Experteninterview-Manfred-Ferstl.png

Dr. Manfred Ferstl – Ein Auditor blickt auf das erste Jahr PCI 3.0

Häufig hilft der Dialog, um Dinge besser einordnen zu können. Das gilt auch für den Bereich IT-Security. In unserer Interviewreihe befragen wir daher Experten zu verschiedenen Themen aus diesem Umfeld. Diesmal aus dem Bereich des Sicherheitsstandards in der Kreditkartenindustrie, dem Payment Card Industry Data Security Standard (PCI DSS).

Andrea Tubach: Manfred, bevor es fachlich wird muss ich ja mal fragen: Du bist privat Chorleiter einer A–capella-Gruppe und arbeitest bei uns als PCI DSS Auditor. Wie passt das denn bitteschön zusammen?

Manfred Ferstl: (lacht) Gute Frage. Ich würde mal sagen, beides hat gleichermaßen etwas mit Disziplin und Genauigkeit, aber auch mit Kreativität und Empathie zu tun.

AT: Dass es da Gemeinsamkeiten geben könnte, hätte ich nicht gedacht. Gut, dann kommen wir jetzt zum eigentlichen Thema. Seit Januar dieses Jahres dürfen PCI DSS Audits nur noch in der aktuellen Version 3.0 durchgeführt werden. Verfügbar ist die neue Version ja aber schon seit einem Jahr. Was waren Deine Erfahrungen im vergangenen Jahr damit?

MF: Grundsätzlich kann ich sagen, dass viele Unternehmen die gegebene Übergangsfrist des letzten Jahres gerne genutzt haben, so dass ein Großteil der Audits noch auf der Version 2.0 durchgeführt wurde.

AT.: Tatsächlich? Wie erklärst Du Dir das?

MF: Nun, die Änderungen in der Version 3.0 sind zwar nicht unbedingt gravierend, aber unsere Kunden wissen aus Erfahrung, dass jedes Audit einer guten Vorbereitung bedarf. Und so war es häufig der Plan, sich in 2014 bestmöglich auf das diesjährige Audit nach dem neuen Standard vorzubereiten. Außerdem schauen Unternehmen auch immer gerne, welche Erfahrungen andere vor ihnen machen.

AT: Wie bewertest Du denn das Ausnutzen der Übergangsfristen?

MF: Sollte die Übergangsfrist tatsächlich zur intensiven Vorbereitung genutzt werden, ist sie durchaus sinnvoll. Wir raten dazu, dies auch wirklich ernst zu nehmen und unterstützen unsere Kunden unterjährig dabei. Ab Juli 2015 werden zudem die bisher nur als „Best Practice“ gekennzeichneten Anforderungen ebenfalls bindend. Da lohnt es sich, gut vorbereitet zu sein.

AT: Wurden überhaupt Audits in der Version 3.0 in 2014 durchgeführt?

MF: Ja sicher, die „Early Adopters“ hatten wir auch dabei. Vor allem dort, wo kleinere Umgebungen vorzufinden waren, Neuerungen also überschaubar gewesen sind, wurde direkt nach PCI DSS 3.0 geprüft. Auch Neukunden, die eine Erst-Zertifizierung hatten oder von einem anderen QSA (sogenannten Qualified Security Assessor) zu uns gewechselt sind, haben sich in der Regel für ein Audit nach PCI DSS 3.0 entschieden.

AT: Kannst Du ein Beispiel für eine neu hinzugekommene Anforderungen nennen?

MF: Zum Beispiel die Anforderung (Requirement) 12.8.5. Mit der wird nun gefordert zu dokumentieren, welche der PCI DSS Anforderungen von einem Dienstleister – also von einem Dritten – verantwortet werden.

AT: Das sollte ja kein großes Problem darstellen.

MF: Das klingt zunächst banal, ist aber je nach Unternehmensgröße und Komplexität wirklich aufwendig. Es bedarf also frühzeitiger Abstimmung mit den Dienstleistern, um dieses Requirement zu erfüllen. Trotzdem ist es aus unserer Sicht eine sinnvolle neue Anforderung, da sie eine genauere Abgrenzung der Verantwortlichkeiten ermöglicht. So können eventuelle Lücken in der Verantwortung schneller identifiziert und behoben werden und vor allem wird die Definition des Audit Umfangs (Scope) deutlich einfacher.

AT: Auch bei den Anforderungen an Pentests scheint sich etwas geändert zu haben.

MF: Ja, das ist richtig. Im Requirement 11.3 wird nun beispielsweise gefordert, dass bei den Pentests auch die Netzwerksegmentierung überprüft wird. Eine durchaus anspruchsvolle Aufgabe für einige Unternehmen. Unser Pentest-Team arbeitet hier aber gemeinsam mit uns bereits an Anleitungen, die unseren Kunden dabei helfen werden.

AT: Wie sah es im letzten Jahr denn bei den Unternehmen aus, die keine Audits durchführen müssen, sondern ihre Compliance mit Hilfe der sogenannten Self Assessment Questionnaires (SAQs) nachweisen mussten?

MF: Dieses Szenario trifft auf einen großen Teil der Händler zu. Und tatsächlich war es auch hier so, dass fast ausschließlich PCI DSS 2.0 zum Nachweis gewählt wurde. Nicht zuletzt, weil die Anzahl der auszuwählenden SAQs mit 3.0 noch mal größer geworden ist. Bereits die Auswahl des passenden Fragebogens ist ohne Beratung in vielen Fällen schwierig. Unser PCI Competence Center berät derzeit tausende Unternehmen bei diesem Schritt.

AT: Ich merke schon, das sind alles komplexe Themen. Wo kann ich mir als Unternehmen dazu Unterstützung suchen?

MF: Auf den Internet-Seiten des PCI Security Standards Councils sind alle relevanten Änderungen nachzulesen, aber auch im Rahmen der PCI Best Practice Workshops, die wir in regelmäßigen Abständen über unsere usd Akademie anbieten, wird hierzu immer wieder im Detail informiert. Dort gibt es außerdem die Möglichkeit, sich mit anderen Unternehmen auszutauschen.

AT: Oder man wählt den einfachsten Weg und ruft einfach bei uns in der usd an?

MF: (Lächelt) Genau. Wir helfen gerne weiter.

Related Posts