PCI-DSS UND ZWEI-FAKTOR-AUTHENTIFIZIERUNG: DIE FAKTEN

Die schwerwiegenden Sicherheitsvorfälle des letzten Jahres wirken noch nach, und es gibt wenig neue Erkenntnisse. Noch immer stehen wir vor einer Menge Rätseln. Dass Hacker beim Angriff auf die Einzelhandelskette...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Die schwerwiegenden Sicherheitsvorfälle des letzten Jahres wirken noch nach, und es gibt wenig neue Erkenntnisse. Noch immer stehen wir vor einer Menge Rätseln. Dass Hacker beim Angriff auf die Einzelhandelskette Target derart problemlos auf das internationale Netzwerk zugreifen konnten indem sie einfach ein Passwort gestohlen haben, stellt selbst erfahrende Sicherheitsbeobachter vor eine Menge Fragen. Target hat sich an den PCI-Standard gehalten. Gab es nicht irgendwo eine Regelung, für eine Zwei-Faktor-Authentifizierung (2FA)?

Punkt 8.3 des Payment Card Industry Data Security Standard (PCI-DSS) sieht die Authentifizierung anhand zweier Faktoren vor: beim Remote-Zugriff durch Mitarbeiter, Administratoren und Dritte – so lautet die Version 2.0, die zum Zeitpunkt der Angriffe im vergangenen Jahr aktuell war.

Was hatte es damit auf sich? Ich beschloss, ein paar PCI-Experten aus meinem Bekanntenkreis anzurufen. Sie bestätigten unisono, dass die 2FA in Version 2.0 zweifelsohne bereits vorgesehen war und die Anforderungen in der neuen Version 3.0 nur leicht abgewandelt worden sind.

Eines wurde mir dabei sehr schnell klar: Groß- und Einzelhändler, die in Bezug auf die technischen Standards der Kreditkartenbranche weniger versiert sind, brauchen in der Praxis eine Entscheidungshilfe, um zu erkennen, welche Teile eines Standards mit über 200 verschiedenen Anforderungen wichtig und welche weniger wichtig sind.

Es hilft, sich den DSS wie den Wissensstand vorzustellen, den ein Lehrer idealerweise voraussetzen kann, wobei das tatsächlich in der Prüfung abgefragte Wissen in der Regel weniger umfangreich ist. Unabhängige Unternehmen führen als akkreditierte Sicherheitsgutachter (Qualified Security Assessors, QSA) PCI-Audits durch, bei denen sie die Einhaltung anhand der im Standard vorgesehenen Prüfverfahren überprüfen.

Um die Anforderung der Zwei-Faktor-Authentifizierung zu erfüllen, muss ein QSA (nach DSS 2.0) lediglich beobachten, wie ein Mitarbeiter (z. B. ein Administrator) eine Remote-Verbindung zum Netzwerk herstellt, und überprüfen, ob hierfür zwei der drei Authentifizierungsmethoden erforderlich sind.

Sie haben ganz richtig gelesen: ein Mitarbeiter. Bei solchen Rückmeldungen des „Lehrers“ ist es kein Wunder, dass die Schüler in Gestalt der jeweiligen Groß- oder Einzelhändler verwirrt sind. Selbst zum Zeitpunkt des Angriffs hätte Target eine Überprüfung mit diesem Prüfverfahren höchstwahrscheinlich noch immer bestanden.

Glücklicherweise wurde die Anforderungen für eine derartige Überprüfung in der Version 3.0 verschärft. Der QSA muss jetzt die Konfigurationen der Server für den Remote-Zugriff untersuchen. Und dazu gehört mutmaßlich auch die Untersuchung von Active-Directory-Gruppenrichtlinien, um festzustellen, ob die Authentifizierung aktiviert ist. Zudem wurde das Prüfverfahren um eine stichprobenartige Kontrolle bei den Mitarbeitern erweitert, die eine Remote-Verbindung zum Netzwerk herstellen. Diese Methode ist deutlich besser geeignet, um die „Schüler“ zu prüfen.

Die Prüfungen sind unleugbar wichtig. Es hat jedoch den Anschein, als würden die Sicherheitsverletzungen im Einzelhandel noch wesentlich mehr über die Sicherheitspolitik der Unternehmen aussagen. Mit anderen Worten: Ideale Sicherheitsbedingungen, insbesondere Authentifizierung, Autorisierung, Audits und Warnsysteme, müssen fester Bestandteil des normalen Arbeitsalltags sein. Nicht etwas, das man nur einführt, um eine Prüfung zu bestehen. Denn die Folgen eines Datendiebstahls sind weit schlimmer als alle Strafen, die die Nichteinhaltung eines Standards nach sich ziehen könnte – fragen Sie den CEO von Target!

 

The post PCI-DSS UND ZWEI-FAKTOR-AUTHENTIFIZIERUNG: DIE FAKTEN appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

der-andere-sicherheitsaspekt-der-nsa-affäre:-zwei-faktor-authentifizierung
Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung
Wir haben bereits einen Blog-Beitrag dazu veröffentlicht, wie es Edward Snowden gelungen ist, Lücken im porösen Sicherheitssystem der NSA zu nutzen. Er trickste das System aus, indem er entweder Anmeldeinformationen...
bei-der-datensicherheit-sind-sie-nur-so-stark-wie-ihr-schwächstes-glied
Bei der Datensicherheit sind Sie nur so stark wie Ihr schwächstes Glied
von Rob Sobers Reporter: „Warum rauben Sie Banken aus?“ Willie Sutton (Bankräuber): „Weil dort das Geld liegt.“ Das ist Sutton’s Law. Es scheint trivial zu sein, doch es trifft genau...
was-uns-magic-kingdom-in-sachen-authentifizierung-lehrt-–-kerberos-aus-der-nähe-betrachtet,-teil-ii
Was uns Magic Kingdom in Sachen Authentifizierung lehrt – Kerberos aus der Nähe betrachtet, Teil II
Schon im letzten Blogpost ging es darum, Kerberos anhand von Parallelen des Authentifizierungsprozesses im Magic Kingdom zu erläutern. Natürlich ist dieser Vergleich nicht 1:1 übertragbar, aber er eignet sich wesentlich...
der-sony-hack-aus-der-sicht-von-varonis
Der Sony-Hack aus der Sicht von Varonis
Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut...