STRATEGIE17. März 2020

PCI DSS-Compliance ist nicht gleichbedeutend mit Sicherheit

PCI DSS - nur ein ersteer Schritt zur Sicherheit, sagt Andrew Kilbourne, Managing Director bei Synopsys
Andrew Kilbourne, Managing Director bei SynopsysSynopsys

Zunächst einmal ist es durchaus begrüßenswert, dass die Zahlungskartenindustrie für sich selbst nach einem Regulierungs­instrument gesucht und sich dieses Instrument mit dem Payment Card Industry Data Security Standard (PCI DSS) auch geschaffen hat. PCI DSS sorgt mittels technischer und organisatorischer Mittel dafür, dass jeder, der das System nutzt, geschützt ist. Soweit der Plan. Allerdings beobachten wir gerade in jüngster Zeit einen Abwärtstrend, und immer mehr Unternehmen scheitern an Interimsprüfungen nach PCI DSS. Laut dem im November letzten Jahres veröffentlichten Verizon 2019 Payment Security Report ist der Prozentsatz der Unternehmen, die die so genannten „Interim-Sicherheitsprüfungen“ nach PCI DSS (Website) bestanden haben, von 2016 bis 2018 um fast ein Drittel gesunken, von 55 % auf 37 %.

von Andrew Kilbourne, Managing Director bei Synopsys

Ein derartig starker Rückgang ist mehr als nur ein beunruhigender Trend. Selbst auf dem höchsten Stand im Jahr 2016 war kaum mehr als die Hälfte der Unternehmen, die Kreditkartendaten verarbeiten, bei diesen Zwischenprüfungen konform. Nun sieht es so aus, als würde selbst dieses mittelmäßige Ergebnis zu wanken beginnen. Es deutet viel darauf hin, dass trotz aller mahnenden Worte und Warnungen von Experten, Sicherheit hier erst im Nachgang betrachtet wird. Und sie nicht die Priorität genießt, die sie in einer stark vernetzten Welt haben sollte. Bleibt zudem noch die Tatsache, dass selbst die Unternehmen, die ein Audit erfolgreich abgeschlossen haben, noch Opfer von Hackerangriffen werden.

Betrachtet man speziell die Finanzdienstleistungsbranche (FSI) so kann laut „2019 State of Software Security in the Financial Services Industry“ Report (eine unabhängige, von Synopsys in Auftrag gegebene und vom Ponemon Institute durchgeführte Studie) die Mehrheit der FSI-Unternehmen Cyber-Attacken nicht wirksam verhindern.

Mehr als die Hälfte der Befragten, von denen die Daten in diesem Bericht stammen, koinzidierten Systemfehler, Ausfallzeiten (56 %) oder den Diebstahl sensibler Kundendaten (51 %) aufgrund unsicherer Software oder anderer Technologien. „

Autor Andrew Kilbourne, Synopsys
Andrew Kilbourne ist Managing Director innerhalb der Synopsys Software Integrity Group. Er blickt auf mittlerweile über 35 Jahre Erfahrung bei der Vermarktung von profitablen und innovativen Lösungen zurück. Dabei hat Kilbourne sich unter anderem auf die Entwicklung von Software-Security-Programmen für Banken- und Finanzdienstleiter, Telekommunikationsunternehmen und für Organisationen im Gesundheitswesen spezialisiert.
Compliance ist keinesfalls gleichbedeutend mit Sicherheit. Troy Leach, Senior Vice President des PCI SSC (Payment Card Industry Security Standards Council), der den PCI DSS-Standard maßgeblich ausgearbeitet und seine Entwicklung überwacht hat, predigt bereits von Anfang an das Mantra „Compliance ist nicht gleich Sicherheit“. Seiner Ansicht nach ist es eher umgekehrt, und Sicherheit erzeugt erst Compliance. Die Finanzdienstleistungsbranche ist, was die Sicherheit ihrer Software anbelangt, relativ ausgereift, gerade im Vergleich zu anderen Branchen. Viele FSI-Unternehmen haben allerdings mit der sich schnell entwickelnden Technologielandschaft zu kämpfen. Parallel dazu sieht sich gerade die Branche der Banken und Finanzdienstleister häufigen und zunehmend raffinierter werdenden Angriffen ausgesetzt.

Die Mehrheit der FSI-Unternehmen führt eine Bewertung der Sicherheitsschwachstellen erst durch, wenn die Software bereits veröffentlicht wurde.“

Laut dem bereits zitierten Bericht zum Stand der Softwaresicherheit testen überhaupt nur 34 Prozent der befragten Unternehmen ihre Software auf Schwachstellen. 52 % der Befragten geben an, dass die Schwachstellenbewertung in die Phase nach der Veröffentlichung (32 %) oder in die Zeit nach der Produktionsfreigabe (20 %) fällt. Ein Trend, der angesichts der sich rasch weiterentwickelnden Technologien einerseits und der wachsenden Zahl von Bedrohungen andererseits nicht unbedingt optimistisch stimmt.

Demgegenüber steht weniger als die Hälfte der Befragten (48 %), bei denen die Schwachstellenbewertung schon während der Entwurfsphase einer Software (lediglich 11 %) oder beim Entwickeln und Testen der Software (37 %) stattfindet. Nur 25 % der Befragten sind zuversichtlich, Sicherheitslücken in einer Finanzsoftware oder einem Finanzsystem zu erkennen, bevor diese auf den Markt kommen.

Interimsprüfungen werden normalerweise einmal im Jahr von qualifizierten Sicherheitsgutachtern (QSAs) oder internen Sicherheitsgutachtern (ISAs) durchgeführt. Die zur Sicherstellung der PCI-Compliance eingesetzten Gutachter führen häufig auch die Sicherheitsprüfungen durch.

Es ist nicht besonders realistisch zu erwarten, dass PCI-Gutachter auch einen Nachbesserungsplan entwickeln.“

Dieser Interessenkonflikt ist problematisch, und er wurde von der Branche bisher noch nicht behoben. Einmal pro Jahr durchgeführte formelle Prüfungen zur Einhaltung der Vorschriften beweisen weder, dass ein Unternehmen sicher ist, noch liefern diese Prüfungen einen tiefergehenden Einblick in die Sicherheitsstrategie des Unternehmens. Die Prüfungen sind zeitlich begrenzt, konzentrieren sich auf das Scannen und laufen auf einer übergreifenden Ebene ab. Das Augenmerk richtet sich also nicht auf die Architektur oder das Sicherheitsprogramm, in deren Rahmen eine Software entwickelt wird.

Viele Branchengrößen haben ihre Betrachtungsweise dahingehend geändert. Einige der weltweit führenden Finanzdienstleistungsunternehmen haben sich inzwischen entschieden, ein spezielles Software-Sicherheitsprogramm zu implementieren. Ein Grund, warum sich die Namen dieser Unternehmen nicht in den Schlagzeilen wiederfinden, wenn es um neuerliche massive Datenschutzverletzungen innerhalb der Branche geht. Das ist eine deutliche Botschaft, und spricht dafür solche Programme einzuziehen.

Was lernen wir aus diesen Befunden? Die PCI DSS-Compliance ist wichtig; aber die Umsetzung einer proaktiven, kontinuierlichen, ganzheitlichen Software-Sicherheitsstrategie – die Sicherheitsmaßnahmen während des gesamten Software-Entwicklungszyklus vorsieht – sollten wegweisend sein.“

Mehr Unternehmen aus allen Branchen sollten eine Sicherheitskultur pflegen und gewährleisten, dass die bei den PCI-Bewertungen festgestellten Probleme behoben werden. Sicherheit ist keine einmal jährlich stattfindende Übung, und kein Unternehmen auf diesem Planeten kann sich als 100 % sicher bezeichnen. Sicherheit erfordert unbedingt eine fortlaufende, konsistente programmatische Strategie. Das betrifft alle Unternehmen und Branchen.Andrew Kilbourne, Synopsys

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/102922 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Stimmen, Durchschnitt: 3,00 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Instant Shopping mit zwei Klicks: Klarna startet Expresskauf-Button

Seit vielen Jahren ist die speziell von Amazon patentierte 1-Klick-Kauf-Option ein Alleinstellungsmerkmal des Unternehmens, das dem Vernehmen nach gut genutzt wird. Wenn es mit einem...

Schließen