News

Wichtige Änderungen bei PCI DSS 3.0: Services, Malware, Sabotage, Authentifizierung

Eric B. Parizo

PCI DSS 3.0 und der verwandte Payment Application Data Security Standard (PA-DSS), gerichtet an Anbieter von Bezahlanwendungen und deren Entwickler, werden am 7. November 2013 zum Abschluss gebracht. Das PCI Security Standards Council (PCI

    Kostenlose Registrierung notwendig

    • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

      Mit dem Absenden bestätige ich, dass ich die Bedingungen und die Einverständniserklärung gelesen habe und diese akzeptiere.

SSC) informiert vorab über die wichtigsten Änderungen. Die Neuerungen bei PCI DSS 3.0 in Sachen Service-Anbieter, Passwort-Management und Vulnerability-Assessment haben wir im ersten Artikelteil behandelt.

PCI DSS 3.0: Definition der genutzten Services

Bestimmte Teile der vorgeschlagenen Änderungen in PCI DSS 3.0 sind darauf ausgelegt, Händler dabei zu unterstützen, die Sicherheitsfunktionen der von ihnen genutzten Systeme besser zu verstehen und zu dokumentieren.

Die angepasste Sprache in Anforderung 1 verdeutlicht die Notwendigkeit einer Übersicht, die zeigt, wie Kreditkartendaten zusammenhängen. Ebenso wird eine aktualisierte Übersicht vorgeschlagen, die zeigt, auf welchem Wege die Daten der Kreditkarten in die Systeme einfließen.

Leach betont, dass Händler in der sogenannten Anforderung 0 in der einführenden Zusammenfassung der PCI DSS zwar auf die Wichtigkeit hingewiesen wurden, sich mit dem Datenfluss zu befassen. Dennoch wird die Verantwortung, die Kreditkartendaten für die Händler mit sich bringen, in der neuen Fassung einmal mehr betont. Händler sind nun informiert, wo kritische Momente der Datenübertragung beginnen und enden.

„Bei einem Verstoß vor einigen Jahren wurde dem Management der betroffenen Firma eine Übersicht über den Fluss von Kreditkartendaten vorgelegt. Es zeigte, welche Daten die Straftäter abgefangen hatten und in einem Farbdiagramm, wo welche Daten hinfließen,“ führt Leach an. „Das Management sagte: ’Das ist eine gute Übersicht. Warum haben wir sie nicht schon vorher gehabt!‘“

In dieser Richtung betont Anforderung 2 die Relevanz einer Inventarliste über alle eingegliederten Systemkomponenten.

Williams begrüßt diese Änderungen sehr. Die Hervorhebung der Relevanz, die der bestehenden Version hinzugefügt wurde, betont nicht nur die notwendige Festlegung und regelmäßige Überprüfung des betreffenden Umfeldes. Sie legt zudem einen Schwerpunkt auf die Anwendung und Datenschichten, nicht auf das Netzwerk und Infrastrukturschichten.

PCI DSS 3.0: Neue Malware-Gefahren

Die neuformulierte Anforderung 5 wird Händler verpflichten, neue Malware-Warnungen auf solchen Systemen auszuwerten, die normalerweise nicht angegriffen werden. Leach nannte als ein Beispiel Großrechnersysteme in größeren Banken – es wäre im Grunde unmöglich, ein handelsübliches Anti-Malware-System auf einem Großrechner zu installieren. Händler mit solchen Systemen entscheiden sich daher meist gegen Anti-Malware. Und genau das ist eine Taktik, die bei Sicherheitsgutachtern auf Bedenken stößt.

„Vergangene Woche hatte ich Kontakt ich mit einem Kriminalgutachter. Malware ist immer noch deren oberste Priorität, weil es immer noch der typische Weg ist, auf dem Straftäter in die Systeme der Händler gelangen,“ berichtet Leach.

Williams hat Bedenken, dass die Neuformulierung von Anforderung 5 verwirrend sein könnte, unterstützte aber den Fokus auf Malware-Erkennung.

„Offengesagt, wenn ein Händler gezwungen wird, Richtlinien zu folgen, wird er wahrscheinlich das Mindestmaß zur Erfüllung tun,“ so Williams. „Dennoch glaube ich, dass Verwirrung bestehen wird, weil die Formulierung so allgemein gehalten ist. Was bedeutet das? Melden Sie sich für einen Service an? Lassen Sie einen Berater kommen?“

Conroy sagt: „Die Anforderung kann auf Banken und Händler tatsächlich etwas verwirrend wirken. Allerdings entwickelt sich Malware stetig weiter, so dass eine Technologie nötig ist, die Malware erkennt. Oder die Infrastruktur muss von vornherein mit der Annahme gebaut worden sein, dass Malware an den Endpunkten sitzt.“

PCI DSS 3.0: Zusätzliche Änderungen

Eine weitere wichtige Änderung ist die ergänzende Orientierung in Anforderung 6. Händler werden aufgefordert, Gefahren von außen stets im Auge zu behalten und abzuwenden, indem sie sich von ausgesuchten Dritten Unterstützung holen, so von OWASP, SANS und Carnegie Mellon CERT.

„Die Listen der genannten Gruppen werden stets aktualisiert,“ so Leach, „und dies zeigt, dass es sich um einen laufenden Prozess handelt, der ein natürlicher Bestandteil in Unternehmen sein sollte, die mit Kreditkartendaten in Verbindung kommen.“

Anforderung 9 wurde um eine Anordnung ergänzt, die den Sabotage-Schutz des Kassenterminals (POS-Terminal) und anderen Bereichen vorsieht, die mit der Bezahlung verknüpft sind. Der explosionsartige Anstieg von Datenabschöpfung und anderen physischen Zugriffen auf POS soll mit dieser Neuerung betont werden.

„Die Tendenz ist, dass es einen massiven Anstieg bei den Angriffen auf POS-Terminals und bei Datenabschöpfung sowie anderen Zugriffen gibt.“ sagt Leach. „Die eingeführte Änderung soll ein vernünftiges Management des Inventars bewirken und auch ein Verständnis für die Seriennummern der POS-Terminals. Diese sollten regelmäßig überprüft werden und auch, dass der angebrachte Aufkleber identisch ist. So kann einem unbefugten Austausch und Manipulation begegnet werden.“

Zudem kann die Aktualisierung der Anforderung 8 einen Anstieg der Sicherheitsbemühungen bei den Authentifizierungsprozessen bedeuten, also bei greifbaren Sicherheitstokens wie Chipkarten und Zertifikaten. Eine Änderung bei Anforderung 10 soll den Nutzen und Umfang der täglichen Protokollprüfungen klären.

Williams äußerte Bedenken bezüglich des Wechsels zu einer allgemeingehaltenen Sprache in der aktualisierten Fassung der Standards. Diese könnte die angedachte Orientierungshilfe zur Implementierung von Sicherheitsstandards insoweit ergänzen, als alle Händler sich nun strikt an die Vorschriften halten und ansonsten normal weiterarbeiten. Möglicherweise sei das zu viel des Guten vonseiten des DSS.

„Eigentlich sollte es in einem Unternehmen so aussehen, dass die Einhaltung der Standards oberste Priorität hat. Allerdings sollten die Standards dabei nur die Basis bilden, sie sind nicht als Sicherheitsprogramm für Firmen gedacht. Aber jetzt scheint ein Richtungswechsel stattgefunden zu haben,“ sagt Willams. „Ich würde mein Sicherheitsprogramm nicht mit Priorität auf die Richtlinie, sondern mit Priorität auf die Sicherheit auslegen. Der Fokus sollte auf Sicherheitsprinzipien liegen, die vorteilhafter und anwendbarer für Unternehmen sind, als stur nur dann wachsam zu werden, wenn eine Kreditkarte in Erscheinung tritt.

PCI DSS 3.0: Aktualisierung, Ablauf des Inkrafttretens

Die aktualisierten Standards treten am 1. Januar 2014 in Kraft. Dabei werden die Vorgängerversionen (2.0) bis zum Ende des Jahres 2014 aktiv bleiben, um so eine Übergangszeit für die Organisationen zu schaffen.

Die vorgeschlagenen Änderungen werden den über 700 teilnehmenden Organisationen Anfang September 2013 mitgeteilt und beim North America Community Meeting in Las Vegas Ende September erörtert.

Aktualisierungen der PCI- und PA Standards finden alle 3 Jahre statt. So soll Händlern die Möglichkeit gegeben werden, sich mit den Änderungen auseinanderzusetzen und diese zum Einsatz zu bringen. Ebenfalls besteht damit die Möglichkeit, Rückmeldung an den PCI SSC zu geben. Kritiker bemängeln, dass die Standards nicht öfter aktualisiert werden, um so auf die stetigen Änderungen in der Sicherheitslandschaft und den sich neuentwickelnden Angriffen einzugehen. Der SSC hat in diesem Sinne verschiedene „Special-Interest-Gruppen“ ins Leben gerufen. Damit will man Hilfestellung bei sich neuentwickelnden Technologien wie Cloud Computing, Virtualisierung und Tokenisierung geben, ebenso bei allgemeineren Themen wie Risiko-Analyse, Einhaltung der Standards und Security-Assurance bei Drittanbietern.


Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.