PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte das PCI Security Standards Council ein Dokument zu bewährten Methoden gemäß DSS 3.0, das Hintergrundinformationen zu den zwölf Anforderungen und ihren fast 300 Unterpunkten enthält. Es lohnt sich, einen Blick hineinzuwerfen. Die Kernaussage: Die Einhaltung der PCI-Regeln für den Zahlungsverkehr ist kein Projekt, das man einmal jährlich nur für die offiziellen Bewertungen durchführt.

Die Einhaltung des DSS sollte ein kontinuierlicher Prozess sein: Die Prüfungen sollten zum Tagesgeschäft der IT gehören und überwacht werden.

Darauf komme ich gleich noch einmal zurück.

Gefahr im Verzug

Einer der Kritikpunkte am DSS lautet, dass reale Bedrohungen nicht berücksichtigt würden. Das ist nicht komplett aus der Luft gegriffen, obwohl die meistverbreiteten Bedrohungen zumindest seit Version 2.0 Eingang in die Regeln gefunden haben. Es handelt sich um die Injection-Angriffe, von denen wir bereits berichtet haben.

In Anforderung 6 zur Entwicklung und Wartung sicherer Systeme und Anwendungen gibt es Unterpunkte zu SQL‑ und OS‑Injektion (6.5.1), Pufferüberläufen (6.5.2), Site-übergreifendem Scripting (6.5.7) und unsicheren kryptographischen Speichern (6.5.3) – man denke nur an „Pass the Hash“-Angriffe. Soweit ich sehe, sind alle wesentlichen Problemzonen abgedeckt – mit einer Ausnahme, auf die ich weiter unten näher eingehe.

Das eigentliche Problem ist, dass diese Prüfungen normalerweise nicht regelmäßig als Teil des Tagesgeschäfts durchgeführt werden und dass der offizielle Standard keine klaren Angaben zu angemessenen Stichprobengrößen für die Prüfungen enthält.

Zwar gehören automatisierte Schwachstellenprüfungen, die alle Anschlüsse, Dateien, URLs usw. abdecken, zu den Best Practices der PCI-Methoden, doch besonders in großen Unternehmen ist das vielfach nicht realistisch umsetzbar. Die Unternehmen müssen also bei ihren Prüfungen selektiver vorgehen.

Was aber ist eine angemessene Stichprobengröße, wenn man nicht alles prüfen kann?

Im Dokument zu den bewährten PCI-Methoden wird diese Frage genauer untersucht. Die Antwort: „Die Stichproben müssen groß genug sein, um sicherzustellen, dass die Prüfungen erwartungsgemäß durchgeführt werden.“ So weit, so gut.

Als weiteres Kriterium für die Stichprobengröße wird das Risikoprofil des jeweiligen Unternehmens genannt.

Gefährdete Inhalte

Mit anderen Worten: Unternehmen sollten stets darüber informiert sein, wo sich die Daten der Karteninhaber befinden, das Datenvolumen nach Möglichkeit minimieren und sicherstellen, dass die Daten geschützt sind. Auf Basis dieser Informationen sollte die IT entscheiden, welche Anwendungen und Software vorrangig zu prüfen sind.

Nicht nur sollten die Prüfungen häufiger durchgeführt werden; auch ein aktuelles Bestandsverzeichnis potenziell gefährdeter Daten und zugriffsberechtigter Nutzer ist laut PCI Security Standards Council überaus wichtig.

Die Leser unseres Blogs werden in dieser Einschätzung das Varonis-Mantra „Kenne deine Daten“ wiederfinden. Ein neuer Angriffsvektor, der im PCI-DSS (noch) nicht direkt erwähnt wird, macht das noch bedeutsamer. Die Rede ist hier von Phishing bzw. Social Engineering, also von Methoden, die bei mindestens einem der Sicherheitsvorfälle im Einzelhandel im vergangenen Jahr zum Einsatz gekommen sind.

Im Gegensatz zu herkömmlichen Injection-Angriffen auf Web‑ und andere Back-End-Server können Hacker durch Phishing potenziell auf jeden Desktop‑PC und jedes Notebook zugreifen.

Tatsächlich ist jeder Mitarbeiter gefährdet, der E‑Mails erhält, ganz gleich, ob Praktikant oder Geschäftsführer. Phishing erhöht offensichtlich die Chancen von Hackern, ins System einzudringen, und damit auch die Notwendigkeit, immer den Überblick über die eigenen Daten zu behalten und nicht nur einmal jährlich.

Nützliche Ressourcen für Penetrationstests

Fünf kostenlose Tools für Penetrationstests

Einführung in Penetrationstests

Prüfungsleitfaden des OWASP

Anatomy of a Phish – auf Englisch

The post PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“ appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

best-practices-für-die-berechtigungserteilung-unter-sharepoint
Best Practices für die Berechtigungserteilung unter SharePoint
SharePoint ist die Umgebung von Microsoft für Unternehmen zur gemeinsamen Nutzung von Inhalten: Dokumenten, Präsentationen, Spreadsheets, Notizen, Bilder und mehr. SharePoint hat zwar zahlreiche Vorteile gegenüber einem unaufbereiteten Dateisystem im...
big-data-management-auf-nas-systemen-leicht-gemacht
Big-Data-Management auf NAS-Systemen leicht gemacht
von Brian Vecci Sie haben Daten? Sie haben eine Menge davon? Die meisten Organisationen mit NAS-Systemen haben Schwierigkeiten damit, Berechtigungen zu verwalten, Nutzungsmuster zu erkennen, Data Owner ausfindig zu machen...
spickzettel-für-die-konfiguration-von-sharepoint-berechtigungen
Spickzettel für die Konfiguration von SharePoint-Berechtigungen
von Brian Vecci In der IT-Sicherheitswelt ist Komplexität gefährlich. Je schwieriger es ist, etwas zu verstehen, desto schwieriger ist es auch, es zu schützen. SharePoint fällt genau in diese Kategorie....
warum-sharepoint-berechtigungen-schwierigkeiten-verursachen
Warum SharePoint-Berechtigungen Schwierigkeiten verursachen
von Brian Vecci SharePoint-Berechtigungen können ein Albtraum sein. Bei Varonis haben wir häufig die Gelegenheit, SharePoint-Administratoren zu treffen – und die meisten verzweifeln an der Verwaltung der Nutzerberechtigungen. SharePoint ist...