PCI-DSS-Update im April: PCI DSS 3.1 soll SSL-Schwachstellen schließen

Das PCI Security Standards Council hat aufgrund von SSL-Schwachstellen PCI DSS 3.1 angekündigt. Das könnte einige Firmen in Schwierigkeiten bringen.

Dieser Artikel behandelt

PCI-Standards

Das Verwaltungsorgan hinter dem Payment Card Industry Data Security Standard (PCI DSS) hat ein Update angekündigt,...

mit dessen Implementierung einige Unternehmen Probleme bekommen könnten. In der Pressemitteilung heißt es, dass das PCI Security Standards Council (SSC) nach Herausgabe von PCI DSS 3.1 eine Revision des PA-DSS-Leitfadens ausgeben möchte.

Das SSC hat relativ stillschweigend einige Schwachstellen im  SSL-Protokoll (Version 3.0) aufgedeckt. Dieses Protokoll wird genutzt, um die Übertragung von sensiblen Zahlungsdaten zu verschlüsseln. Die angesprochene Schwachstelle zieht ein ungeplantes Update von PCI DSS nach sich. In der Regel wird PCI DSS alle drei Jahre aktualisiert. Das nächste Update war für Herbst 2016 geplant. PCI DSS 3.0 wurde ursprünglich im November 2013 veröffentlicht.

Update 3.1 ist nun eine Reaktion auf die kürzlich aufgetauchten Schwachstellen, die die Integrität des SSL-Protokolls sowie von TLS beeinflussen. Dazu gehören unter anderem die Heartbleed-Lücke in einigen OpenSSL-Implementierungen. Zu erwähnen ist in diesem Zusammenhang auch die POODLE-Lücke, die veraltete, aber immer noch benutzte SSL-3.0-Implementierungen kompromittiert. Zudem fällt auch der FREAK-Angriff in diesen Bereich, womit Angreifer in einigen Applikationen SSL-Traffic abfangen und entschlüsseln können. Auch Windows ist davon betroffen.

Vor kurzem haben Forscher von Imperva eine Lücke entdeckt, die sich Bar-Mitzvah-Angriff nennt. Dieser nutzt veraltete RC4-Verschlüsselungsalgorithmen aus, die häufig bei SSL oder TLS eingesetzt werden.

Laut SSC werden die Änderungen in PCI DSS 3.1 alle Anforderungen beeinflussen, die auf SSL als ein Beispiel für sogenannte starke Kryptografie referenzieren. Im Glossar wird starke Kryptografie wie folgt definiert: Kryptografie, die auf von der Branche getesteten und akzeptierten Algorithmen basiert. Dazu gehört eine adäquate Schlüssellänge, wobei das Minimum 112 Bit beträgt. Außerdem ist ein angemessenes Schlüsselmanagement anzuwenden.

SSL 3.0 ungeeignet für sicheren Datenschutz

Das SSC schreibt in seiner Stellungnahme: „Das National Institute of Standards and Technology (NIST) hat das Protokoll SSL (Secure Sockets Layer) 3.0 (ein Protokoll, das zu sicheren Kommunikation von Computern via Netzwerk designt wurde) als ungeeignet für den Schutz der Daten identifiziert, da es Schwachstellen innerhalb dieses Protokolls gibt. Aufrund dieser Schwachstellen erfüllt keine Version des SSL-Protokolls die Definition starke Kryptografie, die vom PCI Security Standards Council (SSC) ausgegeben wurde.“

Von den Änderungen in PCI DSS sind in erster Linie die Anforderungen 2.2.3 (Verschlüsselung von VPNs, NetBIOS, File Sharing, Telnet, FTP und ähnliche Services), 2.3 (Verschlüsselung für webbasiertes Management und andere administrative Nicht-Konsolen-Zugriffe) und 4.1 (Verschlüsselung von Kreditkartendaten bei der Übertragung in offenen und öffentlichen Netzwerken) betroffen.

„Das Upgrade auf eine aktuelle und sichere Version von TLS, dem Nachfolger-Protokoll zu SSL, ist die einzige effektive Methode, um die SSL-Schwachstellen zu beseitigen. Diese wurden kürzlich in Browser-Angriffen wie POODLE und BEAST ausgenutzt“, schreibt das SSC in seiner Stellungnahme.

Avivah Litan, Vice President bei Gartner sagt, dass die Ausgabe von PCI DSS 3.1 nicht nur sehr schnell erfolgt, sondern auch viele Verkäufer in Schwierigkeiten bringen wird.

„Unsere Kunden haben gerade erst angefangen, PCI DSS 3.0 vollständig umzusetzen, das seit Januar 2015 verbindlich ist. Deswegen ist es ungewöhnlich, so schnell ein Update zu erhalten“, sagt Litan. „Das SSC muss in den Implementierungen massive Schwachstellen entdeckt haben, wenn sie ein solches Turbo-Update für nötig befinden.“

Der Analyst ist außerdem davon überzeugt, dass es für einige Händler schwer sein wird, PCI DSS 3.1-konform zu werden. Einige Implementierungen von SSL wie zum Beispiel Datenbanken oder Produkte, die gespeicherte Daten verschlüsseln, befinden sich unter der eigenen Kontrolle. Andere SSL-Verwendungen sind das möglicherweise nicht.

„Es kommt darauf an, wo man die Verschlüsselung einsetzt. Ist es aber im System der Verkaufsstelle, haben sie darüber keine Kontrolle“, sagt Litan. „Hier liegt es dann an den Anbietern der Verkaufssysteme und man muss mit diesen eng zusammenarbeiten, um die aktualisierte Verschlüsselung zu implementieren.“

PCI DSS 3.1 ab sofort wirksam

PCI DSS 3.1 ist bereits wirksam. Das SSC räumt den Händlern allerdings Zeit ein, um die Änderungen übernehmen zu können. Erst nach dieser Übergangsfrist wird man nach den neuen Richtlinien bewerten. Wie viel Zeit den Unternehmen genau bleibt, ist derzeit nicht bekannt.

Litan ist überzeugt, dass die Implementierung von PCI DSS 3.1 auf die Händler durchaus Druck ausüben wird. „Für eine durchschnittliche Firma ist es zu kurzfristig, um die Änderungen übernehmen zu können und wieder konform zu sein“, sagt er mit Blick auf den Update-Zyklus. „Allerdings haben sie auch nicht wirklich eine Wahl.“

Litan erklärt sogar, dass das Problem noch schlimmer wird. Die aktuelle Version von TLS, Version 1.2, gilt ebenfalls als unsicher. Derzeit ist noch nicht klar, ob die neuen Verschlüsselungsrichtlinien für PCI DSS 3.1 alle bekannten Schwachstellen und Angriffsvektoren effizient adressiert, die in SSL/TLS und den speziellen Verschlüsselungsimplementierungen vorkommen.

„Meiner Meinung nach illustriert dieses Szenario das Katz-und-Maus-Spiel der heutigen Zeit“, sagt Litan. „Es ist so gut wie unmöglich, mit all diesen Schwachstellen Schritt zu halten. Man tut aber, was man kann.“ Cyberkriminelle wird man laut Litan niemals aufhalten können. Allerdings kann man ihnen das Leben so schwer machen, dass sie sich ein anderes Ziel wählen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close