F

Gefährdet ein IT-Lockdown die Compliance nach PCI DSS?

Ein IT-Lockdown soll die Verfügbarkeit wichtiger IT-Systeme für eine bestimmte Zeit sicherstellen. Das kann sich aber auf die Compliance auswirken.

Dieser Artikel behandelt

PCI-Standards

Ich habe erlebt, wie Experten darüber diskutieren, ob Unternehmen zu bestimmten Zeiten des Jahres in einen "IT...

Lockdown" durchführen sollten. Ein Lockdown bedeutet, dass alle Systeme (wochenlang) unberührt bleiben und wichtige Patches sowie Scans nicht durchgeführt werden. Damit will man die Verfügbarkeit in diesem Zeitraum sicherstellen. Wie sehen Compliance-Vorschriften wie PCI DSS einen solchen IT-Lockdown? Ist das aus Compliance-Sicht ein Problem?

Aus der Compliance-Perspektive sind Lockdown-Zeiten, bei denen die Systemkonfigurationen unberührt bleiben, nur ein Problem, wenn sie längere Zeit dauern und wirklich absolute Verbote für Systemänderungen beinhalten.

Unternehmen führen diese Sperrungen manchmal durch, um Störungen zu kritischen Betriebszeiten auszuschließen. Beispielsweise könnte für IT-Systeme ein Lockdown-Zeitraum am Ende eines jeden Kalenderquartals vorgesehen sein, wenn die finanziellen Quartalsergebnisse vorgelegt werden müssen. Dann wäre beispielsweise die letzte Woche eines jeden Quartals für das „Einfrieren der IT“ angedacht. Es würden dann keine Änderungen an den Servern, Anwendungen oder anderen Teilen der IT-Infrastruktur vorgenommen, die zur Unterstützung der Finanzberichterstattung dienen. Das soll die Fehlerwahrscheinlichkeit während der Berichtszusammenstellung reduzieren, ganz nach dem Motto „Never touch a running system“.

Der Nachteil einer solchen IT-Sperre ist aber offensichtlich. Weil während eines IT-Lockdowns keine Änderungen erfolgen, leidet möglicherweise die IT-Security und die Compliance ist gefährdet. Wenn beispielsweise ein kritischer Sicherheits-Patch während des Lockdown-Zeitraums veröffentlicht wird, dürften die Administratoren wohl sicher zögern ihn einzuspielen.

Der Payment Card Industry Data Security Standard (PCI DSS) erwähnt Lockdown-Perioden nicht explizit, aber Abschnitt 6.2 enthält folgende Sprachregelungen, die auch derartige IT-Sperren betreffen:

„Stellen Sie sicher, dass alle Systemkomponenten und die Software durch die Installation von entsprechenden Security-Patches der Anbieter vor bekannten Sicherheitslücken geschützt sind. Installieren Sie wichtige Sicherheits-Patches innerhalb eines Monats nach Veröffentlichung.“ (Hervorhebung von der Redaktion hinzugefügt).

Wenn ein Unternehmen PCI DSS unterliegt und einen IT-Lockdown erwägt, sollten die Verantwortlichen sich also überlegen, wie sie dieser Verpflichtung in ihrer Betriebsumgebung gerecht werden. Es gibt dazu mindestens zwei Möglichkeiten. Erstens können einfach alle aktuell veröffentlichten Patches unmittelbar vor der Sperrung eingespielt werden, wenn der IT-Lockdown weniger als einen Monat dauert. Nach dem Ende der Sperrung wiederholen Sie den Patch-Vorgang dann. Zweite Option: Falls sich der Lockdown über mehr als einen Monat erstreckt, können Sie eine definierte Ausnahme in dem Prozess erlauben. Das ermöglicht dann die Anwendung der kritischen Sicherheits-Patches.

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close