PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte das PCI Security Standards Council ein Dokument zu bewährten Methoden gemäß DSS 3.0, das Hintergrundinformationen zu den zwölf Anforderungen und ihren fast 300 Unterpunkten enthält. Es lohnt sich, einen Blick hineinzuwerfen. Die Kernaussage: Die Einhaltung der PCI-Regeln für den Zahlungsverkehr ist kein Projekt, das man einmal jährlich nur für die offiziellen Bewertungen durchführt.

Die Einhaltung des DSS sollte ein kontinuierlicher Prozess sein: Die Prüfungen sollten zum Tagesgeschäft der IT gehören und überwacht werden.

Darauf komme ich gleich noch einmal zurück.

Gefahr im Verzug

Einer der Kritikpunkte am DSS lautet, dass reale Bedrohungen nicht berücksichtigt würden. Das ist nicht komplett aus der Luft gegriffen, obwohl die meistverbreiteten Bedrohungen zumindest seit Version 2.0 Eingang in die Regeln gefunden haben. Es handelt sich um die Injection-Angriffe, von denen wir bereits berichtet haben.

In Anforderung 6 zur Entwicklung und Wartung sicherer Systeme und Anwendungen gibt es Unterpunkte zu SQL‑ und OS‑Injektion (6.5.1), Pufferüberläufen (6.5.2), Site-übergreifendem Scripting (6.5.7) und unsicheren kryptographischen Speichern (6.5.3) – man denke nur an „Pass the Hash“-Angriffe. Soweit ich sehe, sind alle wesentlichen Problemzonen abgedeckt – mit einer Ausnahme, auf die ich weiter unten näher eingehe.

Das eigentliche Problem ist, dass diese Prüfungen normalerweise nicht regelmäßig als Teil des Tagesgeschäfts durchgeführt werden und dass der offizielle Standard keine klaren Angaben zu angemessenen Stichprobengrößen für die Prüfungen enthält.

Zwar gehören automatisierte Schwachstellenprüfungen, die alle Anschlüsse, Dateien, URLs usw. abdecken, zu den Best Practices der PCI-Methoden, doch besonders in großen Unternehmen ist das vielfach nicht realistisch umsetzbar. Die Unternehmen müssen also bei ihren Prüfungen selektiver vorgehen.

Was aber ist eine angemessene Stichprobengröße, wenn man nicht alles prüfen kann?

Im Dokument zu den bewährten PCI-Methoden wird diese Frage genauer untersucht. Die Antwort: „Die Stichproben müssen groß genug sein, um sicherzustellen, dass die Prüfungen erwartungsgemäß durchgeführt werden.“ So weit, so gut.

Als weiteres Kriterium für die Stichprobengröße wird das Risikoprofil des jeweiligen Unternehmens genannt.

Gefährdete Inhalte

Mit anderen Worten: Unternehmen sollten stets darüber informiert sein, wo sich die Daten der Karteninhaber befinden, das Datenvolumen nach Möglichkeit minimieren und sicherstellen, dass die Daten geschützt sind. Auf Basis dieser Informationen sollte die IT entscheiden, welche Anwendungen und Software vorrangig zu prüfen sind.

Nicht nur sollten die Prüfungen häufiger durchgeführt werden; auch ein aktuelles Bestandsverzeichnis potenziell gefährdeter Daten und zugriffsberechtigter Nutzer ist laut PCI Security Standards Council überaus wichtig.

Die Leser unseres Blogs werden in dieser Einschätzung das Varonis-Mantra „Kenne deine Daten“ wiederfinden. Ein neuer Angriffsvektor, der im PCI-DSS (noch) nicht direkt erwähnt wird, macht das noch bedeutsamer. Die Rede ist hier von Phishing bzw. Social Engineering, also von Methoden, die bei mindestens einem der Sicherheitsvorfälle im Einzelhandel im vergangenen Jahr zum Einsatz gekommen sind.

Im Gegensatz zu herkömmlichen Injection-Angriffen auf Web‑ und andere Back-End-Server können Hacker durch Phishing potenziell auf jeden Desktop‑PC und jedes Notebook zugreifen.

Tatsächlich ist jeder Mitarbeiter gefährdet, der E‑Mails erhält, ganz gleich, ob Praktikant oder Geschäftsführer. Phishing erhöht offensichtlich die Chancen von Hackern, ins System einzudringen, und damit auch die Notwendigkeit, immer den Überblick über die eigenen Daten zu behalten und nicht nur einmal jährlich.

Nützliche Ressourcen für Penetrationstests

Fünf kostenlose Tools für Penetrationstests

Einführung in Penetrationstests

Prüfungsleitfaden des OWASP

Anatomy of a Phish – auf Englisch

The post PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“ appeared first on Varonis Deutsch.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

pci-penetrationstests-und-schwachstellenprüfungen:-da-ist-noch-luft-nach-oben
PCI-Penetrationstests und Schwachstellenprüfungen: Da ist noch Luft nach oben
Kritiker des PCI Data Security Standard (DSS) bemängeln, dass die Regeln für den Zahlungsverkehr nicht mit den sich wandelnden Bedrohungen Schritt gehalten haben. Wie wir alle wissen, haben sich Phishing,...
ssl-und-tls-1.0-reichen-nicht-mehr-für-pci-compliance
SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance
Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf...
das-ende-des-safe-harbor-abkommens
Das Ende des Safe-Harbor-Abkommens
Haben Sie schon einmal vom Safe-Harbor-Abkommen zwischen der EU und den USA gehört? Ich meine, bevor Sie die ganzen beängstigenden Schlagzeilen gelesen haben... Das dachte ich mir... Das hier ist…
gedanken-über-die-nis-richtlinie-der-eu-nach-davos
Gedanken über die NIS-Richtlinie der EU nach Davos
Ich hatte mir fest vorgenommen, den 80-seitigen Bericht des Weltwirtschaftsforums (WWF) über die globalen Risiken mit denen die Menschheit heute konfrontiert ist, durchzulesen. Das sind dieselben Leute, die alljährlich für...