PCI-Penetrationstests und Schwachstellenprüfungen: Da ist noch Luft nach oben

Kritiker des PCI Data Security Standard (DSS) bemängeln, dass die Regeln für den Zahlungsverkehr nicht mit den sich wandelnden Bedrohungen Schritt gehalten haben. Wie wir alle wissen, haben sich Phishing, Advanced Persistent Threats (APTs) und PoS-Malware im Einzelhandel als äußerst erfolgreiche Angriffsmethoden erwiesen. Der PCI-Report von Verizon, den ich in meinem letzten Blog-Eintrag schon erwähnt habe, enthält aufschlussreiche Hinweise auf mögliche Gründe: Die Bewertung von über 4.000 vorwiegend großen, internationalen Unternehmen zeigt, dass diese selbst bei den DSS-Minimalanforderungen bei derartigen Bedrohungen nicht besonders gut abschneiden.

Verizon erwähnt, dass eine spezielle Pentest-Anforderung des DSS Regeln für Schwachstellenprüfungen von Netzwerk-Ports und umfassendere Prüfungen in Bezug auf weitere Sicherheitslücken vorsieht. Diese Prüfungen auf reale Bedrohungen sind Bestandteil von DSS 2.0, Anforderung 11, laut der die Sicherheitssysteme und Sicherheitsprozesse regelmäßig zu prüfen sind.

Und jetzt kommt die wirklich schlechte Nachricht: Nur 40 % der von Verizon befragten Unternehmen erfüllten alle Unterpunkte von Anforderung 11.

PCI-Regeln für den Zahlungsverkehr stiften Verwirrung

Zunächst würde ich gern die in Anforderung 11 verwendeten Begriffe klären, da dieser Abschnitt des DSS nicht ganz eindeutig ist. Die vierteljährlich vorzunehmenden Schwachstellenprüfungen (DSS 11.2) dienen dazu, Sicherheitslücken in einem IP‑Adressbereich zu erkennen (im Grunde handelt es sich um eine Netzwerkprüfung), welche normalerweise mithilfe einer Software automatisiert durchgeführt wird. Interne Prüfungen können von IT‑Mitarbeitern vorgenommen werden, für externe muss das Unternehmen einen zugelassenen Anbieter aus der PCI-Liste der Approved Scanning Vendors (ASVs) auswählen.

Die Schwachstellenprüfungen sind ihrerseits Bestandteil einer umfassenderen Bewertung der Sicherheitsrisiken (in Bezug auf Daten), die mithilfe jährlicher Penetrationstests ermittelt werden sollen (DSS 11.3). Die Verfasser des Regelwerks betrachten „Penetrationstests“ übrigens im Unterschied zu Anschlussprüfungen als einen eher manuellen Prozess, der direkt unter Aufsicht eines Sicherheitsexperten abläuft.

Es lässt sich trefflich darüber streiten – und Sicherheitsexperten haben das auch getan –, wo die PCI-Messlatte für diese Kontrollen anzusetzen ist. Beachten Sie aber, dass dies die beiden einzigen Schutzmechanismen zur Erkennung aktueller Bedrohungen sind.

Inwieweit erfüllt nun die Geschäftswelt die ausführlicheren Prüfanforderungen dieser Unterpunkte?

Schlechte Schüler…

Laut Verizon-Report erfüllt nur ein verhältnismäßig geringer Prozentsatz der Unternehmen die Anforderungen für interne (11.2.1) und externe Schwachstellenprüfungen (11.2.2): Nur 45 % bestanden die Prüfung.

Die Ergebnisse sind nicht gerade ermutigend. Verizon führt als einen der Gründe für das schlechte Abschneiden an, dass die IT‑Abteilungen möglicherweise noch nicht bereit sind, regelmäßigere Schwachstellenprüfungen durchzuführen; momentan konzentriert sich die Branche auf jährliche Prüfungen.

Um die Penetrationstests, die am schlechtesten abgeschnitten haben, steht es entsprechend noch schlimmer. Nur 39 % beziehungsweise 43 % der Unternehmen untersuchen die Ergebnisse der Penetrationstests (11.3a) und reagieren entsprechend (11.3b).

Man muss sich vor Augen halten, was das bedeutet: Ein beachtlicher Teil der von Verizon befragten Unternehmen ignoriert die Ergebnisse ihrer Penetrationstester.

Bewerten relativ zur Leistung: Je schlechter der Beste, desto besser der Rest

Wie funktioniert nun aber dieses PCI-Spiel? Wenn man von den Ergebnissen des Reports ausgeht, dürfte die Mehrheit der Unternehmen niemals eine Zertifizierung erhalten. Und doch bestehen zahlreiche Unternehmen – insbesondere solche, die bereits Opfer von Hackern geworden sind – die Prüfungen.

Man muss Verizon zugutehalten, dass die traurige Wahrheit über die Einhaltung der PCI-Regeln für den Zahlungsverkehr durchaus zur Sprache kommt:

„Unternehmen, denen es lediglich darauf ankommt, überhaupt ‚compliant’ zu sein, werden dazu verleitet, die Prüfungen so kostengünstig, schnell und sogar oberflächlich durchzuführen wie möglich, um das Ganze einfach abhaken zu können.“

Ein PCI-Experte bestätigte uns vor einigen Monaten im Gespräch den desolaten Zustand der PCI-DSS-Prüfungen: Viel zu viele der unterdurchschnittlich qualifizierten Sicherheitsgutachter (Qualified Security Assessors, QSA), sind bereit, „einfach ein Häkchen zu setzen“.

Andererseits haben die Verfasser der Regeln erkannt, wie wichtig Penetrationstests sind, um genau die Art von Angriffen zu vermeiden, die im Einzelhandel zu massiven Sicherheitsproblemen geführt haben. Penetrationstester können sich zumindest theoretisch über die aktuellen Bedrohungen auf dem Laufenden halten und die Sicherheitslücken aufdecken, die Backoff– Malware oder anderen RAM-Scrapern das Sammeln von Kreditkartendaten ermöglichen.

Im PCI-DSS 3.0 (gültig ab Januar 2015) werden die DSS-Anforderungen 11.3 verschärft. Die Prüfungen sollen künftig auf der Grundlage „branchenweit akzeptierter“ Verfahren wie NIST SP 800-115 stattfinden. Eine Liste zugelassener Penetrationstester wäre besser gewesen, doch vielleicht – hoffentlich – kommt das ja noch.

Der allgemeine Trend zeichnet sich beim DSS jedenfalls deutlich ab: Die PCI-Verantwortlichen wollen die QSA-Messlatte höher legen. Penetrationstests sollen letztendlich zu einer aussagekräftigeren Messgröße für die Einhaltung von Sicherheitsvorschriften in Unternehmen werden.

The post PCI-Penetrationstests und Schwachstellenprüfungen: Da ist noch Luft nach oben appeared first on Varonis Deutsch.