Best Practices: Mainframes und die Compliance nach PCI DSS

Bei der Compliance von Kreditkartendaten nach PCI DSS werden Mainframes oft übersehen. Auch wenn die Materie komplex ist: Der Mainframe gehört dazu!

Dieser Artikel behandelt

PCI-Standards

Das im April 1964 von IBM veröffentlichte System/360 repräsentiert die erste grundlegende Reorganisation der elektronischen Computer seit der Entwicklung des 701 im Jahre 1952. Auch wenn es heutzutage natürlich wesentlich weniger davon gibt als noch in den 1980er Jahren, bleibt der Mainframe-Computer doch ein signifikanter Teil der Kern-IT-Infrastruktur in großen Unternehmen. Allerdings kennen sich nur noch wenige IT-Abteilungen mit den Nuancen der Datensicherheit auf Mainframes aus.

Wie verbreitet ist der Mainframe heute noch? Für eine Antwort auf diese Frage brauchen Sie lediglich einen Blick in dieses von IBM veröffentlichte PDF-Dokument zu werfen. Im Jahr 2013 haben die 65 größten Banken der Welt und alle bis auf einen der Top-25-Einzelhändler in den USA Mainframes eingesetzt. 80 Prozent der Unternehmensdaten werden immer noch von Mainframes verwaltet. Zwei Drittel der Geschäftstransaktionen der Banken in den USA laufen über Mainframes.

Mainframes und die Compliance nach PCI DSS

Der primäre Fokus von PCI DSS (Payment Card Industry Data Security Standard) ist der Schutz der Daten von Kreditkartenbesitzern. PCI DSS stellt hierfür notwendige Kontrollmechanismen zur Verfügung, wie Daten von Kreditkartenbesitzern auf jeder Plattform gespeichert, verarbeitet und übertragen werden müssen. Leider werden Mainframes derzeit nicht richtig auf die Compliance nach PCI DSS bewertet.

Viele Gutachter, Händler und Service-Provider haben heutzutage verschiedene Ansichten über die PCI-DSS-Compliance für Mainframes. Entweder werden Mainframes wegen der vermeintlich sowieso recht hohen Sicherheit gar nicht erst in die Bewertung mit aufgenommen, oder sie werden als überlegener Dateiserver behandelt, der mit allen Anwendungs-Umgebungen im Einklang steht.

Sehen wir uns zunächst die dem Mainframe inhärenten Sicherheitsmechanismen an, um anschließend zu bewerten, wie Mainframes fit für die Compliance nach PCI DSS gemacht werden können.

Externe Security-Management-Systeme

Mainframes haben drei externe Sicherheitsmechanismen (Security Management System, ESM) für Dateizugriff und Datensicherheit: IBMs RACF, CA-TopSecret und CA-ACF2. Sollen Gutachter Mainframes bewerten und sind nicht ausreichend dafür geschult oder haben nur eingeschränkte Erfahrung mit diesen Plattformen, würden sie RACF DSMON ausführen, einen TopSecret-TSSAAUDIT-Report laufen lassen oder den Befehl ACF SHOW ALL bemühen. Alle drei Optionen geben globale Security-Optionen auf Betriebssystemebene aus. Allerdings weiß man damit immer noch nicht, wie gut die Daten der Kreditkartenbesitzer geschützt sind.

Hierbei könnte zum Beispiel das Monitoring-Tool eines Drittherstellers helfen, aber auch diese Programme laufen in erster Linie auf Betriebssystemebene. Damit sind sie meist ebenfalls nicht ausreichend, um die Compliance nach PCI DSS zu garantieren.

Warum ist eine genaue Untersuchung der Sicherheitsmechanismen von Mainframes überhaupt wichtig? Die Mehrheit der Zahlungen in der heutigen Zeit kommen mit einem Mainframe in Berührung oder laufen auf einen solchen. Ob sich der Händler oder Service-Provider über diesen Umstand im Klaren ist, spielt dabei keine Rolle.

Seit den 1980ern wurden ESM-Systeme für Mainframes mit vielen Funktionen ausgestattet und immer mehr erweitert. Aus diesem Grund machen sich viele Gutachter um Kreditkartendaten auf einem Mainframe wenige Gedanken. Im Glauben an die Mainframe-Sicherheit nehmen sie meist lieber herkömmliche Server-Umgebung ins Visier. Auch den anderen Servern muss man sicherlich ein gewisses Maß an Aufmerksamkeit spendieren. 

Allerdings kann man bei der Installation der ESM-Systeme wählen, welche Sicherheitsfunktionen man installieren will – und welche nicht. Security-Profis und IT-Auditoren, die Mainframe-ESM-Gutachten durchführen, können diese Funktionen demnach aktiviert oder deaktiviert vorfinden. 

Die Gründe für deaktivierte ESM-Funktionen können Performance, Kosten oder einfach Unannehmlichkeiten bei der Verwaltung des Mainframes sein. Das wirkt sich dann aber natürlich nicht nur auf die PCI-Compliance aus, sondern erhöht auch das Risiko, dem die Daten über die Kreditkartenbesitzer ausgeliefert sind.

Die Anforderungen für PCI DSS auf dem Mainframe verstehen

Die Unkenntnis von Mainframe-Sicherheitsmechanismen ist kein akzeptabler Grund dafür, diese zu vernachlässigen. Es rechtfertigt auch nicht die Tatsache, dass die Daten der Kreditkartenbesitzer auf unsicheren Mainframes einem erhöhten Risiko ausgesetzt sind. Die meisten Gutachter und Penetrations-Tester haben keine Erfahrung mit Mainframes und wissen aus diesem Grund nicht, wie man auch nur die einfachste Security-Lücke ausnutzt. Sie sollten sich aber immer vor Augen halten, dass Angreifer nur einen einzigen Treffer landen müssen.

Nachfolgend finden Sie einen Abriss über PCI-DSS-Anforderungen und wie man diese auf z\OS-Subsystemen innerhalb der Kreditkartendaten-Umgebung anwendet. Es handelt sich dabei sicherlich nicht um eine abschließende Liste, aber sie repräsentiert verschiedene Bereiche, die sinnbildlich für vernachlässigte z\OS-Umgebungen stehen.

PCI-DSS-Anforderungen Mainframe-Kreditkartendaten-Umgebung (CDE)
1. Installieren und warten Sie eine Firewall-Konfiguration, um die Kreditkartendaten abzusichern. Netzwerksicherheit wird mit SNA (System Network Architecture) und SNA-Subnetzen sichergestellt. Damit wird die Trennung zwischen CDE und Nicht-PCI-Umgebungen garantiert.
2. Verwenden Sie keine von Anbietern bereitgestellten Standardpasswörter. Sämtliche Mainframe-Systemsoftware bringt Standardeinstellungen des Anbieters für z\OS, ESM und so weiter mit. Diese müssen geändert werden.
3. Schützen Sie die gespeicherten Daten über die Kreditkarteninhaber. PAN-Scans, Storage für PAN, SAD, Track-Daten und PIN müssen genauso geschützt werden, wie die Schlüssel zur Verschlüsselung der Kreditkartendaten.
4. Verschlüsselte Übertragungen von Kreditkartendaten, wenn diese über öffentliche Netzwerke wandern. Schützen, verschlüsseln und überwachen Sie Kanäle für RJE/NJE, Telnet, SFTP und VPN, die verwendet werden, um Kreditkartendaten via externer Netzwerke zu übertragen.
5. Schützen Sie sämtliche Systeme gegen Malware und aktualisieren Sie Antiviren-Programme und dergleichen regelmäßig. Auch wenn dies bisher als nicht-existent gilt, können System-Utilities, Module, Exits und privilegierte Programme, die ESM und z\OS-Kontrollmechanismen umgehen, gekapert werden.
6. Entwickeln Sie sichere Systeme und Applikationen und warten diese angemessen. Sichere Programmier-Standards sind im Hinblick auf Web- oder .NET-Umgebungen nichts Neues. Das sollte man auch für Applikationen beibehalten, die in COBOL, C, C++, PL/I, Fortran und Assembler (BAL) geschrieben sind.
7. Zugriffsbeschränkungen auf Kreditkartendaten nur für Personen, die dies unbedingt brauchen. RBAC, SOD (Separation of Duties) und das Prinzip der minimalen Rechte gibt es bei Mainframes seit den 1970ern. Diese Regeln gelten auch noch heute.
8. Identifizieren und authentifizieren Sie Zugriffe auf Systemkomponenten. Hier gilt das I-A-A-Prinzip: Identifikation, Authentifizierung, Autorisierung. Jede Person muss einzigartig identifizierbar sein und die Prüfnachweise müssen sorgfältig geführt werden.
9. Beschränken Sie physische Zugriffe auf die Kreditkartendaten. Sowohl Colocation-Rechenzentren als auch Data Center im eigenen Haus benötigen physische Security- und Kontrollmechanismen für die Umgebung.
10. Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Kreditkartendaten. Logdateien hinsichtlich SMF, System, Applikationen, Tracking und Datenbanken müssen im Auge behalten werden. Hierzu eigenen sich Netzwerk-Sniffer und ähnliche Monitoring-Tools.
11. Testen Sie die Sicherheitssysteme und -prozeduren regelmäßig. Hier stehen technische Überprüfungen von z\OS, CICS\IMS Online-Transaktions-System, z\OS-System-Software und DB2/IMS-Datenbanken auf dem Plan.
12. Stellen Sie eine Richtlinie auf, die sämtliche Informationssicherheit für das komplette Personal adressiert. Security-Richtlinien für Unternehmen gelten für das gesamte Personal. Mainframe-Mitarbeiter sind hier keine Ausnahme.

Fazit: PCI DSS ist nicht alles – aber eine gute Grundlage

PCI DSS ist kein ganzheitlicher Security-Ansatz. Vor PCI DSS deckten diese zwölf Anforderungen das ab, was man als grundlegende Security betrachten würde. Der Schutz von Kreditkartendaten, wie von PCI DSS vorgeschlagen, sollte nicht ausgegrenzt werden, nur weil man die Umgebung der Kreditkartendaten nicht komplett versteht. Das gilt auch für Finanzinstitute, deren Zahlungsabwicklung in erster Linie auf Mainframes durchgeführt wird. Aber hier schlittern wir gerade in ein Thema, das ebenfalls vernachlässigt wird.

Über den Autor:
Miguel (Mike) O. Villegas ist Vice President der Consulting-Firma für Zahlungsabwicklungen und Technologie K3DES LLC. Mike hat als CISO für einen großen Online-Händler gearbeitet und war Partner für ein „Big Four“-Consulting-Unternehmen. Auch als VP von IT Risk Management und IT-Audit-Direktor für große kommerzielle Banken war er angestellt.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close