Aktueller Channel Fokus:

TK & UCC

Compliance-Standard in der Praxis

Wie GFIs Channel-Partner vom PCI DSS profitieren können

19.07.2007 | Redakteur: Katrin Hofmann

Faruk Ünlü leitet bei GFI Software den Vertrieb über den Channel in Zentraleuropa.
Faruk Ünlü leitet bei GFI Software den Vertrieb über den Channel in Zentraleuropa.

Welchen Einfluss der Compliance-Standard PCI DSS auf IT-Anbieter und Reseller hat, erläutert Faruk Ünlü von GFI Software in einem Interview mit IT-BUSINESS. So erfolgte die Weiterentwicklung der Produkte des Security-Software-Herstellers vor dem Hintergrund des Standards. Die Partner sollen künftig verstärkt zum PCI DSS geschult werden, denn die PCI-Anforderungen sind für die Reseller gewichtige Argumente im Verkaufsgespräch.

Das Ausspionieren von Kreditkartendaten und Zugangsdaten für das Online-Banking ist eine wachsende Bedrohung. Um dieser Herr zu werden und den Verbrauchern Sicherheit bei ihren Geldtransaktionen zu geben, haben sowohl der Gesetzgeber als auch die Industrie zahlreiche Regeln zur Absicherung von IT-Netzwerken erlassen. Diese Vorgaben müssen oder sollten Unternehmen einhalten, die sensible Daten empfangen und verarbeiten. Einer der Standards ist der so genannte Payment Card Industry Data Security Standard (PCI DSS), den zahlreiche Kreditkarten verarbeitende Firmen in Kürze verpflichtend erfüllen müssen. Faruk Ünlü, Leiter des Channel-Vertriebs von GFI Software in Zentraleuropa, erklärt, wie die Security-Produkte seiner Firma die Vorgaben des PCI DSS umsetzen helfen und wie IT-Reseller dieses Wissen beim Gespräch mit dem Kunden nutzen können.

ITB: Sie bieten seit Mitte Juni ein neues Produkt-Bundle an, das speziell der Einhaltung des PCI DSS, dienen soll. Dank des Bundles sollen Firmen die sich aus dem PCI DSS ergebenden erforderlichen Prozesse zum Schutz von Kreditkartendaten umsetzen können. Warum ist es wichtig, den Standard einzuhalten?

Ünlü: Der PCI-DSS-Standard wurde von führenden Kreditkartenunternehmen, unter anderem Visa und Mastercard, ins Leben gerufen. Der PCI DSS enthält Richtlinien, zu deren Einhaltung Firmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten, weltweit verpflichtet sind. Ab dem 30. September dieses Jahres ist er für Händler mit über sechs Millionen Euro gültig, für solche mit ein bis sechs Millionen Kreditkartentransaktionen jährlich gilt der Standard ab 31. Dezember 2007. Erfüllen diese Unternehmen die Compliance-Vorgaben dann nicht, drohen Geldbußen, die sechsstellig ausfallen können, und ihnen kann die Verarbeitung von Kartendaten untersagt werden. Wir vermuten, dass in einem weiteren Step der Standard auch für kleinere Firmen verpflichtend werden wird. Deshalb sollten auch diese sich schon heute mit den Regeln vertraut machen, um nicht irgendwann unter Zeitdruck zu geraten oder durch Unwissenheit hohe Geldstrafen zahlen zu müssen. Zudem können verlorene Kreditkartendaten das Image schädigen. Auch deshalb ist für unsere Partner jetzt der richtige Zeitpunkt, ihre Kunden über den PCI DSS zu beraten. Die Reseller, die sich auf das Thema fokussieren möchten, wollen wir künftig gezielt ausbilden.

ITB: Wie können Ihre Partner im Kundengespräch für den Kauf speziell ihrer PCI-Lösung, der GFI PCI Suite, argumentieren?

Ünlü: Unser PCI-Bundle deckt die Anforderungen aus dem PCI DSS zu 85 Prozent ab. Im Vergleich zu unseren Marktbegleitern ist das überdurchschnittlich. Das wollen wir gemeinsam mit unseren Fachhandelspartnern an die Kundenunternehmen kommunizierenen. Die anderen 15 Prozent betreffen Anforderungen, auf die wir keinen direkten Einfluss haben: Beispielsweise, dass Unternehmen ein Backup-System und eine Firewall haben und gewisse Anforderungen an die IT-Infrastruktur erfüllen.

ITB: Nennen Sie Beispiele, wie Ihre Software konkret hilft, den Standard einzuhalten!

Ünlü: Die Suite besteht aus dem EventsManager 7.1 und dem Network Security Scanner 8.0. Der Network Security Scanner stellt sicher, dass sicherheitsrelevante Schwachstellen in Netzwerken erkannt werden, ob es beispielsweise offene Ports gibt oder Passwörter durch Mitarbeiter geändert wurden. Mit dem EventsManager wird der Administrator umgehend informiert, wenn seine Firma von Externen oder intern angehackt wird: wenn beispielsweise eigene Mitarbeiter Kreditkartenkarten entwenden, diese Daten auf eine CD oder einen USB-Stick brennen, dann wird dieser Event dem Systemadministrator gemeldet. Dabei definiert die Software Schwellwerte, beispielsweise nach Menge, Art und Häufigkeit der gebrannten Daten und stuft diese nach ihrem Gefährdungspotenzial ein. Derart hilft die Lösung, die Anforderungen des PCI DSS einzuhalten. Neuartig ist eine in dem Bundle enthaltene Reporting-Funktion: Dank dieser können Firmen Berichte zu Aktivitäten von Netzwerkbenutzern oder über ihre Anti-Viren-Lösungen ausdrucken, die sie, wie der PCI DSS vorschreibt, regelmäßig vorlegen müssen.

Zum Scannen des Netzwerks können die Kunden auf über 15.000 Schwachstellen-Checks und -Bewertungen aus Datenbanken zurückgreifen. Tools unterstützen sie bei der Kontrolle unterschiedlicher Plattformen in jeder Umgebung.

ITB: Wie beeinflusst solch ein Standard Ihre Vertriebsaktivitäten?

Ünlü: Wir bieten beispielsweise schon heute Schulungen zu dem Thema an und wollen das auch künftig tun. Wir bieten unseren Partnern im Quartal durchschnittlich zwölf Schulungen an, bundesweit verteilt. Der PCI DSS ist ein Bestandteil der Schulungen. Zwei Tage der dreitägigen Schulungen sind unseren Messaging- und Kommunikationsprodukten gewidmet, ein Tag den Languard-Produkten für die Netzwerksicherheit und in diesem Zusammenhang dem PCI DSS. Die Schulungen werden von unseren Distributoren durchgeführt und sind für die Reseller kostenlos.

ITB: Suchen Sie neue Vertriebspartner für Ihre Produkte?

Ünlü: Wir suchen bundesweit Partner, die sich schon im Security-Markt positioniert haben oder künftig möchten. Interessenten können sich bei uns auf der Webpage registrieren oder unsere Distributoren telefonisch kontaktieren. Individuell wird dann abgestimmt, welchen Weg man gemeinsam gehen kann, ob man als Bronze-, Silber- oder Goldpartner zusammenarbeitet. Derzeit arbeiten wir mit rund 2.500 Resellern zusammen, davon sind rund 23 Silberpartner und drei Goldpartner. Mittelfristig wollen wir auf etwa acht Goldpartner und knapp 45 Silberpartner aufstocken.

ITB: Im vergangenen Jahr haben Sie noch mit drei Distributoren zusammengearbeitet: Mit ADN, Exelsis und Infinigate. Von Exelsis haben Sie sich mittlerweile getrennt. Wollen Sie sich einen neuen dritten Value-Distributor an Bord holen?

Ünlü: Bei unserer Zusammenarbeit mit Channel-Partnern legen wir sehr viel Wert auf eine enge Zusammenarbeit. In diesem Punkt mussten wir feststellen, dass sich die Vorstellungen von Exelsis nicht mit unseren deckten und sind getrennte Wege gegangen. Wir sind mit den bestehenden Partnern so erfolgreich, dass wir derzeit keine Ambitionen haben, einen neuen dritten Distributor zu engagieren. Wir setzen stattdessen auf die Reseller.

Preise der GFI PCI Suite

Der empfohlene Verkaufspreis des Bundles staffelt sich nach der Zahl der Arbeitsplätze. Für 25 PCs fallen 7.400 Euro an, für 500 Arbeitsplätze 67.625 Euro.

Die Anforderungen des PCI DSS im Überblick

  • 1. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern
  • 2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
  • 3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  • 4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
  • 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen
  • 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen
  • 7. Einschränkung des Zugriffs auf Kartendaten nach dem Grundsatz „Kenntnis, nur wenn nötig“
  • 8. Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem
  • 9. Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  • 10. Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
  • 11. Regelmäßige Überprüfung von Sicherheitssystemen und –abläufen
  • 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner
  • (Quelle: GFI Software)

Weiterhin müssen zahlreiche Händler und Dienstleister ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von Visa zugelassenes Unternehmen durchführen lassen. Auch das alljährliche Ausfüllen eines PCI-Fragebogens ist einigen Firmen vorgeschrieben.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006201 / Technologien & Lösungen)