Um ein Gefühl für die Entwicklung des Payment Card Industry Data Security Standard (PCI-DSS) zu bekommen, reicht es nicht aus, nur die Begrifflichkeiten der Anforderungen zu betrachten. Im August veröffentlichte das PCI Security Standards Council ein Dokument zu bewährten Methoden gemäß DSS 3.0, das Hintergrundinformationen zu den zwölf Anforderungen und ihren fast 300 Unterpunkten enthält. Es lohnt sich, einen Blick hineinzuwerfen. Die Kernaussage: Die Einhaltung der PCI-Regeln für den Zahlungsverkehr ist kein Projekt, das man einmal jährlich nur für die offiziellen Bewertungen durchführt.
Die Einhaltung des DSS sollte ein kontinuierlicher Prozess sein: Die Prüfungen sollten zum Tagesgeschäft der IT gehören und überwacht werden.
Darauf komme ich gleich noch einmal zurück.
Gefahr im Verzug
Einer der Kritikpunkte am DSS lautet, dass reale Bedrohungen nicht berücksichtigt würden. Das ist nicht komplett aus der Luft gegriffen, obwohl die meistverbreiteten Bedrohungen zumindest seit Version 2.0 Eingang in die Regeln gefunden haben. Es handelt sich um die Injection-Angriffe, von denen wir bereits berichtet haben.
In Anforderung 6 zur Entwicklung und Wartung sicherer Systeme und Anwendungen gibt es Unterpunkte zu SQL‑ und OS‑Injektion (6.5.1), Pufferüberläufen (6.5.2), Site-übergreifendem Scripting (6.5.7) und unsicheren kryptographischen Speichern (6.5.3) – man denke nur an „Pass the Hash“-Angriffe. Soweit ich sehe, sind alle wesentlichen Problemzonen abgedeckt – mit einer Ausnahme, auf die ich weiter unten näher eingehe.
Das eigentliche Problem ist, dass diese Prüfungen normalerweise nicht regelmäßig als Teil des Tagesgeschäfts durchgeführt werden und dass der offizielle Standard keine klaren Angaben zu angemessenen Stichprobengrößen für die Prüfungen enthält.
Zwar gehören automatisierte Schwachstellenprüfungen, die alle Anschlüsse, Dateien, URLs usw. abdecken, zu den Best Practices der PCI-Methoden, doch besonders in großen Unternehmen ist das vielfach nicht realistisch umsetzbar. Die Unternehmen müssen also bei ihren Prüfungen selektiver vorgehen.
Was aber ist eine angemessene Stichprobengröße, wenn man nicht alles prüfen kann?
Im Dokument zu den bewährten PCI-Methoden wird diese Frage genauer untersucht. Die Antwort: „Die Stichproben müssen groß genug sein, um sicherzustellen, dass die Prüfungen erwartungsgemäß durchgeführt werden.“ So weit, so gut.
Als weiteres Kriterium für die Stichprobengröße wird das Risikoprofil des jeweiligen Unternehmens genannt.
Gefährdete Inhalte
Mit anderen Worten: Unternehmen sollten stets darüber informiert sein, wo sich die Daten der Karteninhaber befinden, das Datenvolumen nach Möglichkeit minimieren und sicherstellen, dass die Daten geschützt sind. Auf Basis dieser Informationen sollte die IT entscheiden, welche Anwendungen und Software vorrangig zu prüfen sind.
Nicht nur sollten die Prüfungen häufiger durchgeführt werden; auch ein aktuelles Bestandsverzeichnis potenziell gefährdeter Daten und zugriffsberechtigter Nutzer ist laut PCI Security Standards Council überaus wichtig.
Die Leser unseres Blogs werden in dieser Einschätzung das Varonis-Mantra „Kenne deine Daten“ wiederfinden. Ein neuer Angriffsvektor, der im PCI-DSS (noch) nicht direkt erwähnt wird, macht das noch bedeutsamer. Die Rede ist hier von Phishing bzw. Social Engineering, also von Methoden, die bei mindestens einem der Sicherheitsvorfälle im Einzelhandel im vergangenen Jahr zum Einsatz gekommen sind.
Im Gegensatz zu herkömmlichen Injection-Angriffen auf Web‑ und andere Back-End-Server können Hacker durch Phishing potenziell auf jeden Desktop‑PC und jedes Notebook zugreifen.
Tatsächlich ist jeder Mitarbeiter gefährdet, der E‑Mails erhält, ganz gleich, ob Praktikant oder Geschäftsführer. Phishing erhöht offensichtlich die Chancen von Hackern, ins System einzudringen, und damit auch die Notwendigkeit, immer den Überblick über die eigenen Daten zu behalten und nicht nur einmal jährlich.
Nützliche Ressourcen für Penetrationstests
Fünf kostenlose Tools für Penetrationstests
Einführung in Penetrationstests
Anatomy of a Phish – auf Englisch
The post PCI-DSS 3.0 und künftige Versionen: Fokus „Prüfungen“ appeared first on Varonis Deutsch.