Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte...
Michael Buckbee
2 minute gelesen
Veröffentlicht 15. Juli 2016
Letzte aktualisierung 28. Oktober 2021

Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte das PCI Security Standards Council ein Dokument zu bewährten Methoden gemäß DSS 3.0, das Hintergrundinformationen zu den zwölf Anforderungen und ihren fast 300 Unterpunkten enthält. Es lohnt sich, einen Blick hineinzuwerfen. Die Kernaussage: Die Einhaltung der PCI-Regeln für den Zahlungsverkehr ist kein Projekt, das man einmal jährlich nur für die offiziellen Bewertungen durchführt.

Die Einhaltung des DSS sollte ein kontinuierlicher Prozess sein: Die Prüfungen sollten zum Tagesgeschäft der IT gehören und überwacht werden.

Darauf komme ich gleich noch einmal zurück.

Gefahr im Verzug

Einer der Kritikpunkte am DSS lautet, dass reale Bedrohungen nicht berücksichtigt würden. Das ist nicht komplett aus der Luft gegriffen, obwohl die meistverbreiteten Bedrohungen zumindest seit Version 2.0 Eingang in die Regeln gefunden haben. Es handelt sich um die Injection-Angriffe, von denen wir bereits berichtet haben.

In Anforderung 6 zur Entwicklung und Wartung sicherer Systeme und Anwendungen gibt es Unterpunkte zu SQL‑ und OS‑Injektion (6.5.1), Pufferüberläufen (6.5.2), Site-übergreifendem Scripting (6.5.7) und unsicheren kryptographischen Speichern (6.5.3) – man denke nur an „Pass the Hash“-Angriffe. Soweit ich sehe, sind alle wesentlichen Problemzonen abgedeckt – mit einer Ausnahme, auf die ich weiter unten näher eingehe.

Das eigentliche Problem ist, dass diese Prüfungen normalerweise nicht regelmäßig als Teil des Tagesgeschäfts durchgeführt werden und dass der offizielle Standard keine klaren Angaben zu angemessenen Stichprobengrößen für die Prüfungen enthält.

Zwar gehören automatisierte Schwachstellenprüfungen, die alle Anschlüsse, Dateien, URLs usw. abdecken, zu den Best Practices der PCI-Methoden, doch besonders in großen Unternehmen ist das vielfach nicht realistisch umsetzbar. Die Unternehmen müssen also bei ihren Prüfungen selektiver vorgehen.

Was aber ist eine angemessene Stichprobengröße, wenn man nicht alles prüfen kann?

Im Dokument zu den bewährten PCI-Methoden wird diese Frage genauer untersucht. Die Antwort: „Die Stichproben müssen groß genug sein, um sicherzustellen, dass die Prüfungen erwartungsgemäß durchgeführt werden.“ So weit, so gut.

Als weiteres Kriterium für die Stichprobengröße wird das Risikoprofil des jeweiligen Unternehmens genannt.

Gefährdete Inhalte

Mit anderen Worten: Unternehmen sollten stets darüber informiert sein, wo sich die Daten der Karteninhaber befinden, das Datenvolumen nach Möglichkeit minimieren und sicherstellen, dass die Daten geschützt sind. Auf Basis dieser Informationen sollte die IT entscheiden, welche Anwendungen und Software vorrangig zu prüfen sind.

Nicht nur sollten die Prüfungen häufiger durchgeführt werden; auch ein aktuelles Bestandsverzeichnis potenziell gefährdeter Daten und zugriffsberechtigter Nutzer ist laut PCI Security Standards Council überaus wichtig.

Die Leser unseres Blogs werden in dieser Einschätzung das Varonis-Mantra „Kenne deine Daten“ wiederfinden. Ein neuer Angriffsvektor, der im PCI-DSS (noch) nicht direkt erwähnt wird, macht das noch bedeutsamer. Die Rede ist hier von Phishing bzw. Social Engineering, also von Methoden, die bei mindestens einem der Sicherheitsvorfälle im Einzelhandel im vergangenen Jahr zum Einsatz gekommen sind.

Im Gegensatz zu herkömmlichen Injection-Angriffen auf Web‑ und andere Back-End-Server können Hacker durch Phishing potenziell auf jeden Desktop‑PC und jedes Notebook zugreifen.

Tatsächlich ist jeder Mitarbeiter gefährdet, der E‑Mails erhält, ganz gleich, ob Praktikant oder Geschäftsführer. Phishing erhöht offensichtlich die Chancen von Hackern, ins System einzudringen, und damit auch die Notwendigkeit, immer den Überblick über die eigenen Daten zu behalten und nicht nur einmal jährlich.

Nützliche Ressourcen für Penetrationstests

Fünf kostenlose Tools für Penetrationstests

Einführung in Penetrationstests

Prüfungsleitfaden des OWASP

Anatomy of a Phish – auf Englisch

The post PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“ appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?