PCI DSS 4.0 und ISO 27001 – ein dynamisches Duo

Das gegenwärtige Jahr 2022 hält beim Thema Information Governance einiges an Aufregern bereit. Das vor allem für diejenigen unter uns, die sich mit Compliance und Compliance-Rahmenwerken beschäftigen.

So haben wir das Jahr in freudiger Erwartung der neuen Version des internationalen Standards für Informationssicherheitsmanagementsysteme, ISO 27001:2022, begonnen, worauf zügig Version 4.0 des PCI DSS-Standards folgen sollte. Obwohl wir immer noch auf die Veröffentlichung von 27001 warten, verspricht die Veröffentlichung des Leitfadens (ISO27002:2022), dass die Controls (Sicherheitsmaßnahmen) (“Anhang A”) stark verbessert und aktualisiert wurden.

Es lohnt sich aber durchaus einen Blick auf das zu werfen, was unverändert geblieben und grundlegend von Bedeutung ist  – bevor man sich den zu erwartenden Verbesserungen zuwendet. PCI DSS ist ein Standard, der die Grundlage für den Schutz von Zahlungskartendaten bildet, während ISO 27001 ein Informationsmanagementsystem ist, das einen Rahmen für den Schutz von Daten festschreibt. Beide Standards konzentrieren sich sowohl auf technische wie organisatorische Maßnahmen. Die ISO 27001 tut das eher risikobasiert, PCI DSS regelbasiert. Ein nicht zu unterschätzender Aspekt, der dennoch von Firmen und Berater gern übersehen wird. 

Wenn man PCI DSS und ISO 27001 vergleicht, dann vergleicht man eine Reihe von grundlegenden Regeln mit einer Reihe risikobasierter Maßnahmen. PCI DSS liefert Ihnen eindeutige Vorgaben zu dem, was erwartet wird. Bei ISO 27001 ist das anders. Sie erwartetvielmehr von Ihnen, dass Sie selbst bestimmen wie genau die Umsetzung aussehen soll. Diesen Unterschied sollte man verstanden haben, bevor man sich die aktualisierten Versionen dieser Standards vornimmt und insbesondere untersucht, wie sie sich gegenseitig ergänzen.

Was wir wissen – ISO27001

ISO 27001:2022 sollte im 4. Quartal 2021 veröffentlicht werden. Der Leitfaden zur Implementierung des Standards, ISO 27002:2022, wurde im Februar 2022 veröffentlicht. Wir wissen also vorab, was die neuen Sicherheitsmaßnahmen (Controls) (oft als “Anhang A” bezeichnet) beinhalten. Unternehmen haben in etwa 18 bis 24 Monate Zeit, um auf den neuen Standard umzustellen, und es gibt eine ganze Reihe von Änderungen zu berücksichtigen. Beispielsweise wurden die 114 Maßnahmen in Anhang A im aktuellen Standard jetzt auf 93 reduziert, und die Struktur änderte sich von bislang 14 Klauseln auf lediglich 4. 58 der Maßnahmen wurden aktualisiert, 24 zusammengefasst und insgesamt 11 neue sind hinzugekommen.

Was wir wissen – PCI DSS V4.0

Am 31. März 2022 hat das PCI Security Standards Council (PCI SSC) die neue Version des Standards veröffentlicht, die von bisher 139 Seiten auf stolze 360 Seiten angeschwollen ist. In den umfangreichen Texten finden sich Erläuterungen, Definitionen, Flussdiagramme und Beispiele für die Auslegung und Umsetzung des Standards. Dies lässt sich durchaus als Hinweis werten, dass der PCI SSC verstanden hat, dass die früheren Versionen des Standards zu unklar formuliert waren. Was in der Praxis zu einigen Fehlinterpretationen geführt hat. Wie bei der ISO 27001 haben Organisationen 24 Monate Zeit, um auf den neuen Standard umzustellen. Und ebenso wie bei der ISO 27001 sind die Änderungen in der aktualisierten Fassung eher evolutionärer denn revolutionärer Natur. Zum Beispiel wurde von den sechs Klauseln (oder Gruppen) des PCI DSS nur ein Wort geändert

PCI-DSS v3.2.1 –

1. Erstellen und Warten sicherer Netzwerke und Systeme
2. Schutz der Daten von Karteninhabern
3. Einführen eines Vulnerability Management-Programms
4. Implementierung starker Maßnahmen zur Zugriffskontrolle
5. Regelmäßige Überwachung und regelmäßiges Testen der Netzwerke
6. Befolgen einer Informationssicherheitsrichtlinie

PCI-DSS V4.0 –

1. Erstellen und Warten sicherer Netzwerke und Systeme
2. Schutz von Kontodaten
3. Einführen eines Vulnerability Management-Programms
4. Implementierung starker Maßnahmen zur Zugriffskontrolle
5. Regelmäßige Überwachung und regelmäßiges Testen der Netzwerke
6. Befolgen einer Informationssicherheitsrichtlinie

Dies mag wie eine lediglich minimale Änderung wirken. Allerdings wurden Verweise auf Karteninhaberdaten wo immer möglich durch den Begriff Kontodaten ersetzt. Die Begriffe wurden tatsächlich auch früher schon verwendet. Aber jetzt legt der gesamte Standard den Schwerpunkt durchgängig auf Kontodaten. Möglicherweise erkennt der Standard damit explizit an, dass Menschen eben mehr sind als nur Karteninhaber.

Dies wirft ein Schlaglicht auf etwas, das man sorgfältig prüfen sollte: Für wen gilt PCI DSS?

In Version 3.2.1 heißt es, dass die Anforderungen des PCI DSS für folgende Bereiche gelten:

„Einrichtungen, die Kontodaten (der Cardholder Data Environment (CHD) und/oder vertrauliche Authentifizierungsdaten (SAD)) speichern, verarbeiten oder übertragen.“

Version 4.0 besagt, dass die Anforderungen für folgende Bereiche gelten:

„Entitäten, die Kontodaten (Karteninhaberdaten (CHD) und/oder sensible Authentifizierungsdaten (SAD)) speichern, verarbeiten oder übertragen oder die Sicherheit der Cardholder Data Environment (CDE) beeinflussen könnten.“

Der Begriff der „Entität“ taucht bereits in V3.2.1 133 mal auf, es handelt sich also nicht um ein neues Konzept. In V4.0 zählt man den Begriff allerdings 552 mal.

Die 12 Anforderungen innerhalb von PCI DSS

Im Gegensatz zu den ISO 27001-Maßnahmen in Anhang A hat sich an der grundlegenden Struktur von PCI DSS nichts geändert. Es sind weiterhin 12 grundlegende Anforderungen zu erfüllen. Was sich geändert hat, ist der Wortlaut – und der hat sich aus Sicht des Autors ganz erheblich verbessert.

PCI DSS v3.2.1

1. Installation und Wartung einer Firewall-Konfiguration zum Schutz der Daten von Karteninhabern.
2. Verzichten Sie darauf, die Standardeinstellungen der Anbieter für Systemkennwörter und andere Sicherheitsparameter zu übernehmen
3. Schützen Sie die gespeicherten Daten der Karteninhaber
4. Wenn Sie die Daten von Karteninhabern über offene, öffentliche Netze übertragen, verschlüsseln Sie sie. 
5. Schutz sämtlicher Systeme vor Malware und regelmäßige Aktualisierung von Antivirensoftware und Programmen
6. Entwicklung und Wartung sicherer Systeme und Anwendungen
7. Beschränken Sie den Zugriff auf Karteninhaberdaten gemäß der geschäftlichen Anforderungen
8. Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten 
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten 
10. Nachverfolgen und überwachen jedweden Zugriffs auf Netzwerkressourcen und der Daten von Karteninhabern 
11. Regelmäßiges Testen von Sicherheitssystemen und -prozessen
12. Verwalten einer Informationssicherheitsrichtlinie für sämtliche Mitarbeiter und Mitarbeiterinnen

PCI DSS v4.0

1. Installation und Wartung von Netzwerksicherheitskontrollen
2. Anwenden sicherer Konfigurationen auf alle Systemkomponenten
3. Schutz gespeicherter Kontodaten
4. Schutz von Karteninhaberdaten mittels starker Kryptographie, wenn die Daten über offene, öffentliche Netzwerke übertragen werden
5. Schutz sämtlicher Systeme und Netzwerke vor Schadsoftware
6. Entwicklung und Wartung sicherer Systeme und Software
7. Zugriffsbeschränkungen für Systemkomponenten und Karteninhaberdaten je nach den geschäftlichen Erfordernissen
8. Identifizierung von Benutzern und Authentifizierung des Zugriffs auf Systemkomponenten
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten 
10. Protokollieren und überwachen Sie sämtliche Zugriffe auf Systemkomponenten und Karteninhaberdaten
11. Regelmäßige Überprüfung der Sicherheit von Systemen und Netzen
12. Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme

Es gibt hier einiges zu erläutern, und wir widmen uns jedem einzelnen Punkt in weiteren Fachbeiträgen. An dieser Stelle halten wir die Übersicht bewusst einfach. Firmen sollten sich die Anforderungen sorgfältig ansehen. Das gilt nicht nur für die Tatsache, dass sich der Wortlaut geändert hat, sondern vor allem warum  – und welche Bedeutung das konkret für Ihr Unternehmen hat.

ISO 27001 und PCI DSS – Ein dynamisches Duo

Die Änderung der beiden Standards wurde aus gutem Grund mit Spannung erwartet. Sie waren nämlich dringend nötig. Trotzdem ist es wichtig, die Maßgaben, die sich nicht geändert haben, genauso zu berücksichtigen wie die, die sich geändert haben. Was wir über diese Standards sagen können, ist:

Flexibilität

• PCI-DSS – Sehr niedrig
• ISO 27001 – Sehr hoch

Umfang

• PCI DSS – Kontodaten
• ISO 27001 – Abhängig von der Art des Unternehmens/der betreffenden Organisation

Maßnahmenanforderungen

• PCI DSS – Präskriptiv und gut definiert
• ISO 27001 – Hohes Niveau und risikobasiert

Anweisung

• PCI DSS – „Man muss“ die Maßnahmen verbindlich umsetzen
• ISO 27001 – Einschluss oder Ausschluss bestimmt das jeweilige Risikoprofil

Fazit

Die neuen Standards bringen die dringend notwendige Klarheit und beseitigen Unklarheiten der früheren Versionen. Aber welcher Standard ist besser und welchen sollte man implementieren? Die Antwort ist immer dieselbe „Das hängt davon ab, was Sie tun und was Sie erreichen wollen.“ Und es sollte nie eine Entweder-Oder-Entscheidung sein. 

ISO 27001:2022 ist nach wie vor ein risikobasiertes Managementsystem, von dem jedes Unternehmen profitiert, wenn es Sicherheit auf strukturierte Art und Weise implementieren will. Wenn Sie aber Zahlungskartendaten, d.h. Kontodaten, verarbeiten, brauchen Sie zwingend PCI DSS v4.0. Beide Standards sind für sich genommen von grundlegender Bedeutung, wenn man den Sicherheitsstatus verbessern will. Aber zusammen sind sie extrem leistungsfähig und hilfreich, um einen robusten Sicherheitsrahmen zu schaffen.

Wie Batman und Robin trägt dieses dynamische Duo dazu bei, unser digitales Leben zu schützen und die bösen Jungs in Schach zu halten. Ja, man kann das eine ohne das andere haben, aber zusammen sind sie so viel besser.

Autor: Gary Hibberd, Professor of Communicating Cyber bei Cyberfort, im Auftrag von Tripwire