Suchen

Wirtschaftliche und technische Kriterien für PCI-konforme Security-Lösungen

PCI-Compliance schafft Vertrauen

Seite: 5/5

Firma zum Thema

Fazit

Aus Sicht von SSH Communictions Security ist der PCI-Standard - trotz seiner teilweise noch zu ungenauen Definition - ein Vorbote für die künftige Tendenz zu detaillierten, einheitlich gefassten Industriestandards, die Daten- und Verbraucherschutz verbindlich einfordern. Auf staatlicher Seite entsprechen dem zunehmend eingeführte Compliance-Anforderungen wie Basel II, SOX 404 oder EURO-SOX.

Der PCI-Standard ist für die Retailer allerdings nicht Schikane, sondern Orientierungshilfe: Angesichts von Konventionalstrafen in 2-stelliger Millionenhöhe bis hin zum Ausschluss aus dem Kreditkartengeschäft, drohenden Schadensersatzklagen, beschädigtem Kundenvertrauen und Imageeinbußen im Verlustfall vertraulicher Daten sind die externen Scans und Audits ein eher geringes „Übel“.

Daher kann es für den Handel nicht um Einsparung von, sondern um Einsparung bei IT-Security gehen. Das bedeutet, Unternehmen sollten Compliance nicht isoliert als IT-Thema betrachten, sondern betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren. Neben dem Cost-Driver schlechthin, eintretenden Exploits, sind zum Beispiel bei einer Inhouse-Lösung Kosten einzukalkulieren für die Manntage beim aufwändigen System-Screening nach unsicheren Telnet-Verbindungen und FTP-Protokollen bzw. bei der individuellen Schließung unsicherer Ports und Umstellung von FTP auf verschlüsseltes SFTP.

Auch die Anpassung der Sicherheitslösung an heterogene IT-Plattformen sowie die Downtime in der Migrations- und Testphase sind Kostenfaktoren. Gründliche Compliance-Überprüfungen, der Zeitaufwand bei Erstellung von Reportings und drohende Sanktionen bei nicht bestandenen Audits fallen finanziell ebenso ins Gewicht wie eventuell eingeschränkter Datendurchsatz und beeinträchtigte Hochverfügbarkeit des Systems nach Implementierung der Lösung.

Migration, Updates, Pflege und Verwaltung der Lösung erweisen sich als die eigentlichen Kostenfaktoren, gegenüber denen sich die Kaufsumme für die erforderlichen Lizenzen eines kommerziellen Produktes vergleichsweise gering ausnimmt, zumal dann, wenn es sich um eine Investition in ein mittelfristig weit kostengünstiger zu nutzendes Produkt handelt: Denn nicht die Anschaffung, sondern die Nutzung einer IT-Security-Lösung kostet in der Regel das meiste Geld.

(ID:2012962)