Harte Prüfungen für ein Zertifikat

Thomas Früh, Risikomanager bei dem Anbieter von Risikomanagement-Lösungen Wirecard und seit kurzem Inhaber beider Zertifikate, sagt: „Da wir Kreditkartendaten in den eigenen Unternehmensräumen speichern, brauchten wir dieses Zertifikat. Kein Problem, dachten wir, sind wir doch technisch auf dem aktuellsten Stand, und Sicherheit waren bei uns noch nie ein Problem. Doch der Einfallsreichtum der Anforderungen hat uns wirklich überrascht.“ Sechs Unternehmensbereiche müssen eine eingehende Prüfung über sich ergehen lassen: SecuritySecurity Management, Access Management, operative Sicherheit, Anwendungs- und Systementwicklung, Netzwerksicherheit und schlussendlich die physische Sicherheit. Alles zu Security auf CIO.de

In jedem Bereich gibt es „Soll“ und „Muss“-Kriterien. Zu den Muss-Kriterien im Bereich Zugangskontrolle gehören etwa der User-Name und die Passwort- Authentifizierung. Zu den Soll-Kritierien zählt hier unter anderem ein passwortgeschützter Bildschirmschoner. Eine Muss-Anforderung bei der operativen Sicherheit ist das verschlüsselte Speichern der Kartendaten in Datenbanken und Backup-Medien, ein Soll-Kriterium die persönliche Firewall auf allen Arbeitsplatzrechnern. Wirecard-Mann Früh: „Aber auch im Bereich Human Resources war einiges zu beachten, etwa neue Schlüssel, um die Einzelbüros der mit sensiblen Daten befassten Mitarbeiter zu sichern.“

Neben diesen technischen und baulichen Anforderungen stellt ein solches Zertifikat auch Anforderungen an die „Ressource Mensch“. „Wenn sich die Kollegen querstellen, dann hat ein Unternehmen keine Chance, so ein Zertifikat zu bekommen“, so Früh, „die meisten nahmen Unannehmlichkeiten gelassen hin. Doch es gab auch ein paar Querulanten.“ So etwa ein Vorgesetzter, der partout nicht einsehen wollte, warum sich künftig alle Firmencomputer nach zehn Minuten aus Sicherheitsgründen automatisch sperren und der für sich eine Sonderregelung forderte.