Suchen

Permanentes Schwachstellen-Management als Basis für PCI-Compliance Effizientere Sicherheitsprozesse dank Umsetzung des PCI-DSS-Standards

| Autor / Redakteur: Chris Schwartzbauer, VP Worldwide Field Operations, Shavlik Technologies / Stephan Augsten

Vielen Unternehmen ist noch unklar, wie sie den Grundstein für eine Umsetzung von Compliance-Vorgaben wie dem Payment Card Industry Data Security Standard legen sollen. Sie fürchten die Auswirkungen auf bestehende Geschäftsprozesse und ihre IT-Systeme. Hat man allerdings die Schwachstellen im Griff, so kann man sich an die Umsetzung der Compliance-Anforderungen machen.

Firmen zum Thema

Fortlaufendes Schwachstellen-Scanning ist eine solide Basis zur Umsetzung der PCI-Vorgaben.
Fortlaufendes Schwachstellen-Scanning ist eine solide Basis zur Umsetzung der PCI-Vorgaben.
( Archiv: Vogel Business Media )

Als der Payment Card Industry Data Security Standard (PCI DSS) das erste Mal in Europa vorgestellt wurde, haben viele Organisationen zögerlich bis ablehnend reagiert. Das ist durchaus nachvollziehbar: Es ist aufwändig, den Standard zu adaptieren und die Unternehmensprozesse gemäß den neuen Anforderungen anzupassen.

Europäische Organisationen – vor allem aus nicht englischsprachigen Ländern – begründeten ihre Zurückhaltung gegenüber PCI damit, dass sie angeblich nicht denselben Gefahren ausgesetzt seien wie jene aus anderen Regionen. Im Übrigen stufen die meisten ihre bereits vorhandenen Sicherheitsmaßnahmen und -messungen als ausreichend ein.

Deshalb hielten Unternehmen und Verbände eine Umstellung auf den PCI-Standard lange Zeit nicht für sinnvoll. Angedrohte Sanktionen allein motivieren Unternehmen noch lange nicht dazu, genügend Ressourcen zu mobilisieren, um den Compliance-Standard einzuführen. Ein Bewusstsein für die Notwendigkeit der Standardisierung ist notwendig.

Mittlerweile hat ein Umdenken in Deutschland eingesetzt. Das liegt nicht nur an den vielen aktuellen Fällen von Datenverlust- und diebstahl auch hierzulande.

Neue Bedrohungslage als Treiber für PCI-Compliance

Während in der Vergangenheit Hacker überwiegend große Knalleffekte erzeugen wollten, indem sie Systeme zum Erliegen brachten, sollen heutige Angriffe möglichst lange unbemerkt bleiben. Entsprechende Programme bekommen so die notwendige Zeit, Systeme zu infiltrieren, um an sensible Daten zu kommen.

Zahlreiche Kreditinstitute haben inzwischen darauf reagiert. Mittlerweile stellen sie die Zusammenarbeit mit Organisationen ein, die PCI ablehnen. Die Frage ist also nicht mehr, ob PCI DSS allgemein gelten soll oder nicht. Vielmehr beschäftigen sich Unternehmen nun damit, wie der Standard sinnvoll umgesetzt werden kann.

Seite 2: Wie Schwachstellen-Management zu PCI-Compliance beiträgt

(ID:2017695)