PCI DSS-Compliance ist nicht gleichbedeutend mit Sicherheit
Synopsys
Zunächst einmal ist es durchaus begrüßenswert, dass die Zahlungskartenindustrie für sich selbst nach einem Regulierungsinstrument gesucht und sich dieses Instrument mit dem Payment Card Industry Data Security Standard (PCI DSS) auch geschaffen hat. PCI DSS sorgt mittels technischer und organisatorischer Mittel dafür, dass jeder, der das System nutzt, geschützt ist. Soweit der Plan. Allerdings beobachten wir gerade in jüngster Zeit einen Abwärtstrend, und immer mehr Unternehmen scheitern an Interimsprüfungen nach PCI DSS. Laut dem im November letzten Jahres veröffentlichten Verizon 2019 Payment Security Report ist der Prozentsatz der Unternehmen, die die so genannten “Interim-Sicherheitsprüfungen” nach PCI DSS (Website) bestanden haben, von 2016 bis 2018 um fast ein Drittel gesunken, von 55 % auf 37 %.
von Andrew Kilbourne, Managing Director bei Synopsys
Ein derartig starker Rückgang ist mehr als nur ein beunruhigender Trend. Selbst auf dem höchsten Stand im Jahr 2016 war kaum mehr als die Hälfte der Unternehmen, die Kreditkartendaten verarbeiten, bei diesen Zwischenprüfungen konform. Nun sieht es so aus, als würde selbst dieses mittelmäßige Ergebnis zu wanken beginnen. Es deutet viel darauf hin, dass trotz aller mahnenden Worte und Warnungen von Experten, Sicherheit hier erst im Nachgang betrachtet wird. Und sie nicht die Priorität genießt, die sie in einer stark vernetzten Welt haben sollte. Bleibt zudem noch die Tatsache, dass selbst die Unternehmen, die ein Audit erfolgreich abgeschlossen haben, noch Opfer von Hackerangriffen werden.Betrachtet man speziell die Finanzdienstleistungsbranche (FSI) so kann laut „2019 State of Software Security in the Financial Services Industry“ Report (eine unabhängige, von Synopsys in Auftrag gegebene und vom Ponemon Institute durchgeführte Studie) die Mehrheit der FSI-Unternehmen Cyber-Attacken nicht wirksam verhindern.
Mehr als die Hälfte der Befragten, von denen die Daten in diesem Bericht stammen, koinzidierten Systemfehler, Ausfallzeiten (56 %) oder den Diebstahl sensibler Kundendaten (51 %) aufgrund unsicherer Software oder anderer Technologien. “
Andrew Kilbourne ist Managing Director innerhalb der Synopsys Software Integrity Group. Er blickt auf mittlerweile über 35 Jahre Erfahrung bei der Vermarktung von profitablen und innovativen Lösungen zurück. Dabei hat Kilbourne sich unter anderem auf die Entwicklung von Software-Security-Programmen für Banken- und Finanzdienstleiter, Telekommunikationsunternehmen und für Organisationen im Gesundheitswesen spezialisiert.Die Mehrheit der FSI-Unternehmen führt eine Bewertung der Sicherheitsschwachstellen erst durch, wenn die Software bereits veröffentlicht wurde.”
Laut dem bereits zitierten Bericht zum Stand der Softwaresicherheit testen überhaupt nur 34 Prozent der befragten Unternehmen ihre Software auf Schwachstellen. 52 % der Befragten geben an, dass die Schwachstellenbewertung in die Phase nach der Veröffentlichung (32 %) oder in die Zeit nach der Produktionsfreigabe (20 %) fällt. Ein Trend, der angesichts der sich rasch weiterentwickelnden Technologien einerseits und der wachsenden Zahl von Bedrohungen andererseits nicht unbedingt optimistisch stimmt.
Demgegenüber steht weniger als die Hälfte der Befragten (48 %), bei denen die Schwachstellenbewertung schon während der Entwurfsphase einer Software (lediglich 11 %) oder beim Entwickeln und Testen der Software (37 %) stattfindet. Nur 25 % der Befragten sind zuversichtlich, Sicherheitslücken in einer Finanzsoftware oder einem Finanzsystem zu erkennen, bevor diese auf den Markt kommen.
Interimsprüfungen werden normalerweise einmal im Jahr von qualifizierten Sicherheitsgutachtern (QSAs) oder internen Sicherheitsgutachtern (ISAs) durchgeführt. Die zur Sicherstellung der PCI-Compliance eingesetzten Gutachter führen häufig auch die Sicherheitsprüfungen durch.
Es ist nicht besonders realistisch zu erwarten, dass PCI-Gutachter auch einen Nachbesserungsplan entwickeln.”
Dieser Interessenkonflikt ist problematisch, und er wurde von der Branche bisher noch nicht behoben. Einmal pro Jahr durchgeführte formelle Prüfungen zur Einhaltung der Vorschriften beweisen weder, dass ein Unternehmen sicher ist, noch liefern diese Prüfungen einen tiefergehenden Einblick in die Sicherheitsstrategie des Unternehmens. Die Prüfungen sind zeitlich begrenzt, konzentrieren sich auf das Scannen und laufen auf einer übergreifenden Ebene ab. Das Augenmerk richtet sich also nicht auf die Architektur oder das Sicherheitsprogramm, in deren Rahmen eine Software entwickelt wird.
Viele Branchengrößen haben ihre Betrachtungsweise dahingehend geändert. Einige der weltweit führenden Finanzdienstleistungsunternehmen haben sich inzwischen entschieden, ein spezielles Software-Sicherheitsprogramm zu implementieren. Ein Grund, warum sich die Namen dieser Unternehmen nicht in den Schlagzeilen wiederfinden, wenn es um neuerliche massive Datenschutzverletzungen innerhalb der Branche geht. Das ist eine deutliche Botschaft, und spricht dafür solche Programme einzuziehen.
Was lernen wir aus diesen Befunden? Die PCI DSS-Compliance ist wichtig; aber die Umsetzung einer proaktiven, kontinuierlichen, ganzheitlichen Software-Sicherheitsstrategie – die Sicherheitsmaßnahmen während des gesamten Software-Entwicklungszyklus vorsieht – sollten wegweisend sein.”
Mehr Unternehmen aus allen Branchen sollten eine Sicherheitskultur pflegen und gewährleisten, dass die bei den PCI-Bewertungen festgestellten Probleme behoben werden. Sicherheit ist keine einmal jährlich stattfindende Übung, und kein Unternehmen auf diesem Planeten kann sich als 100 % sicher bezeichnen. Sicherheit erfordert unbedingt eine fortlaufende, konsistente programmatische Strategie. Das betrifft alle Unternehmen und Branchen.Andrew Kilbourne, Synopsys
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/102922
Schreiben Sie einen Kommentar