PKI und digitale Zertifikate als Lösung für PCI Compliance
Cyber-Bedrohungen für den Finanzsektor
Der Finanzdienstleistungssektor durchläuft eine interessante Zeit: Seit dem Crash von 2008 sind acht Jahre vergangen, was genügend Zeit für die Heilung des Marktes bedeutet, während die Digitalisierung in großem Stil Einzug gehalten hat. Online-Portale und mobile Apps sind die Norm, neben einer ganzen Reihe anderer technologischer Innovationen, die im Finanzdienstleistungssektor eingeführt wurden, um den hohen Anforderungen der heutigen digitalen Verbraucher gerecht zu werden. Sicherlich bringen diese Veränderungen mehr Komfort für den Kunden und eine höhere Kosteneffizienz für die Institute, aber sie bringen auch deutlich höhere Cybersicherheitsrisiken mit sich.
Laut dem 2016 Financial Industry Cybersecurity Research Report von SecurityScorecard ist der Finanzsektor aufgrund der gestiegenen Risiken infolge der Digitalisierung besonders gefährdet:
- 95 % der 20 größten US-Geschäftsbanken (nach Umsatz) haben eine Netzwerksicherheitsnote von "C" oder schlechter.
- 1 von 5 Finanzinstituten nutzt einen E-Mail-Dienstleister mit erheblichen Sicherheitslücken.
- 75 % der 20 größten Geschäftsbanken in den USA (nach Umsatz) sind mit Malware infiziert.
Neben den zunehmenden Schwachstellen im Finanzbereich sind auch die Compliance-Anforderungen der Branche und der Behörden wie PCI, HIPAA und ISO-Sicherheitsstandards ein ständiges Thema. Laut der SecurityScorecard-Studie erfüllen 30 % der Finanzunternehmen nicht die PCI 3-Anforderungen des PCI DSS in Bezug auf die Verwendung starker Kryptographieprotokolle und vertrauenswürdiger Schlüssel und Zertifikate.
Die Bedeutung von PCI DSS für die Industrie
PCI DSS ist eine der wichtigsten Aufsichtsbehörden für den Finanzsektor, die die Sicherheit von Karteninhaberdaten gewährleisten soll.
Die mit der PCI-Konformität verbundenen Sicherheitsergebnisse umfassen die fortlaufende Identifizierung von Bedrohungen und Schwachstellen und unterstützen letztlich den Erfolg von Unternehmen, die Kartenzahlungen verarbeiten. Datenschutzverletzungen können zur völligen Zerstörung eines Unternehmens führen - PCI soll die mit einer erfolgreichen Datenschutzverletzung verbundenen Verluste verhindern.
Wie von Thales e-Security erläutert, sind die Folgen der Nichteinhaltung von PCI DSS hohe Geldstrafen, erhöhte Gebühren und möglicherweise der Entzug der Berechtigung zur Kreditkartenverarbeitung.
Leider schließen sich die Schaffung eines sicheren Betriebszustands zur Eindämmung der gefährlichen Bedrohungslandschaft von heute und die Einhaltung des PCI DSS nicht gegenseitig aus. Verschiedene Finanzorganisationen müssen individuell entscheiden, welche Sicherheitstools und -kontrollen sie einsetzen wollen und welche Infrastruktur sie dafür benötigen, wobei diese Mechanismen nicht immer direkt mit den von PCI geforderten Zielen übereinstimmen.
Die Wahl von robusten Lösungen, die möglichst viele PCI-Bereiche abdecken, ist eine hilfreiche Taktik. Public Key Infrastructure (PKI) und digitale Zertifikate sind beispielsweise eine bewährte Lösung für die Erfüllung gesetzlicher Anforderungen und die Sicherung sensibler Vermögenswerte. PKI-Infrastrukturen und Systeme zur Verwaltung digitaler Zertifikate ermöglichen die einfache Integration kryptografisch fundierter Technologien und verbessern gleichzeitig die Benutzerfreundlichkeit und die Sicherheitslage eines Unternehmens erheblich.
Erste Schritte mit PKI und digitalen Zertifikaten
PKI zur Ausstellung digitaler Zertifikate ist ein wirksames Mittel zur Erfüllung von PCI 3, der Komponente des PCI DSS, die verlangt, dass starke Kryptographie und Sicherheitsprotokolle zum Schutz von Karteninhaberdaten eingesetzt werden und nur vertrauenswürdige Schlüssel und Zertifikate verwendet werden. Die ordnungsgemäße Implementierung und fortlaufende Nutzung dieser Sicherheitstechnologie verbessert die Sicherheitslage und erfüllt gleichzeitig die Compliance-Anforderungen.
Die Zusammenarbeit mit einem vertrauenswürdigen PKI-Partner ist eine Möglichkeit, eine PKI zu implementieren und zu betreiben und dabei sicher vertrauenswürdige digitale Zertifikate auszustellen, ohne das Sicherheitsteam zusätzlich zu belasten oder das richtige Fachwissen finden zu müssen. Managed PKI-Services sorgen dafür, dass eine sichere Infrastruktur sicher bleibt, während interne IT-Fachleute an Technologieinitiativen arbeiten können, die direkt den Kernwerten des Unternehmens dienen.
Eine professionell verwaltete PKI ist so konzipiert, dass sie die unmittelbaren und langfristigen Sicherheitsanforderungen einer Organisation erfüllt, die über einen soliden und überprüfbaren Betriebsplan verfügt. Eine robuste, verwaltete PKI kann den Betrieb nachweisen, sowie die Personen, die ihn durchgeführt haben, und alle Sicherheitsereignisse, die auf dem Weg dorthin stattgefunden haben, so dass Unternehmen Vertrauen in ihre Technologieinvestition haben können, ohne kritische Ressourcen für administrative Anforderungen zu verwenden.
Die wichtigste Überlegung bei der Auswahl eines zuverlässigen PKI-Partners ist der Grad an Erfahrung und Fachwissen in Bezug auf PKI, digitale Zertifikate und spezielle Branchenanforderungen wie PCI.
Fragen Sie Ihren potenziellen PKI-Partner:
- Kann die Lösung in Zukunft ins Haus geholt werden? Wenn ja, wie hoch sind die voraussichtlichen Kosten und die technische Komplexität?
- Gibt es Elemente des Dienstes, die nicht verlagert werden können? Welche Aspekte der Infrastruktur werden gemeinsam genutzt?
- Kann ich meine eigenen URLs für CRL verwenden?
- Können private Schlüssel für die Verschlüsselung an meinem Standort hinterlegt werden?
CSS steht Ihnen zur Verfügung, um über die PCI-bezogenen Fragen zu sprechen, die Ihre Finanzsicherheitsorganisation hat. Unsere PKI-Experten können mit Ihnen zusammenarbeiten, um Ihre aktuellen Sicherheitsschwachstellen zu identifizieren und den besten PKI-Ansatz für Ihr Unternehmen zu finden.
Wenn Ihre Sicherheitsorganisation mehr darüber erfahren möchte, wie PKI und vertrauenswürdige digitale Zertifikate Ihre sensiblen Karteninhaberdaten schützen können, sind unsere Experten für Sie da. Kontaktieren Sie uns, um über Ihre PKI-Anforderungen zu sprechen.
