür. Dennoch stelle ich aus meinen Erfahrungen in den letzten Jahren weitere Anforderungen an einen guten QSA:

  • Ein QSA muss seinen Standard PCI DSS nicht nur kennen, er muss ihn verstehen. Das scheint auf dem ersten Blick selbstverständlich zu sein, ist es aber nicht. Der Punkt wird mit der Auflistung der nächsten Punkte klarer.
  • Er sollte einen CISSP besitzen. Der CISSP ist schon sehr managementlastig, aber man muss zumindest gewisse technische Grundkenntnisse besitzen. Im Gegensatz dazu sind CISM und CISA einfach nicht technisch genug ausgerichtet. Ich kenne Auditoren, die „nur“ eine CISA-Zertifizierung besitzen und dennoch fachlich extrem kompetent sind. Eine höhere Wahrscheinlichkeit einen guten QSA zu erwischen hat man jedoch, wenn man einen nimmt, der CISSP zertifiziert ist.
  • Ein QSA muss Security „verstehen“. Es greift einfach zu kurz, wenn man nur den Wortlaut des Standards folgt. Hinter jeder einzelnen Anforderung des PCI DSS steckt eine Bedeutung. Ein Ziel, welches erreicht werden möchte! Natürlich prüfen QSA den Wortlaut des Standards und sie müssen den definierten Testprozeduren folgen. Das heißt allerdings nicht, dass man Anforderungen im Wortlauft folgt, ohne die Intention oder den Kontextbezug der Anforderung zu betrachten. Ein allseits bekanntes Beispiel ist das Wort „Testdaten im Produktionssystem“. Je nach Kontextbezug ist das sehr tatsächlich sehr „böse“. Aber es hängt vom Kontext ab. Und es gilt nicht grundsätzlich. Bevor man sich für einen QSA entscheidet, einfach einmal nachfragen, ob Testdaten im Produktionssystem erlaubt sind. Man sollte eine differenzierte Antwort erhalten.
  • Auditoren sind keine Götter, sondern Menschen, die für ein Unternehmen arbeiten. Man bezahlt für ihre Dienstleistung. Man ist Kunde. Man kann immer erwarten, dass Auditoren ihre Einschätzungen erläutern und begründen. Der PCI DSS ist nicht exakt, sondern hinterlässt Interpretationsspielraum. Dieser sollte stets im Sinne des Kunden ausgelegt werden, sofern nicht tatsächlich ein Risiko existiert, sodass der jeweilige Punkt streng ausgelegt werden muss. Eigentlich sollte das selbstverständlich sein, ist es aber nicht.

Die Bedeutung der Qualifikation und Erfahrung eines Auditors ist extrem wichtig. Für den „Erfolg“ eines Audits ist das etwas weniger relevant. Aber einem Unternehmen kann eine PCI-Zertifizierung sowie das spätere Daily Business etwas leichter fallen, wenn es einen guten QSA besitzt, mit dem es auch kritische Punkte offen und sachlich diskutieren kann. Ich kenne aktuell 1-2 aktive QSA persönlich, die ich weiter empfehlen kann. Bei Interesse einfach mit mir Kontakt aufnehmen. Ich bekomme keine Provision ;-).