PCI DSS 4.0 kommt - sind Sie vorbereitet?

Ein Artikel von Frank Augenstein, Senior Sales Engineer, Tripwire | 22.07.2021 - 11:38

Diese und ähnliche Angriffe sind möglich, weil Sicherheitskontrollen immer noch nicht ausreichen und vielerorts veraltete Betriebssysteme laufen. Man kann also mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass Angreifer auch weiterhin Ransomware einsetzen werden. Dabei haben sie es vermutlich auch auf POS-Systeme (Point of Sale) einzelner Unternehmen abgesehen, denn inzwischen haben EMV-Chipkarten Data Scraping nahezu unmöglich gemacht.

PCI DSS - Retter in der Not

frank-augenstein.256x256.jpg

Autor: Frank Augenstein, Senior Sales Engineer, Tripwire 

Unternehmen müssen aber nicht tatenlos zusehen. Standards bieten Firmen Orientierung. Einer davon ist der PCI DSS, der Payment Card Industry Data Security Standard (PCI DSS), aufgestellt vom PCI Security Standards Council. Er formuliert eine Reihe von Anforderungen, die Unternehmen zum Schutz der Daten von Karteninhabern anwenden können.  Er begrenzt zudem die Haftung der Kartenausgeber und Banken für den Fall, dass ein Händler Opfer einer Datenschutzverletzung wird. 

Zum jetzigen Zeitpunkt sieht es so aus, als würde das PCI Security Standards Council die Version 4.0 Mitte dieses Jahres fertigstellen. Derzeit ist noch wenig über die neue Version bekannt. Aber wir kennen einige der Ziele des überarbeiteten Standards. Diese sind unter anderem:

• Trotz der sich ständig verändernden Technologien und Lösungen wird der überarbeitete Standard weiterhin den Bedürfnissen der Zahlungsbranche gerecht.

• PCI DSS v4.0 soll die Flexibilität erhöhen und zusätzliche Methoden anführen, die einen höheren Sicherheitslevel unterstützen. Historisch gesehen war der Standard in dieser Hinsicht schon immer sehr tauglich. Er hat in der Vergangenheit beispielsweise Methoden wie das File Integrity Monitoring (FIM) und Vulnerability Management (VM) eingeführt.

• Eines der Hauptziele von PCI DSS v4.0 wird es sein, Sicherheit als kontinuierlichen Prozess zu fördern, so dass die betreffenden Unternehmen über einen längeren Zeitraum hinweg konform bleiben.

• Und schlussendlich wird PCI DSS v4.0 die Validierungsmethoden und -verfahren weiter verbessern, um Unternehmen bei ihren Compliance-Bemühungen zu unterstützen.

Nach der Fertigstellung von PCI DSS v4.0 wird es eine längere Übergangszeit geben, damit Unternehmen auf die neueste Version des Standards umstellen können. Die vorherige Version, PCI DSS v.3.2.1, bleibt nach der Fertigstellung von v4.0 noch 18 Monate in Kraft. Dies gibt Unternehmen die Möglichkeit, sich mit dem Standard, den unterstützenden Dokumenten und weiteren Änderungen vertraut zu machen sowie ihren Update-Prozess zu planen. Um die Compliance zu erhalten, müssen Unternehmen ihre Update-Pläne bis zum 1. Quartal 2024 abschließen - dem voraussichtlichen Zeitpunkt, an dem v4.0 wirksam werden wird.

Potenzielle Probleme innerhalb der Übergangsfrist

Diese Übergangszeit verschärft möglicherweise einige Probleme in Zusammenhang mit der Erlangung und Aufrechterhaltung der PCI DSS Compliance. Erstens besteht die Gefahr eines sogenannten Konfigurationsdrifts. Damit ist gemeint, dass ursprünglich sichere Konfigurationen über die Zeit und aus verschiedenen Gründen dazu neigen von einem sicheren Ursprungszustand abzuweichen.

Auch wenn Änderungen an sich harmlos sein mögen, können sie dennoch dazu führen, dass Systeme von der ursprünglich sicheren Grundlinie abweichen. Konfigurationssicherheit ist einer der grundlegenden Bausteine, wenn man eine wirksame Verteidigung gegen Cyberattacken aufbauen will. Aus strategischer Sicht ist die sichere Konfiguration ein guter Ausgangspunkt. Sie dauerhaft zu pflegen, darin liegt in der Praxis die sehr viel größere Herausforderung. Unternehmen sollten für die betreffende Umgebung ein konkretes Ziel vor Augen haben und daran festhalten. Nur das gewährleistet, dass die Systeme in den Umgebungen der Karteninhaber auch tatsächlich in dem gewünschten Zustand bleiben. 

Zweitens sollten Unternehmen sich der anstrengenden Aufgabe unterziehen, die Compliance gegenüber Auditoren nachzuweisen. Abhängig von der Anzahl der Assets, der Tests und der Kontrollen braucht man für die Durchführung eines Audits sehr viel Zeit und muss einiges an Aufwand betreiben. Schließlich benötigen Unternehmen historische Daten, um die Compliance über einen längeren Zeitraum nachweisen zu können. Abhängig von den verfügbaren Ressourcen und der Größe der Umgebungen, ist es für Unternehmen unter Umständen gar nicht praktikabel alle Systeme zu prüfen. Eine Entscheidung, die zumindest dazu führen kann, dass bestimmte Arten digitaler Bedrohungen weiterhin unerkannt bleiben. 

Oder Unternehmen entscheiden sich, in eine PCI DSS Compliance-Lösung zu investieren, sind aber gar nicht in der Lage ihr Potenzial auszuschöpfen. PCI DSS setzt voraus, dass Unternehmen über Log-Management-, FIM- und VM-Funktionen verfügen. Das kann sich als ziemlich kostspielig erweisen, wenn Unternehmen dabei jeweils auf einen anderen Anbieter zurückgreifen. Und selbst dann kann es passieren, dass Firmen letzten Endes nicht sehr viel mehr zur Verfügung haben als einige -Funktionen. Eine FIM-Lösung schlägt beispielsweise bei Änderungen Alarm, bietet aber keinen Kontext zu diesen Alarmen. Eine VM-Lösung führt vielleicht regelmäßige Scans durch und identifiziert Schwachstellen, aber sie gibt keine Anleitung wie man die Sicherheitslücken am besten schließt. 

Auf PCI DSS v.4.0 vorbereiten

Tripwire.png

Tripwire kann bei der Umsetzung von Compliance-Vorgaben unterstützen.

Im Idealfall ist eine Lösung so ausgestattet, dass ein Unternehmen damit nicht nur die Compliance mit PCI DSS, sondern auch mit weiteren wichtigen Standards wie CIS, ISO 27001 und anderen mehr nachweisen kann. Das passiert über die Bereitstellung von sofort einsatzbereiten Audit-Berichtsvorlagen und automatisierten Compliance-Reports. Darüber verbindet sich die Lösung mit allen Assets/Systemen im Geltungsbereich und testet sie daraufhin, ob sie eine Compliance-Prüfung bestehen oder nicht. Das spart Unternehmen sehr viel Zeit, die sonst in die manuelle Überprüfung fließen würde. Im Idealfall zeigen die auf dieser Basis erstellten Berichte nicht nur Compliance auf, sondern sie protokollieren auch Änderungen an den betreffenden Assets. Firmen gewinnen so Transparenz und behalten den Überblick über ihre Systeme. Das wiederum hilft, Konfigurationsdrifts schnell zu beheben und so Compliance langfristig zu erhalten.