Suchen

Wirtschaftliche und technische Kriterien für PCI-konforme Security-Lösungen PCI-Compliance schafft Vertrauen

Autor / Redakteur: Meinolf Schulte (SSH Communications Security Germany) / Peter Schmitz

Boomender Online-Handel und immer mehr Fälle von Kreditkartenbetrug und Identitätsdiebstahl gehen längst Hand in hand. Höchste Zeit, dass Unternehmen mit dem PCI-DSS-Standard Wege für das sichere Zahlungs- und Datenmanagement gehen. Aber neben technologischen gibt es auch betriebswirtschaftliche Kriterien für eine PCI-konforme Security-Lösung. Security-Insider zeigt, worauf es bei der Auswahl ankommt.

Firma zum Thema

Unternehmen sollten IT-Security und PCI-Compliance betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren.
Unternehmen sollten IT-Security und PCI-Compliance betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren.
( Archiv: Vogel Business Media )

Der Online-Handel boomt. Und mit ihm auch der Kreditkartenbetrug. Zwei Fakten aus dem Winter 2007 werfen ein bezeichnendes Licht auf diese Entwicklung. Auf der einen Seite bezifferte der Verband des bundesdeutschen Onlinehandels (VDBO) den Umsatz alleine im Online-Weihnachtsgeschäft auf 4,8 Milliarden Euro, das sind rund eine halbe Milliarde Euro mehr als noch 2006. Und auf immerhin 10,9 Milliarden Euro beziffert der Bundesverband des Deutschen Versandhandels (BVH) die Gesamtausgaben im eCommerce für das Jahr 2007, was einer Steigerung von 9 Prozent gegenüber dem Vorjahr entspricht.

Auf der anderen Seite hat Identitätsbetrug alleine in den USA von 2002 bis 2007 um 50 Prozent zugenommen - der geschätzte Gesamtschaden: zwischen 50 und 65 Milliarden Dollar jährlich. Im Jahr 2006 waren nach Gartner davon 15 Millionen US-Staatsbürger direkt oder indirekt betroffen. Aber auch dem klassischen Handel, der sensible Daten webbasiert verwaltet, fehlt teilweise das nötige Risikobewusstsein: So musste der US-Einzelhändler TJX Companies Inc., der Kreditkartendaten u.a. von Branchenriesen wie Visa und MasterCard speichert, eingestehen, im Verlauf von 3 Jahren annähernd 100 Millionen vertrauliche Datensätze aus seinem Intranet an Hacker verloren zu haben.

Das passt ins Bild, hatte doch 2006 die Security Research & Consulting GmbH im Auftrag von MasterCard und Visa bei 3000 Verkäufern und über 35 Service-Providern die Standards im Umgang mit Kartendaten geprüft und war dabei zu dem erschreckenden Ergebnis gekommen, dass über 60% der überprüften Unternehmen gegen geltende Sicherheitsregeln verstießen: diese Nachlässigkeit hat ihren Preis, den Unternehmen wie Kunden in Milliardenhöhe zu zahlen haben.

Der Erfolg des Online-Handels hängt vom Kundenvertrauen ab

Retail und eTail basieren nicht zuletzt auf Kundenvertrauen in die Sicherheit ihrer Finanztransaktionen. Daher wurde im Herbst 2007 von der Kreditkartenindustrie im Verbund mit 28 IT-Security Anbietern der PCI DSS als verbindlicher Standard für Händler implementiert. Gab es vorher die insularen Sicherheitsbestimmungen einzelner Anbieter wie das Visa-Account-Information-Security-Programm oder die American Express Security Operating Policy (DSOP), so ist nun in 12 einzelnen Paragraphen genau festgelegt, was ein Unternehmen leisten muss, um „compliant“ zu sein.

Wer gegen diese Richtlinien verstößt, hat mit Sanktionen bis hin zum Entzug der Erlaubnis zu rechnen, Kreditkartentransaktionen durchführen zu dürfen. Regelmäßig angesetzte externe Audits durch ein zertifiziertes Unternehmen (QSA) und vierteljährliche Scans mit Scanvendor verpflichten insbesondere die Level 1-Anbieter, große Retailer mit mehr als 6.000.000 Kreditkartentransaktionen jährlich, zu dokumentierten Sicherheitsrichtlinien und Transparenz über ihren Sicherheitsstatus.

Das Verschleiern eines großangelegten Datendiebstahles ist so nicht mehr ohne weiteres möglich. Der Kunde erfährt davon - und dann drohen Imageverlust in der Öffentlichkeit und eventuell auch Klagen auf Schadensersatz. Kein Händler kann sich das leisten, daher muss er auf IT-Security Anbieter setzen, die ihn insbesondere dabei unterstützen, die im Zeichen von Sniffing, Man-in-the-Middle-Angriffen und Identitätsdiebstahl zentrale PCI-Richtlinie IV eines sicheren Datei- und Datentransfers durch starke Verschlüsselung - einschließlich Schlüsselvergabe, -verwaltung und Authentifizierung - einzuhalten.

Seite 2: Starke Verschlüsselung ist erst der Anfang

Starke Verschlüsselung ist erst der Anfang

SSH Communications Security, Entwickler des Secure-Shell-Protokolls und weltweit führender Anbieter von Softwarelösungen für sichere End-to-End-Kommunikation in Unternehmen, hat im PCI Security Council mitgewirkt an der Erarbeitung des neuen Industriestandards. Erfahrungswerte aus der langjährigen Zusammenarbeit mit mehr als 100 unter den 500 Global-Fortune-Unternehmen belegen eindeutig, dass eine starke Verschlüsselung, wie sie SSH Tectia mit dem FIPS 140-2 zertifizierten Crypticore-Stream-Verfahren bietet, nicht weniger, aber auch nicht mehr als das Basiskriterium darstellt bei der Auswahl einer geeigneten Lösung zum Schutz sensibler Geschäftsdaten.

Von entscheidender Bedeutung sind darüber hinaus technologische und betriebswirtschaftliche Faktoren bei Implementierung und Betrieb der Verschlüsselungs- und Authentifizierungssoftware. Technologisch sind vor allem zu nennen: Plattformunabhängigkeit, Standardisierung, Automatisierung, Dokumentations- bzw. Reportingfunktionalität und Usability. Betriebswirtschaftliche Aspekte ergeben sich aus der Downtime bei der Implementierung, der Planungssicherheit bei frist- und compliance-gerechter Installation sowie aus dem Vergleich einer Inhouse-OpenSource-Lösung mit einem lizenzierten Produkt in Form einer TCO- oder ROI-Analyse.

Plattformunabhängigkeit spart Kosten und Zeit bei der Systemumstellung

Banken und Retailer verfügen nicht selten über eine heterogene IT-Landschaft, die im Verlaufe langer Jahre unübersichtlich geworden ist. Über große Zeiträume hinweg entstanden, statt am Reißbrett mit ausgefeilter Architektur geplant, finden sich hier nicht selten verschiedene IT-Plattformen nebeneinander. Selbst das vielfach totgesagte Mainframe wird vielerorts immer noch als bewährt, zuverlässig und unverzichtbar angesehen. Die Verschlüsselungslösung sollte daher plattformunabhängig sein, also sowohl mit Windows Desktop, Unix (Sun Solaris, IBM AIX, HP-UX 11i v3) oder Linux, als auch mit IBM Mainframe kompatibel und mit verwandten OpenSource-Produkten ablauffähig sein sowie built-in support für andere verbreitete Authentifizierungsverfahren enthalten.

Ziel ist die Herstellung einer vollen, plattformübergreifenden Konnektivität z.B. zwischen Mainframe-Systemen, Prozess- und In-Store-Servern. Unternehmen können so businesskritische Datentransfers sichern, ohne dazu ihre vorhandenen Netzwerkinfrastrukturen und Anwendungen personalkostenintensiv oder durch Anschaffung neuer Hardware modifizieren zu müssen.

Eine Software, die von den verschiedenen gängigen Betriebssystemen unterstützt wird, bietet unter ökonomischen Aspekten mindestens zwei wichtige Vorteile: Bestehende Hardware muss nicht erneuert, die etablierte Software-Architektur nicht in vielen Manntagen - einschließlich Testphase und Downtime - umgestellt werden. In Hinsicht auf Compliance können verbindliche Fristen ohne größere Eingriffe in die IT-Landschaft mit hoher Planungssicherheit eingehalten werden.

Seite 3: Standardisierung und Automatisierung: Lizenz- oder OpenSource-Lösung?

Standardisierung und Automatisierung: Lizenz- oder OpenSource-Lösung?

Application Outsourcing und Industrialisierung sind im Software- und IT-Bereich gegenwärtig generell ein Schlüsselthema. Und das, was z.B. im Bankensektor für standardisierte, dabei flexible und plattformunabhängige Core-Banking- oder CRM-Systeme gilt, trifft auch für Security-Lösungen zu: Standardisierung bedeutet hier, auf praxisbewährte, zügig zu implementierende Software zurückgreifen zu können, die nicht erst aufwändig konfiguriert und individuell angepasst werden muss.

OpenSource spielt in Deutschland allerdings eine wichtige Rolle. Inhouse mit eigenen Spezialisten, denen man vertraut, eine eigene Security Architektur zu entwickeln, erscheint auf den ersten Blick attraktiv, zumal keine Lizenzgebühren für die Software anfallen. Andererseits wird der CIO eines Retailers neben den reinen Anschaffungskosten in puncto effizienter Vergabe seiner Mittel auch TCO-Betrachtungen anzustellen haben: Hier fallen dann all die Kosten ins Gewicht, die durch Adaptation, Installation, Patchings, aber auch Verwaltung, Pflege und Betrieb der implementierten Lösung entstehen.

Dann muss abgewogen werden, ob die Manntage der eigenen Spezialisten auf die Dauer nicht mehr Finanzmittel verschlingen, als dies bei einer standardisierten Lösung der Fall ist, die - ohne umfangreichen Eingriff in bestehende IT-Umgebungen - mehr als 95% aller unsicheren FTP-Protokolle im Hintergrund automatisch durch verschlüsseltes SFTP austauscht.

Telnet und FTP vollständig aus der IT-Umgebung einer Firma zu verbannen, klingt einfacher, als es häufig in der Praxis ist. IT-Architekturen sind in der Regel eine „Erbschaft“ längst ausgeschiedener Programmierer und Administratoren und daher unübersichtlich. Auch M&As hinterlassen ihre Spuren, wenn die hier eigentlich fällige Homogenisierung unterbleibt: Unternehmen fusionieren, ihre IT-Strukturen nicht. Häufig genug ist dem CIO vor Ort - bei 1000en von Servern - gar nicht klar, wo überall das FTP-Protokoll geöffnet ist. Dann droht er schon an seiner Dokumentationspflicht zu scheitern, weil er kaum nachweisen kann, alle FTP-Protokolle durch verschlüsseltes SFTP ersetzt zu haben.

Will er dennoch alle FTP-Protokolle inhouse „aufspüren“ und „per Hand umschreiben“ lassen, so wird eine seriöse Zeit- und Lohnkostenplanung für ihn fast ein Ding der Unmöglichkeit. IT-Security wird daher im Retail- und Bankensektor längst nicht mehr allein daran gemessen, wie sie als Lösung funktioniert, sondern vor allem daran, wie sie als Projekt innerhalb verpflichtender Fristen zum Funktionieren gebracht und dokumentiert werden kann.

Seite 4: Dokumentationsfunktionalität und übersichtliche Administrierbarkeit

Eine lizenzierte Standardlösung bietet ein besonderes Maß an Planungssicherheit: finanziell, da die Personal- und Opportunitätskosten bei stundenbasierten Inhouse-Projekten schwerer abzuschätzen sind - und zumeist höher liegen - als die transparent zu kalkulierenden Aufwendungen für die fixen Lizenzgebühren bei standardisierten Lösungen. Und organisatorisch, insofern die IT-Abteilung sich nicht - wie häufig bei Inhouse-Projekten - vor unvorhergesehene Probleme gestellt sieht, die die Einhaltung von Compliance-Terminen prekär machen.

Ein weiteres Kriterium bei Auswahl einer Verschlüsselungssoftware sind Datendurchsatz und Übertragungsgeschwindigkeit. Sind Lösungen wie FTPS wegen ihres Ressourcenbedarfs problematisch, ermöglicht das SFTP-Protokoll aufgrund seiner Standardisierung eine Verschlüsselung von Applikationen und Dateitransfers im Hintergrund, ohne dass bestehende IT-Landschaften tiefgreifend umgestaltet und in ihrer Funktion „gestört“ werden.

Dokumentationsfunktionalität und übersichtliche Administrierbarkeit

Eine einfache Administrierbarkeit der Security-Lösung ist aus zwei Gründen unerlässlich. Zum einen ist eine zentrale, verschlüsselte Zuweisung von User-ID und Password - einschließlich Erstellen, sicherer Aufbewahrung, regelmäßiger Änderung starker Schlüssel sowie Vernichten, Ersetzen und Zurückrufen alter oder kompromittierter Schlüssel - neben dem übersichtlichen Screening des gesamten Systems auf Unregelmäßigkeiten und Angriffe ein entscheidender Faktor in der Organisations- und Arbeitsökonomie eines Unternehmens.

Zum anderen stellt ein zentralisiertes Management die geforderte Transparenz und damit die Grundlage für rechtskonforme Reportings, erfolgreich bestandene Security-Scans sowie Audits sicher. SSH Communications Security hat dazu in seine Lösung SSH Tectia 6.0 den SSH Tectia Manager integriert. Dieser speichert Daten über besondere Vorkommnisse zentral in System Logs und strukturiert sie in Audit Trails - wie Identifizierung beteiligter User, Uhrzeit, Datum, Art und Ziel eines Angriffs (betroffene Daten, Systemkomponenten oder Ressourcen) -, so dass detaillierte Auswertungen für Sicherheitsprotokolle oder im Hinblick auf Prävention und Sicherheitsoptimierung erstellt werden können. Da der Manager das gesamte System in Echtzeit überwacht und alle verdächtigen Veränderungen bei den verwalteten Clients flaggt, gewinnt das Unternehmen einen lückenlosen Überblick über den Sicherheitsstatus des gesamten Systems.

Seite 5: Fazit

Fazit

Aus Sicht von SSH Communictions Security ist der PCI-Standard - trotz seiner teilweise noch zu ungenauen Definition - ein Vorbote für die künftige Tendenz zu detaillierten, einheitlich gefassten Industriestandards, die Daten- und Verbraucherschutz verbindlich einfordern. Auf staatlicher Seite entsprechen dem zunehmend eingeführte Compliance-Anforderungen wie Basel II, SOX 404 oder EURO-SOX.

Der PCI-Standard ist für die Retailer allerdings nicht Schikane, sondern Orientierungshilfe: Angesichts von Konventionalstrafen in 2-stelliger Millionenhöhe bis hin zum Ausschluss aus dem Kreditkartengeschäft, drohenden Schadensersatzklagen, beschädigtem Kundenvertrauen und Imageeinbußen im Verlustfall vertraulicher Daten sind die externen Scans und Audits ein eher geringes „Übel“.

Daher kann es für den Handel nicht um Einsparung von, sondern um Einsparung bei IT-Security gehen. Das bedeutet, Unternehmen sollten Compliance nicht isoliert als IT-Thema betrachten, sondern betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren. Neben dem Cost-Driver schlechthin, eintretenden Exploits, sind zum Beispiel bei einer Inhouse-Lösung Kosten einzukalkulieren für die Manntage beim aufwändigen System-Screening nach unsicheren Telnet-Verbindungen und FTP-Protokollen bzw. bei der individuellen Schließung unsicherer Ports und Umstellung von FTP auf verschlüsseltes SFTP.

Auch die Anpassung der Sicherheitslösung an heterogene IT-Plattformen sowie die Downtime in der Migrations- und Testphase sind Kostenfaktoren. Gründliche Compliance-Überprüfungen, der Zeitaufwand bei Erstellung von Reportings und drohende Sanktionen bei nicht bestandenen Audits fallen finanziell ebenso ins Gewicht wie eventuell eingeschränkter Datendurchsatz und beeinträchtigte Hochverfügbarkeit des Systems nach Implementierung der Lösung.

Migration, Updates, Pflege und Verwaltung der Lösung erweisen sich als die eigentlichen Kostenfaktoren, gegenüber denen sich die Kaufsumme für die erforderlichen Lizenzen eines kommerziellen Produktes vergleichsweise gering ausnimmt, zumal dann, wenn es sich um eine Investition in ein mittelfristig weit kostengünstiger zu nutzendes Produkt handelt: Denn nicht die Anschaffung, sondern die Nutzung einer IT-Security-Lösung kostet in der Regel das meiste Geld.

(ID:2012962)