Was haben Home Depot, UPS und Target gemeinsam? Nun, abgesehen davon, dass sie alle preisgünstige Möbel anbieten, waren alle drei in jüngster Zeit Ziel von Datenschutzverletzungen im Zusammenhang mit POS-Geräten (Point-Of-Sale), die Finanzdaten von Kunden enthalten.
Wenn es zu einer Datenpanne kommt, muss immer jemand die Schuld dafür übernehmen. „Es ist die Schuld der Geschäfte. Ihre IT-Sicherheit war nicht konform. Sie hätten eindeutig x beheben und sich auf y vorbereiten müssen ...“ Nun, ich glaube nicht, dass es produktiv ist, solche Probleme aus diesem Blickwinkel anzugehen. Sicherheit ist niemals unfehlbar, und *Dinge* passieren nun einmal, also setzen Sie einen Helm auf und gewöhnen Sie sich daran oder steigen Sie aus dem Geschäft aus.
Wenn Sie jemandem die Schuld geben wollen, dann geben Sie sie dem Vertrauen in Vorschriften als Mittel zur Sicherung von Kundendaten. Vorschriften sind keine Allheilmittel und waren es auch nie. Ein Koch macht kein gutes Essen, weil sein Restaurant eine Gesundheitsinspektion bestanden hat, doch in der IT-Sicherheit prahlen die Leute mit ihren Compliance-Zertifikaten, als wären diese etwas Bedeutendes. So funktioniert das aber nicht. Wenn Sie im IT-Bereich des Einzelhandels arbeiten, dann ist die PCI-Compliance kein Ehrenzeichen, sondern eher eine Bestätigung dafür, dass Sie nicht inkompetent sind. Wenn Sie einen Raum voller Menschen hätten und den Gebildetsten finden wollten, würden Sie nicht damit beginnen, zu fragen, wer die Grundschule abgeschlossen hat. Wenn Sie also ein Unternehmen, bei dem es zu einer Sicherheitsverletzung gekommen ist, nur danach beurteilen, ob es die Vorschriften eingehalten hat oder nicht, stellen Sie die falschen Fragen. Compliance ist eine Mindestanforderung, und wie bei den meisten Mindestanforderungen gilt logischerweise, dass alles, was darüber hinausgeht, besser ist. Wir müssen uns also fragen: „Hätte dieser Verstoß vernünftigerweise vermieden werden können?“
Diese Unternehmen waren gesetzlich verpflichtet, PCI-konform zu sein, aber IT-Sicherheit umfasst weit mehr als nur die Befolgung einiger vorgefertigter Sicherheitsrichtlinien. Das Wichtigste bei der IT-Sicherheit ist, dass man das Risiko niemals vollständig beseitigen, sondern nur mindern kann. Damit bleibt eine Frage offen: Hätte die Sicherheitsverletzung bei Home Depot vernünftigerweise vermieden werden können?
Das kann ich nicht so einfach beantworten. Je nachdem, wie man es betrachtet, war die Sicherheitsverletzung sowohl vermeidbar als auch unvermeidbar. Es ist unmöglich, das zu wissen, denn wir wissen nicht, ob Home Depot die Daten seiner Kunden gut gesichert hat, denn diese Informationen wurden noch nicht veröffentlicht. Was ich sagen kann, ist, dass der Einbruch nicht so schlimm gewesen wäre, wenn mehr Banken chipbasierte Kreditkarten eingeführt hätten. Chipkarten sind schwieriger und teurer zu "klonen", was sie für Kriminelle weniger wertvoll macht. Hätte dies den Einbruch verhindert? Wahrscheinlich nicht. Hätte es den Schaden verringert? Ja, und zwar erheblich.
Wenn man darüber nachdenkt, ist das im Grunde genommen IT-Sicherheit. Es gibt keine absolute Sicherheit. Das Einzige, was in der IT-Sicherheit absolut ist, ist die absolute Wahrscheinlichkeit, dass jedes System gehackt werden kann. P(Hack) ≠ 0 und so weiter. Wenn jemand genügend resources aufwenden würde, könnte er jedes System hacken. Um dem entgegenzuwirken, müssen IT-Sicherheitsexperten ständig überprüfen und bestätigen, dass ihre Systeme so sind, wie sie sein sollten. Es handelt sich um einen Prozess, bei dem sichergestellt wird, dass Schwachstellen, sobald sie entdeckt werden, geschlossen werden.
Zusammengefasst:
Hätte mehr getan werden können, um den Einbruch bei Home Depot zu verhindern?
Sicher, es gibt immer noch mehr, was man tun kann, um die Sicherheit zu verbessern.
Ist der Status ihrer PCI-Konformität wichtig?
Nicht so sehr, außer aus rechtlicher Sicht.
Hätte eine strengere Sicherheitsvorkehrung etwas bewirkt?
Nicht unbedingt, aber es hätte es auch nicht schlimmer machen können.
Nun bin ich nicht der Typ, der sich nach einem schweren Sicherheitsverstoß selbst in den Vordergrund stellt, aber wir bieten ein kostenloses E-Book darüber an, wie AuthAnvil zur Sicherheit der IT im Einzelhandel beitragen AuthAnvil . Darin wird erläutert, wie viele unserer Funktionen dazu beitragen können, die Anforderungen von PCI DSS zu erfüllen und zu übertreffen.
