Sicherheitsrisiken ändern sich ständig, und es tauchen scheinbar jeden Tag neue Bedrohungen auf. Der einzige Weg, Risiken anzugehen, besteht darin, sie zuerst zu identifizieren.

Eine PCI-Risikoanalyse hilft Ihnen dabei, indem sie eine Methodik verwendet, um potenzielle Risiken zu identifizieren, die Ihre Karteninhaberdatenumgebung beeinträchtigen könnten.

Risikobewertungen sind ein proaktiver Weg, um Sicherheitslücken zu erkennen und Ihre Sicherheitslage zu analysieren, um aktuelle und zukünftige Bedrohungen zu mindern.

Im Folgenden skizzieren wir, wie Sie Ihre eigene PCI-Risikoanalyse in fünf einfachen Schritten durchführen können.

Ist eine Risikoanalyse für die PCI-Compliance erforderlich?

Ja, Risikoanalysen sind für die PCI-Compliance erforderlich. Einzelheiten zu Risikoanalysen sind unter Anforderung 12.2 enthalten.

Gemäß der PCI-Anforderung müssen Unternehmen einen Prozess zur Identifizierung von Assets, Bedrohungen und Schwachstellen einrichten und eine formale Risikoanalyse durchführen. PCI DSS verlangt von Unternehmen, mindestens einmal pro Jahr Risikoanalysen durchzuführen.

Es gibt eine Reihe von Risikobewertungsansätzen, die Sie verwenden können, aber der PCI DSS-Standard erwähnt speziell die folgenden Methoden:

• OCTAVE
• ISO 27005
• National Institute of Standards and Technology (NIST) Special Publication 800-30

Warum sind Risikoanalysen wichtig?

Da das Ziel von PCI DSS darin besteht, Karteninhaberdaten zu schützen, ist es wichtig, Ihre größten Schwachstellen zu identifizieren, zu mindern oder vollständig zu beheben, bevor sie zu größeren Problemen werden oder ausgenutzt werden.

Durch die kontinuierliche Überwachung von Informationssicherheitsrisiken kann Ihr Unternehmen ein klareres Bild seiner Sicherheitslage erhalten. Dieser Prozess ist eine großartige Möglichkeit, das Risikomanagement das ganze Jahr über durchzuführen, indem kontinuierlich Bedrohungen identifiziert und angesprochen werden, die erhebliche Sicherheitsauswirkungen auf Ihr Unternehmen haben könnten.

Sicherheitsrisiken sind dynamisch; es ist möglich, dass ein Risiko, das im letzten Jahr als wenig einflussreich eingestuft wurde, jetzt basierend auf Veränderungen in der Umgebung ein höher eingestuftes Risiko darstellt. Ohne kontinuierliche Überwachung ist es schwierig, diese Risikoänderungen zu erfassen, bis Sie mitten in einem Risikovorfal stecken.

Zusätzliche Vorteile der PCI-Risikoanalyse umfassen die Möglichkeit:

• Ihr Risikoprofil zu verstehen
• Risikomanagementbemühungen und Sicherheitsausgaben zu priorisieren
• Ein Inventar Ihrer IT- und Datenassets zu erstellen
• Sicherheitskontrollen effektiver umzusetzen

Wie man eine PCI-Risikoanalyse in 5 Schritten durchführt

Der PCI DSS-Standard gibt keinen spezifischen Prozess zur Durchführung einer Risikoanalyse vor. Die folgenden Schritte helfen Ihnen jedoch dabei, Bedrohungen und Schwachstellen zu identifizieren, die Ihre Umgebung mit Karteninhaberdaten beeinträchtigen könnten, was das Hauptziel einer PCI-Risikoanalyse ist.

1. Definieren Sie den Umfang Ihrer Bewertung

Bevor Sie mit der Identifizierung von Risiken beginnen, müssen Sie die Bereiche Ihres Unternehmens erfassen, die Sie sichern müssen, und bestimmen, welche Vermögenswerte Ihre Umgebung mit Karteninhaberdaten ausmachen. Dies wird als Ihr PCI-Umfang bezeichnet.

Berücksichtigen Sie dabei alle Personen, Prozesse und Techniken, die Karteninhaberdaten speichern, verarbeiten und übertragen oder die Sicherheit der Karteninhaberdaten beeinträchtigen können. Fragen, die Sie während des Scoping-Prozesses stellen sollten, umfassen:

• Wie werden Karteninhaberdaten erfasst?
• Wie werden Karteninhaberdaten in der Umgebung der Karteninhaberdaten verarbeitet und übertragen?
• Wer hat Zugang zur Umgebung der Karteninhaberdaten oder kann Karteninhaberdaten einsehen?
• Gibt es Systeme oder Personen, die möglicherweise die Umgebung der Karteninhaberdaten beeinflussen können?

Die Abbildung Ihres Kartenflusses kann Ihnen helfen, besser zu verstehen, wie Karteninhaberdaten in Ihre Umgebung mit Karteninhaberdaten gelangen und übertragen werden. Dies gibt Ihnen ein klares Bild Ihrer Umgebung mit Karteninhaberdaten und der damit verbundenen Systeme.

2. Risiken identifizieren

Als nächstes müssen Sie die Personen, Prozesse und Technologien identifizieren, die entweder Teil Ihrer Umgebung mit Karteninhaberdaten sind oder die Umgebung beeinträchtigen können.

In dieser Phase identifizieren Sie Bedrohungen und Schwachstellen, die Ihre Systeme potenziell beeinträchtigen könnten und letztendlich Ihr Risikoprofil mitgestalten.

• Schwachstellen sind Mängel im Zustand Ihrer Umgebung, die ausgenutzt werden könnten.
• Bedrohungen sind das Potenzial, dass jemand oder etwas eine Schwachstelle ausnutzt.
• Risiken sind ein Maß für die Wahrscheinlichkeit, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle ausnutzt und die Auswirkungen, die sie auf die Umgebung der Karteninhaberdaten hat.

Betrachten wir beispielsweise ein Softwaresystem, das nicht auf eine neue Version aktualisiert wurde, die eine Sicherheitslücke beheben soll. Diese Sicherheitslücke ist die veraltete Software, die Bedrohung besteht darin, dass ein Hacker in das System eindringen könnte, und das Risiko besteht darin, dass die Software nicht auf dem neuesten Stand gehalten wird.

Berücksichtigen Sie diese Kategorien von Bedrohungen und Schwachstellen:

• Digital: Keine Aktualisierung von Software mit Sicherheitspatches
• Physisch: Unrichtige Entsorgung von Daten
• Intern: Mitarbeiter
• Extern: Hacker
• Umwelt: Naturkatastrophe

3. Risiken analysieren

Sobald Ihre Risiken identifiziert sind, müssen Sie die Wahrscheinlichkeit des Auftretens des Risikos und die potenziellen Auswirkungen auf Ihr Unternehmen bewerten.

• Risiko-Wahrscheinlichkeit: Berücksichtigen Sie, wie wahrscheinlich es ist, dass eine Bedrohung eine bestimmte Schwachstelle ausnutzt. Wenn Sie beispielsweise im letzten Jahr einen Datenschutzverstoß erfahren haben, wäre die Wahrscheinlichkeit eines weiteren Verstoßes hoch, es sei denn, Sie haben die Schwachstelle behoben, die den Verstoß verursacht hat.
• Risiko-Potenzial: Berücksichtigen Sie den Schaden, den ein Risiko für Ihr Unternehmen darstellen könnte. Beispielsweise würde eine falsch konfigurierte Firewall eine hohe Wahrscheinlichkeit aufweisen, dass unnötiger Datenverkehr in die oder aus der Umgebung der Karteninhaberdaten gelangt.

Basierend auf der Wahrscheinlichkeit und möglichen Auswirkungen weisen Sie jeder Schwachstelle und der dazugehörigen Bedrohung ein Risikoniveau zu. Häufige Risikokategorien umfassen hohes, mittleres und niedriges Risiko. Ihr Team sollte die höchsten Risiken zuerst managen, bevor es die mittleren und dann die niedrigen Risiken angeht.

4. Erstellen Sie eine Risikomanagementstrategie

Sobald die Risiken kategorisiert sind, können Sie mit der Planung Ihres Risikomanagementprozesses beginnen. Während einige Risiken nicht vollständig ausgeschaltet werden können, trägt der Risikomanagementprozess dazu bei, Risiken auf ein akzeptableres Niveau zu reduzieren. Das verbleibende Risikoniveau wird als Restrisiko bezeichnet.

Bei der Erstellung Ihrer Risikomanagementstrategie sollten Sie berücksichtigen, wie Sicherheitskontrollen bewertet, priorisiert und implementiert werden. Es ist hilfreich, ein Team zu bestimmen, das diesen Prozess übernimmt und regelmäßig die Ergebnisse dokumentiert.

Wenn Sie wissen, wie der Risikominderungsprozess verfolgt wird, können Sie Sicherheitskontrollen anwenden, um die Bereiche mit dem höchsten Risiko zu adressieren. Nachdem Sicherheitsmaßnahmen implementiert wurden, überprüfen Sie deren Wirksamkeit und überwachen weiterhin neue Risiken.

Während Risikobewertungen jährlich für die PCI-Compliance erforderlich sind, gibt es einige zusätzliche Strategien, die Ihnen helfen, Risiken zwischen den Bewertungen zu überwachen:

• Penetrationstests: Von PCI DSS gefordert, sind Penetrationstests eine praktische Prüfung der Sicherheit Ihres Systems.
• Lückenanalyse: Diese Bewertung misst Ihre aktuellen Geschäftspraktiken, um eventuelle Schwachstellen zu finden, die Sie nicht konform machen könnten.
• Interne und externe Schwachstellenscans: Ebenfalls von PCI DSS gefordert, testen Schwachstellenscans auf Schwachstellen in Ihrer Infrastruktur und Ihren Anwendungen.

5. Dokumentieren Sie Ihre Risikobewertung ordnungsgemäß

Nachdem Sie Ihre Risikobewertung abgeschlossen haben, stellen Sie Ihre Ergebnisse in einem formellen Bericht zusammen. Dieser Bericht enthält Details zu jeder identifizierten Schwachstelle und wie Sie die entdeckten Risiken behandelt oder akzeptiert haben.

Abschnitte innerhalb eines Risikobewertungsberichts umfassen:

• Versionsverlauf: Das Abschlussdatum der Bewertung und der Autor des Dokuments
• Zusammenfassung: Eine Zusammenfassung der Sicherheitslage Ihrer Organisation vor und nach der Bewertung
• Umfang der Risikobewertung: Beschreiben Sie Ihr Unternehmen und einen Überblick über Ihre Cardholder-Datenumgebung
• Risikobewertungsansatz: Ihr Verfahren zur Durchführung der Risikobewertung und die Methode zur Kategorisierung und Priorisierung von Risiken
• Asset-Inventar: Eine Liste der in den Geltungsbereich fallenden Assets, die in Ihre Bewertung einbezogen wurden
• Bedrohungen: Eine Liste der Bedrohungen, die Ihre Assets beeinflussen könnten
• Schwachstellen: Eine Liste der Schwachstellen, die von Bedrohungen ausgenutzt werden könnten, um Cardholder-Daten zu beeinträchtigen
• Ergebnisse der Risikobewertung: Eine Liste der kategorisierten Risiken und der ergriffenen Maßnahmen zur Adressierung und Minderung der Risiken

PCI-Risikobewertungsberichtsvorlage

PCI DSS verlangt von Unternehmen, dass sie ihren Risikobewertungsprozess und die Ergebnisse dokumentieren. Laden Sie unsere Vorlage unten herunter, um Ihnen bei der Formatierung Ihrer Risikobewertungsergebnisse zu helfen.

Wie Secureframe Ihnen bei der Vorbereitung auf eine PCI-Risikobewertung helfen kann

Risikobewertungen sind ein wichtiger Bestandteil der PCI-Compliance. Eine gründliche Bewertung hilft Ihnen, alle potenziellen Risiken zu identifizieren und proaktiv Sicherheitsmaßnahmen zu ergreifen.

Unser Team von PCI-Experten kann Ihnen dabei helfen, alle Ihre Assets und potenziellen Schwachstellen genau zu identifizieren, um ein vollständiges Bild Ihrer Sicherheitslage zu erhalten — und sicherzustellen, dass nichts übersehen wird.

Um mehr darüber zu erfahren, wie Secureframe Ihnen helfen kann, PCI-Compliance zu erreichen, fordern Sie noch heute eine Demo mit unserem Team an.