PCI-Compliance: Penetrations-Tests und Security-Scans größte Schwachstellen

Bei der Compliance nach den PCI-DSS-Vorgaben gibt es viele Stolperfallen. Der Verizon PCI Compliance Report offenbart die zwei häufigsten Probleme.

Der Verizon PCI Compliance Report 2014 hat den globalen Stand in Sachen PCI DSS Compliance (Payment Card Industry Data Security Standard) bewertet und kam zu dem Ergebnis, dass Requirement 11 am wenigsten eingehalten wird. Reqirement 11 schreibt regelmäßige Tests der Security-Systeme und der entsprechenden Prozesse vor. Dabei sind viele Security-Profis der Meinung, dass es sich dabei um eine der einfacheren Bestimmungen in der Vorgabe handelt.

In diesem Beitrag gehen wir auf zwei spezielle Bereiche ein, die Verizon als Compliance-Stolpersteine identifiziert hat. Weiterhin verraten wir, wie Sie diese in Ihr PCI-DSS-Compliance-Programm integrieren können.

PCI DSS: Penetrations-Tests müssen auch protokolliert werden

Security-Profis wissen sehr wohl, dass die PCI-DSS-Vorgaben Penetrations-Tests verlangen. Dabei ist eine von der Branche abgesegnete Methode notwendig, beispielsweise NIST SP 800-115. Diese Tests müssen jährlich durchgeführt werden und sind auch immer dann notwendig, wenn größere Veränderungen in der Daten-Umgebung des Karteninhabers durchgeführt wurden.

Verizon hat als Problem herausgestellt, dass 60 Prozent der Unternehmen nicht beweisen konnten, solche Penetrations-Tests innerhalb des letzten Jahres durchgeführt zu haben. Die Penetrations-Tests zu dokumentieren ist für die PCI-Compliance aber fast genauso wichtig wie der Test selbst. Auditoren werden sich da nicht auf Ihr Wort verlassen, sondern brauchen handfeste Beweise.

Der zweite Problem-Bereich liegt bei der Behandlung und Verarbeitung der Resultate aus den Penetrations-Tests. Die PCI-Vorgaben verlangen, dass Firmen aufgrund der Ergebnisse entsprechend handeln. Das gilt vor allem dann, wenn die Tests ausnutzbare Schwachstellen offen gelegt haben. In  so einem Fall muss das Unternehmen die Missstände selbstverständlich korrigieren und die entsprechenden Tests wiederholen. Der Zyklus für den Penetrations-Test ist so lange nicht vollendet, bis die Security-Lücken ausgebessert sind und ein weiterer Test eine weiße Weste bescheinigt. Im Verizon PCI Compliance Report ist zu lesen, dass lediglich 44 Prozent der Firmen diese Auflage zufriedenstellend erfüllen.

Entsprechende Probleme mit Penetrations-Tests können dabei ganz einfach umgangen werden, indem Sie diese unter strengster Einhaltung der PCI-Auflagen durchführen. Für eine Überprüfung müssen Sie auch nicht zwingend einen externen QSA oder ASV anheuern. Wenn Sie stattdessen auf interne Ressourcen setzen, dann stellen Sie zwei Dinge sicher und können diese im Ernstfall auch beweisen: Die internen Mitarbeiter müssen sowohl ausreichend qualifiziert als auch personell unabhängig von dem Team sein, das die Systeme betreut. Das wäre eine ausgezeichnete Rolle für ein internes Audit-Team, sofern Sie dafür qualifizierte Mitarbeiter haben.

PCI DSS schreibt auch das Suchen nach Sicherheitslücken vor

Das Scannen nach Sicherheitslücken ist ein weiterer Stolperstein bei der Zertifizierung nach PCI DSS. Zum Beispiel hat weniger als die Hälfte der Organisationen laut Untersuchung interne Security-Scans durchgeführt oder externe Scans von einem anerkannten Anbieter durchführen lassen. Beides wäre laut PCI-Vorgaben notwendig. Diese Scans müssen innerhalb der Umgebung des Kartenausgebers ausgeführt werden und können von einem externen Gutachter oder einem internen Mitarbeiter durchgeführt werden, der nicht für die Wartung der zu scannenden Systeme zuständig ist.

Für die Speicherung der Scan-Tests gilt: Heben Sie alles auf, was klipp und klar demonstriert, dass Sie alle drei Monate einen sauberen Scan erhalten haben. Es reicht nicht aus, nur die neuesten Scan-Resultate vorzuhalten. Das beweist lediglich, dass Sie zu einem gewissen Zeitpunkt compliant waren und nicht, dass Sie sich jahrein jahraus an die Scan-Vorschrift halten. Die Scan-Resultate dürfen außerdem keinen Makel aufweisen und müssen vierteljährlich durchgeführt werden. Entdecken Sie dabei eine kritische Security-Lücke, müssen Sie diese sobald wie möglich ausmerzen. Danach führen Sie weitere Scans durch, bis alle Probleme erfolgreich aus der Welt geschaffen sind.

Der Verizon-Bericht erläutert keine speziellen Details, warum Unternehmen diesen Test nicht bestehen. Ein möglicher Grund könnte aber zum Beispiel ein nicht sauberes Aufbewahren der notwendigen Aufzeichnungen sein, vielleicht führen aber auch Mitarbeiter die Scans aus, die auch für die Wartung der Systeme zuständig sind. Oder vielleicht werden nach der Behebung von Problemen einfach keine weiteren Scans mehr durchgeführt. Unternehmen sollten so schnell wie möglich das Scanning-Programm überprüfen und die entsprechende Dokumentation für interne und externe Scans auf Vordermann bringen.

Auch wenn es diese Problemzonen gibt: PCI-Compliance konnte in den letzten Jahren große Erfolge verbuchen. Das positive Highlight aus Verizons Untersuchung ist, dass das durchschnittliche Compliance-Niveau für Firmen von 52,9 Prozent im Jahre 2012 auf 82,2 Prozent 2013 gestiegen ist. Ein großer Schritt in die richtige Richtung. Es ist ein gutes Zeichen, dass die PCI-DSS-Compliance zu einer Routine-Aufgabe wird. Das Sicherheitsbewusstsein der Unternehmen wird größer, womit sich gleichzeitig die Wahrscheinlichkeit eines kostspieligen Sicherheitsvorfalls bei den Karten-Daten verringert.

Über den Autor:

Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity.com, wo er auch als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close