PCI ist kein Allheilmittel für die IT-Sicherheit
Viele Unternehmen sind darum bemüht, ihren Aufwand für Compliance in Grenzen zu halten, müssen aber andererseits ein Höchstmaß an Sicherheit für ihre sensiblen Informationen gewährleisten. Dieses Dilemma veranlasst viele Organisationen dazu, ihre gegenwärtigen Sicherheitsinitiativen (d.h. PCI) genauer unter die Lupe zu nehmen.
Eine interessante Ergänzung von Version 1.2 ist der Abschnitt 5.1, der ausführt: “Auf allen Systemen, die gemeinhin von Schadsoftware angegriffen werden, [ist] Antivirus-Software zu installieren (insbesondere auf Personalcomputern und Servern).” Dieser Abschnitt wurde geändert, um “alle Systeme” mit einzuschließen. Damit sind auch UNIX-, Mainframe- und andere Rechner einbezogen, die traditionell weder Virusattacken ausgesetzt noch mit handelsüblicher Antivirus-Software ausgestattet sind. Der PCI SSC hat im Hinblick auf diese Vorgabe eine informelle Erläuterung herausgegeben, nach der diese bezweckt, Organisationen zur Implementierung von Reaktionsplänen für Sicherheitsereignisse zu veranlassen, falls eines Tages ein Virus geschaffen “würde”, der auch diese Systeme angreift. Abgesehen von dieser Erläuterung hat der PCI SSC bis heute keine weiteren Details bekannt gegeben, wie diesem Abschnitt Rechnung zu tragen ist.
Mit der Version 1.2 hat der PCI SSC nicht nur einige wichtige Klarstellungen getroffen, sondern auch die Technologie Wired Equivalent Privacy (WEP) mit einem Verbot belegt. Die Verwendung der WEP-Verschlüsselung in PCI-Netzwerken wurde aus dem PCI DSS verbannt, weil bekannt ist, dass WEP angreifbar ist. WEP ist zwar eine ältere Technologie, doch sie wird von einigen großen Organisationen noch immer eingesetzt. Unter Version 1.2 muss also auf andere Technologien umgestiegen werden, bevor eine Compliance erreicht werden kann. Organisationen, die WEP-Netzwerke betreiben, haben noch bis 30. Juni 2010 Zeit, um robustere Verschlüsselungsmechanismen zu installieren.
Auch wenn all diese Änderungen des PCI DSS eher unbedeutend erscheinen, so ist doch eine neue Politik erkennbar. Der PCI SSC hat endlich erkannt, dass das Anforderungsprofil vorhergehender Versionen des PCI DSS auf viele der Installationen in komplexen Organisationen nicht anwendbar ist. Die Komplexität der Konfiguration, das verfügbare Personal, Budget-Beschränkungen und geschäftliche Erwägungen haben einen großen Einfluss auf die Fähigkeit einer Organisation, ihre Sicherheitstechnologien zu verändern und zu erweitern. Zudem schreibt jede neue Version von PCI DSS Änderungen vor, denen die Organisationen Rechnung tragen müssen, was neue Budgets, anders eingesetztes Personal und modifizierte oder neu konfigurierte Technologien nach sich zieht. Jede dieser Änderungen erfordert Zeit und verursacht Aufwand. Um die Einwirkungen auf die Organisationseffizienz möglichst gering zu halten – und auch wegen der gegenwärtigen wirtschaftlichen Bedingungen – enthält PCI DSS ab Version 1.2 offiziell einen regelmäßigen Überprüfungs- und Änderungsprozess, dessen Lebenszyklus anfangs auf 24 Monate angesetzt ist. Organisationen, die Version 1.1 implementiert haben, stehen drei Monate für die Aktualisierung auf Version 1.2 zur Verfügung.
Randall Gamby ist Analyst bei der Burton Group. Seine Fachthemen sind unter anderem PCI, Secure Messaging und Compliance. Die Analysten der Burton Group schreiben in Deutschland exklusiv für silicon.de.