Der PCI DSS als Basis für die ISO Umsetzung

Transkript

1 Der PCI DSS als Basis für die ISO Umsetzung Matthias Hauß Warum der PCI DSS als Grundlage für weitere Sicherheitsbestrebungen dienen kann Der Druck zur Einhaltung von Compliance-Vorgaben, sei es die schlichte Erfüllung von externen Anforderungskatalogen unterschiedlichen Umfangs und Abstraktionsniveaus oder der Nachweis mittels einer vollumfänglichen Zertifizierung nach gängigen Standards, nimmt auch im Umfeld der IT-Sicherheit immer weiter zu. Gerade reine Informationsverarbeiter können je nach Branche einer Vielzahl an unterschiedlichen Kriterienkatalogen unterliegen. Genau wie Strenge und Detailtiefe der jeweiligen Vorgaben variieren können, kann dabei auch der Druck zur Einhaltung der Vorgaben aus unterschiedlichen Richtungen kommen: sei es durch gesetzlichen Vorgaben (wie bspw. das Bundesdatenschutzgesetz, BDSG), durch Branchenregularien (wie z. B. den Payment Card Industry Data Security Standard, PCI DSS) oder schlicht durch die Macht des Marktes, der verstärkt nachweisbare Zertifizierungen (bspw. nach ISO 27001) verlangt. All diesen Standards ist gemein, dass sie trotz teilweise unterschiedlichem Fokus und verschiedener Vorgehensweise im Grunde dieselben Ziele verfolgen: einen angemessenen Schutz von Informationswerten und, um dies zu erreichen, eine angemessene Sicherheitsarchitektur für Informationssysteme und -prozesse. Während der internationale Zertifizierungsstandard ISO einen solchen angemessenen Schutz für sämtliche Informationswerte einer Organisation zu etablieren strebt, konzentriert sich das BDSG auf eine eingeschränkte Gruppe von Informationswerten, die personenbezogenen Daten. Der PCI 265

2 Matthias Hauß DSS ist noch konkreter: mit dem Fokus auf die Daten von Bezahlkarten der internationalen Zahlungssysteme ist er ausschließlich dem Schutz einer spezifischen Ausprägung personenbezogener Daten verschrieben. Damit ist der PCI DSS nicht nur der Standard mit dem engsten Fokus; auch seine Anforderungen sind deutlich konkreter gehalten als die Vorgaben von BDSG und ISO Durch seine überaus konkrete Natur eignet sich der PCI DSS aber als gute Grundlage für weitere Sicherheitsbestrebungen, die auch eine Erfüllung anderer Anforderungskataloge zum Ziel haben. Hinzu kommt, dass der PCI DSS wegen des starken Forcierens durch die internationalen Zahlungssysteme bereits heute von vielen kartendatenverarbeitenden Organisationen erfüllt wird oder zumindest Projekte zu dessen Umsetzung bestehen. Dabei entsteht innerhalb des PCI DSS-Geltungsbereichs automatisch ein erhöhtes Maß an IT- Sicherheit, wodurch sich auch die Konformität zu datenschutzrechtlichen Regelungen und weitergehenden Zertifizierungsstandards wie ISO unweigerlich erhöht. Die erzwungene Umsetzung des PCI DSS verkürzt damit auch den Weg zur Erlangung weiterer Konformitätsnachweise. Die hierdurch entstehenden Synergieeffekte dürfen durchaus als zusätzlicher Kollateralnutzen des PCI DSS verstanden werden; die Umsetzung des Standards ist also mitnichten eine pure Notwendigkeit zur Erlangung eines Zertifikats. Vielmehr kann sie eine gute Grundlage für eine Ausweitung der Sicherheitsbemühungen auf weitere Informationswerte der Organisation darstellen. Für ein ganzheitliches Sicherheitsmanagement, das sämtliche Informationswerte einer Organisation gleichermaßen erfasst und damit spezifischere Vorgabenkataloge in einem übergeordneten Managementrahmen vereint, bietet sich insbesondere der zuletzt im Jahre 2005 aktualisierte Zertifizierungsstandard ISO an. Eine bereits bestehende PCI DSS-Umsetzung oder -Zertifizierung kann dabei die Basis der Bemühungen darstellen: viele als Best Practice geltende Sicherheitsmaßnahmen sind zumindest im Geltungsbereich des PCI DSS bereits erfüllt. Hinzu kommt, dass durch die Beschäftigung mit dem PCI DSS in der Regel bereits umfassendes Know-how in der IT-Sicherheit, aber auch im Umgang mit externen Anforderungskatalogen und Zertifi- 266

3 Der PCI DSS als Basis für die ISO Umsetzung zierungs- bzw. Auditprozessen gesammelt wird. Eine Beschäftigung mit dem ISO mutet deshalb bisweilen als logischer nächster Schritt nach der erfolgreichen Einführung des PCI DSS an. Um den PCI DSS als Grundlage zur Umsetzung des ISO nutzen zu können, muss man sich jedoch vergegenwärtigen, dass die Standards bei allen Überschneidungen in den konkreten Anforderungen fundamentale Unterschiede in der Vorgehensweise aufweisen. Die Berücksichtigung dieser Unterschiede und das Auflösen der sich daraus ergebenden Divergenzen im Betrachtungshorizont sind der wesentliche Erfolgsfaktor für ein erfolgreiches Nutzen des PCI DSS als Basis für eine ISO Umsetzung. ISO vs. PCI DSS: Unterschiede in der Herangehensweise Wer Recherchen zu den Überschneidungen zwischen PCI DSS und ISO anstellt, stößt schnell auf umfangreiche Tabellen, die den Anforderungen des PCI DSS die Kontrollziele des normativen Anhangs der ISO gegenüberstellen. Durch diese Darstellungsform gerät jedoch leicht in den Hintergrund, dass es beim ISO (anders als beim PCI DSS) nicht um das reine Erfüllen einer umfangreichen Liste von Einzelmaßnahmen geht; Ziel des ISO ist vielmehr das Etablieren eines übergeordneten Managementrahmens, der die risikobasierte Auswahl angemessener Maßnahmen zur Erfüllung der im Anhang enthaltenen Kontrollziele erst ermöglichen soll. Dabei sind verschiedene Rahmenbedingungen zu berücksichtigen, unter anderem die verschiedenen Ausprägungen der zu schützenden Informationswerte, die relevanten Schutzziele (insb. Vertraulichkeit, Verfügbarkeit und Integrität, ggf. aber auch Aspekte wie Nicht-Abstreitbarkeit, Zurechenbarkeit, Authentizität, etc.) und nicht zuletzt die Risiken, die auf die Informationswerte einwirken und damit die Erfüllung der Schutzziele bedrohen können. Um all diese Aspekte miteinander in Einklang zu bringen und auf nachvollziehbare, wiederholbare Art und Weise angemessene Maßnahmen aus den gegebenen Rahmenbedingungen ableiten zu können, setzt der ISO auf die Implementierung eines umfassenden Managementsystems, welches Herz- 267

4 Matthias Hauß stück und damit primärer Zertifizierungsgegenstand einer jeden ISO Umsetzung ist. Anders als der maßnahmengetriebene PCI DSS ist der ISO also ein prozessorientierter Standard, der über einen Top-Down- Ansatz erst die Identifizierung geeigneter Maßnahmen und damit das Erreichen eines angemessenen Schutzniveaus zum Ziel hat. Hierzu ist eine Reihe aufeinanderfolgender Schritte durchzuführen, zu denen insbesondere das Identifizieren sämtlicher relevanter Informationswerte (im Wortlaut des Standards die sogenannten Assets ), die Definition des angestrebten Schutzlevels hinsichtlich der relevanten Schutzziele, das Durchführen von Risikoanalysen und das Ableiten konkreter Schutzmaßnahmen zum Reduzieren der identifizierten Risiken zählt. Diese inhärente Komplexität des ISO 27001, die sich aus der Notwendigkeit zum Schutz aller relevanten Informationswerte einer Organisation ergibt, besitzt der PCI DSS durch seinen engeren Fokus nicht. Er ist durch Regularien der internationalen Zahlungssysteme (Visa, MasterCard, American Express, JCB und Discover) ausschließlich verpflichtend für alle Organisationen, die Kartendaten dieser Zahlungssysteme verarbeiten, speichern oder übertragen. Folglich stellt er auch nur den Schutz dieser Kartendaten in den Vordergrund; andere Informationswerte (wie gemäß BDSG schützenswerte personenbezogene Daten oder proprietäre Unternehmensdaten, etwa Forschungs- und Entwicklungs-Ergebnisse) werden durch den PCI DSS nicht adressiert. Auch fokussiert der PCI DSS vorrangig das Schutzziel der Vertraulichkeit von Kartendaten, weitere Schutzziele wie Integrität und Verfügbarkeit sind nur dann berücksichtigt, wenn sie zur Vertraulichkeitswahrung der Kartendaten beitragen. So müssen anfallende Logfiles zum Nachvollziehen eventuell unautorisierter Aktivitäten ebenso integer sein wie Anti-Malware-Patterns, während Schutzmechanismen wie Firewalls, IDS/IPS oder Antivirus-Programme selbstverständlich eine hohe Verfügbarkeit erreichen müssen. Anforderungen an die Integrität gespeicherter Kartendaten oder deren Verfügbarkeit stellt der PCI DSS hingegen nicht (auch wenn diesen Schutzzielen zur reibungslosen Abwicklung von Geschäftsprozessen durchaus hohe Bedeutung zukommen kann). 268

5 Der PCI DSS als Basis für die ISO Umsetzung Der PCI DSS kann damit in gewissem Sinne als konkrete Ableitung des ISO aufgefasst werden: während der ISO den Schutz verschiedenster Informationswerte hinsichtlich mehrerer Schutzziele verlangt, beschränkt sich der PCI DSS auf einen einzigen Informationswert (nämlich Kartendaten) und ein einziges Schutzziel (Vertraulichkeit). Auch die im ISO elementaren Prozessschritte zur Ableitung angemessener Maßnahmen sind im PCI DSS nicht zwingend vorgeschrieben; die als angemessen eingeschätzten Maßnahmen werden durch den PCI DSS bereits zwingend vorgegeben. Die Phasen der Asset-Identifizierung, Schutzbedarfsfeststellung, Risiko-Analyse und Ableitung von Maßnahmen fallen damit weg; sie wurden bereits bei der Entwicklung des Standards durch die internationalen Zahlungssysteme durchgeführt und werden nun mit jeder Revision der Anforderungen durch das Payment Card Industry Security Standards Council (PCI SSC) vorgenommen. Dieser Zusammenhang wird in Abbildung 1 verdeutlicht. Abbildung 1: Der PCI DSS als Ableitung des ISO Quelle: SRC. 269

6 Matthias Hauß PCI DSS als Basis für eine Umsetzung des ISO Vergegenwärtigt man sich diese Zusammenhänge zwischen den beiden Standards, wird offensichtlich, warum sich die überwiegende Mehrheit der Maßnahmen aus dem PCI DSS direkt den Kontrollzielen aus dem normativen Anhang des ISO zuordnen lassen: letztlich stellt der PCI DSS nichts anderes dar, als das konkrete Ergebnis eines konsequenten Durchlaufens der im ISO etablierten Top-Down-Vorgehensweise für ein spezifisches Asset unter Berücksichtigung eines primären Schutzziels. Es ist deshalb davon auszugehen, dass das Durchlaufen derselben Phasen für ähnlich geartete Informationswerte (bspw. andere Formen von Zahlungsverkehrsdaten) unter denselben Rahmenbedingungen zu ähnlichen Ergebnissen führen würde. Daher bietet es sich an, die Maßnahmen des PCI DSS als Best Practice- Katalog auch zum Schutz der Vertraulichkeit weiterer Informationswerte heranzuziehen. Hierbei ist aber zu berücksichtigen, dass Schutzziele wie Integrität und Verfügbarkeit durch den PCI DSS noch nicht berücksichtigt sind und ggf. einer zusätzlichen Analyse bedürfen. Da die Verfügbarkeit und Integrität von Kartendaten für verschiedene Geschäftsprozesse, insb. zur Abwicklung von Zahlungen, essentiell sein können, sollte diese Risikoanalyse auch die Verfügbarkeits- und Integritätsanforderungen von Kartendaten berücksich tigen. Dabei ist allerdings auch zu berücksichtigen, dass der PCI DSS Maßnahmen zum Vertraulichkeitsschutz beinhaltet, die sich positiv auf die Integrität und Verfügbarkeit von IT-Systemen und dort verarbeiteten Daten auswirken können. Als Beispiele seien Patch-Management oder Serverhärtung genannt, die auch zu einer höheren Betriebssicherheit beitragen und damit das Ausfallrisiko reduzieren können. Es lässt sich also festhalten, dass der PCI DSS innerhalb seines Geltungsbereichs nicht nur eine hohe Ausstrahlwirkung hinsichtlich des Vertraulichkeitsschutzes auf andere dort verarbeitete Daten besitzt, sondern auch auf den Schutz von Verfügbarkeit und Integrität dieser Daten wenn auch in geringerem Maße. Dies ist leicht nachvollziehbar: eine Datenbank mit stringentem User- und Passwort-Management gemäß den strengen Anforderungen des PCI DSS schützt nicht nur die dort verarbeiteten 270

7 Der PCI DSS als Basis für die ISO Umsetzung Kartendaten. Auch von Patch-Management, Serverhärtung und Change Management profitieren nicht nur die PCI DSS-relevanten Kartendaten selber, sondern sämtliche auf den betreffenden Systemen verarbeiteten Daten. In der Regel ist der PCI DSS aber nicht in sämtlichen Bereichen einer Organisation umzusetzen: durch eine angemessene Netzwerksegmentierung lassen sich die Kartendaten verarbeitenden Systeme von den übrigen Systemen trennen, so dass dort keine Umsetzung des PCI DSS erforderlich ist. Hier bringt die Umsetzung des PCI DSS also nicht automatisch einen Kollateralnutzen für übrige Daten mit sich. Allerdings lassen sich die im PCI DSS- Scope umgesetzten Maßnahmen gut auf andere Systeme übertragen. Hier bietet sich noch ein zusätzlicher Vorteil: außerhalb des formalen PCI DSS- Geltungsbereichs entfällt die Pflicht zur strikten 1:1-Umsetzung des Standards. Der PCI DSS kann hier also als reine Sammlung von Best Practices aufgefasst werden, deren Maßnahmen man nach Bedarf auswählen und an die eigenen Bedürfnisse anpassen kann. Damit lässt sich eine schnelle Erhöhung des Sicherheits- und damit auch Konformitätsniveaus ohne die Notwendigkeit zur Durchführung ausführlicher Risikoanalysen erreichen. Der PCI DSS als Grundlage eines Bottom-Up-Ansatzes Auf diese Weise lässt sich natürlich keine vollständige Umsetzung des ISO erreichen, auch ein im Sinne des Standards vollständig angemessener Schutzlevel für sämtliche Informationswerte lässt sich so kaum erreichen. Dafür weichen die Schutzbedarfe verschiedener Informationswerte zu stark vom Schutzbedarf der durch den PCI DSS geschützten Kartendaten ab; man denke zum Beispiel an die Vertraulichkeit von Gesundheitsdaten, die Integrität von Forschungsergebnissen oder die Verfügbarkeit von lebenserhaltenden Systemen. Es ist aber zu erwarten, dass dem Pareto-Prinzip (der so genannten 80/20-Regel ) zumindest nahe gekommen werden kann. Es lässt sich also durch die Umsetzung von im PCI DSS beschriebenen Maßnahmen ein hohes Maß an Sicherheit und Konformität auf technischer Ebene erreichen, ohne den Aufwand von Schutzbedarfsund Risikoanalysen in Kauf nehmen zu müssen. Nur wenn eine vollständige Konformität, ggf. mit abschließender Zertifizierung, angestrebt wird, muss auch 271

8 Matthias Hauß der vollständige Managementrahmen der ISO etabliert und der Prozess zur Ableitung angemessener Maßnahmen vollständig durchlaufen werden. Der Top-Down-Ansatz der ISO kann dadurch zumindest teilweise durch einen Bottom-Up-Ansatz auf Basis des PCI DSS ersetzt werden. Hierbei werden auf Basis der bereits umgesetzten Maßnahmen des PCI DSS die Schutzbedarfe aller zusätzlichen Assets sowie die diese bedrohenden Risiken berücksichtigt, um ganzheitliche Sicherheitskonzepte für sämtliche Informationswerte zu berücksichtigen. Da auch personenbezogene Daten als Informationswerte zu gelten haben und der ISO überdies durch Kontrollziel A ohnehin eine Konformität zu relevanten datenschutzrechtlichen Regelungen fordert, ist dabei auch eine Integration des Datenschutzes einfach möglich, wenn nicht gar erforderlich. Erstellt man also den Prozessrahmen zur Schaffung des übergreifenden Managementsystems, sollten neben den Prozess-Anforderungen des ISO also auch die Prozess-Anforderungen des BDSG berücksichtigt werden. Indem die Schaffung des Prozessrahmens an das Ende des Umsetzungsprozesses verlagert wird, kann so eine schnelle Erhöhung des Sicherheitsniveaus und damit eine frühere Verminderung von Risiken erreicht werden. 272