{"id":58,"date":"2013-02-10T20:36:38","date_gmt":"2013-02-10T18:36:38","guid":{"rendered":"http:\/\/www.it-is-all-about-risk.de\/?p=58"},"modified":"2014-02-04T18:45:13","modified_gmt":"2014-02-04T16:45:13","slug":"pci-dss-compliance-bedeutet-nicht-sicherheit","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pci-dss\/pci-dss-compliance-bedeutet-nicht-sicherheit\/","title":{"rendered":"PCI DSS Compliance bedeutet nicht Sicherheit"},"content":{"rendered":"<p>Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsl\u00e4ufig, dass ein Unternehmen \u201esicher\u201d ist:<\/p>\n<p>Zum Ersten konzentriert sich PCI DSS ausschlie\u00dflich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus st\u00e4rker auf die Vertraulichkeit als auf die Integrit\u00e4t oder Verf\u00fcgbarkeit dieser Daten gerichtet. Ich m\u00f6chte nicht abstreiten, dass viele Ma\u00dfnahmen des PCI DSS das generelle Sicherheitsniveau eines Unternehmens steigert. Gerade viele vom Standard geforderte organisatorische Ma\u00dfnahmen wie z.B. die Implementierung eines Security Awareness-Programms,\u00a0 die Definition eines Plans zur Vorgehensweise bei Sicherheitsvorf\u00e4llen usw. haben positive Auswirkungen auf das allgemeine Sicherheitsniveau. Auch viele technische Ma\u00dfnahmen wie z.B. Netzwerksegmentierung k\u00f6nnen positive Auswirkungen haben, sofern andere Daten oder Systeme davon auch eingeschlossen sind.<\/p>\n<p>Zum Zweiten ist die Feststellung, ob ein Unternehmen \u201esicher\u201c ist, nicht trivial. Was bedeutet denn \u00fcberhaupt \u201eSicherheit\u201c? In der ISO 27001 wird Informationssicherheit als die \u201eAufrechterhaltung der Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit\u201c definiert.\u00a0 Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) definiert IT-Sicherheit als \u201eeinen Zustand, in dem die Risiken [\u2026] auf ein tragbares Ma\u00df reduziert sind\u201c. Das BSI wendet dieses Betriff auch auf den Bereich der Informationssicherheit an. Der Begriff Sicherheit geht also \u00fcber die Sicherung von Kreditkartendaten weit hinaus.<\/p>\n<p>Zum Dritten gilt PCI DSS nicht f\u00fcr das gesamte Unternehmen, sondern nur f\u00fcr den Bereich, in den Kreditkartendaten verarbeitet oder gespeichert werden (Scope).\u00a0 Es ist m\u00f6glich, die kreditkartendatenverarbeitende Systeme von einer restlichen Infrastruktur so zu trennen, dass die Anforderungen des Standards nicht f\u00fcr die gesamte IT-Infrastruktur sondern nur f\u00fcr einen kleinen Bereich gelten. Oftmals ist diese Vorgehensweise sogar empfehlenswert.<\/p>\n<p>Und zum Vierten: Auch PCI DSS ist nicht perfekt. Es wird immer Bereiche geben, die der Standard nicht allumfassend abdecken kann. Auch k\u00f6nnen sich Bedrohungssituationen wesentlich schneller entwickeln, als der Standard angepasst werden kann. Und die Interpretation von Anforderungen und deren Umsetzung h\u00e4ngt dann wieder auch von den\u00a0 beteiligten Personen ab, sodass auch der Standard etwas \u201eSpielraum\u201c zur Umsetzung l\u00e4sst.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsl\u00e4ufig, dass ein Unternehmen \u201esicher\u201d ist: Zum Ersten konzentriert sich PCI DSS ausschlie\u00dflich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus st\u00e4rker auf die Vertraulichkeit als auf die Integrit\u00e4t oder Verf\u00fcgbarkeit dieser Daten gerichtet. &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pci-dss\/pci-dss-compliance-bedeutet-nicht-sicherheit\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-58","6":"format-standard","7":"category-pci-dss"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/58","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=58"}],"version-history":[{"count":13,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/58\/revisions"}],"predecessor-version":[{"id":125,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/58\/revisions\/125"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=58"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=58"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=58"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}