Suchen

Wirtschaftliche und technische Kriterien für PCI-konforme Security-Lösungen

PCI-Compliance schafft Vertrauen

Seite: 4/5

Firma zum Thema

Eine lizenzierte Standardlösung bietet ein besonderes Maß an Planungssicherheit: finanziell, da die Personal- und Opportunitätskosten bei stundenbasierten Inhouse-Projekten schwerer abzuschätzen sind - und zumeist höher liegen - als die transparent zu kalkulierenden Aufwendungen für die fixen Lizenzgebühren bei standardisierten Lösungen. Und organisatorisch, insofern die IT-Abteilung sich nicht - wie häufig bei Inhouse-Projekten - vor unvorhergesehene Probleme gestellt sieht, die die Einhaltung von Compliance-Terminen prekär machen.

Ein weiteres Kriterium bei Auswahl einer Verschlüsselungssoftware sind Datendurchsatz und Übertragungsgeschwindigkeit. Sind Lösungen wie FTPS wegen ihres Ressourcenbedarfs problematisch, ermöglicht das SFTP-Protokoll aufgrund seiner Standardisierung eine Verschlüsselung von Applikationen und Dateitransfers im Hintergrund, ohne dass bestehende IT-Landschaften tiefgreifend umgestaltet und in ihrer Funktion „gestört“ werden.

Dokumentationsfunktionalität und übersichtliche Administrierbarkeit

Eine einfache Administrierbarkeit der Security-Lösung ist aus zwei Gründen unerlässlich. Zum einen ist eine zentrale, verschlüsselte Zuweisung von User-ID und Password - einschließlich Erstellen, sicherer Aufbewahrung, regelmäßiger Änderung starker Schlüssel sowie Vernichten, Ersetzen und Zurückrufen alter oder kompromittierter Schlüssel - neben dem übersichtlichen Screening des gesamten Systems auf Unregelmäßigkeiten und Angriffe ein entscheidender Faktor in der Organisations- und Arbeitsökonomie eines Unternehmens.

Zum anderen stellt ein zentralisiertes Management die geforderte Transparenz und damit die Grundlage für rechtskonforme Reportings, erfolgreich bestandene Security-Scans sowie Audits sicher. SSH Communications Security hat dazu in seine Lösung SSH Tectia 6.0 den SSH Tectia Manager integriert. Dieser speichert Daten über besondere Vorkommnisse zentral in System Logs und strukturiert sie in Audit Trails - wie Identifizierung beteiligter User, Uhrzeit, Datum, Art und Ziel eines Angriffs (betroffene Daten, Systemkomponenten oder Ressourcen) -, so dass detaillierte Auswertungen für Sicherheitsprotokolle oder im Hinblick auf Prävention und Sicherheitsoptimierung erstellt werden können. Da der Manager das gesamte System in Echtzeit überwacht und alle verdächtigen Veränderungen bei den verwalteten Clients flaggt, gewinnt das Unternehmen einen lückenlosen Überblick über den Sicherheitsstatus des gesamten Systems.

Seite 5: Fazit

(ID:2012962)