Suchen

Wirtschaftliche und technische Kriterien für PCI-konforme Security-Lösungen

PCI-Compliance schafft Vertrauen

Seite: 3/5

Firma zum Thema

Standardisierung und Automatisierung: Lizenz- oder OpenSource-Lösung?

Application Outsourcing und Industrialisierung sind im Software- und IT-Bereich gegenwärtig generell ein Schlüsselthema. Und das, was z.B. im Bankensektor für standardisierte, dabei flexible und plattformunabhängige Core-Banking- oder CRM-Systeme gilt, trifft auch für Security-Lösungen zu: Standardisierung bedeutet hier, auf praxisbewährte, zügig zu implementierende Software zurückgreifen zu können, die nicht erst aufwändig konfiguriert und individuell angepasst werden muss.

OpenSource spielt in Deutschland allerdings eine wichtige Rolle. Inhouse mit eigenen Spezialisten, denen man vertraut, eine eigene Security Architektur zu entwickeln, erscheint auf den ersten Blick attraktiv, zumal keine Lizenzgebühren für die Software anfallen. Andererseits wird der CIO eines Retailers neben den reinen Anschaffungskosten in puncto effizienter Vergabe seiner Mittel auch TCO-Betrachtungen anzustellen haben: Hier fallen dann all die Kosten ins Gewicht, die durch Adaptation, Installation, Patchings, aber auch Verwaltung, Pflege und Betrieb der implementierten Lösung entstehen.

Dann muss abgewogen werden, ob die Manntage der eigenen Spezialisten auf die Dauer nicht mehr Finanzmittel verschlingen, als dies bei einer standardisierten Lösung der Fall ist, die - ohne umfangreichen Eingriff in bestehende IT-Umgebungen - mehr als 95% aller unsicheren FTP-Protokolle im Hintergrund automatisch durch verschlüsseltes SFTP austauscht.

Telnet und FTP vollständig aus der IT-Umgebung einer Firma zu verbannen, klingt einfacher, als es häufig in der Praxis ist. IT-Architekturen sind in der Regel eine „Erbschaft“ längst ausgeschiedener Programmierer und Administratoren und daher unübersichtlich. Auch M&As hinterlassen ihre Spuren, wenn die hier eigentlich fällige Homogenisierung unterbleibt: Unternehmen fusionieren, ihre IT-Strukturen nicht. Häufig genug ist dem CIO vor Ort - bei 1000en von Servern - gar nicht klar, wo überall das FTP-Protokoll geöffnet ist. Dann droht er schon an seiner Dokumentationspflicht zu scheitern, weil er kaum nachweisen kann, alle FTP-Protokolle durch verschlüsseltes SFTP ersetzt zu haben.

Will er dennoch alle FTP-Protokolle inhouse „aufspüren“ und „per Hand umschreiben“ lassen, so wird eine seriöse Zeit- und Lohnkostenplanung für ihn fast ein Ding der Unmöglichkeit. IT-Security wird daher im Retail- und Bankensektor längst nicht mehr allein daran gemessen, wie sie als Lösung funktioniert, sondern vor allem daran, wie sie als Projekt innerhalb verpflichtender Fristen zum Funktionieren gebracht und dokumentiert werden kann.

Seite 4: Dokumentationsfunktionalität und übersichtliche Administrierbarkeit

(ID:2012962)