Payment Card Industry Data Security Standard - Auswirkungen und Voraussetzungen für den Handel
Aus Winfwiki
| Name des Autors: | Jörg Veddeler |
| Titel der Arbeit: | Payment Card Industry Data Security Standard - Auswirkungen und Voraussetzungen für den Handel |
| Hochschule und Studienort: | FOM Düsseldorf |
1 Einleitung
1.1 Wahl des Themas
Als Firewall-Administrator für einen großen Handelskonzern administriere ich Firewalls in über 30 Ländern. Da das Kerngeschäft im Kauf und Verkauf von Waren liegt, und diese häufig per Kreditkarte bezahlt werden, gehört die Zertifizierung des PCI DSS zu einer Kernaufgabe für die nächsten Monate und Jahre für alle Bereiche des Handels in Deutschland und auf dem Weltmarkt.
1.2 Was ist der PCI DSS?
Der Payment Card Industry Data Security Standard (kurz PCI DSS) wurde entwickelt, um Kreditkarteninhabern Datensicherheit zu gewährleisten und eine weltweit einheitliche Basis zur Sicherheit von Kreditkartendaten zu gewähren.
1.3 Mitglieder der PCI
Es zählen (Stand Dezember 2008) mehr als 500 verschiedene Firmen zum PCI Security Council - die genaue Zahl lässt sich auf der Website www.pcisecuritystandards.org entnehmen. Zu diesen Firmen gehören u.a.:
- Zertifizierte Prüfer für Netzwerkumgebugen (ASV)
- Hersteller von Hard- und Software, um PCI-DSS-Zertifiziert zu werden
- Dienstleister für die Umsetzung des PCI-DSS
- Kreditkartenunternehmen
2 Vorstudie
2.1 Warum gibt es den PCI DSS?
Der PCI DSS wurde nach vielen Datenpannen auf der ganzen Welt - speziell im Bereich der Kreditkartenbranche - ins Leben gerufen. In der Vergangenheit wurden mehrere Millionen Kreditkartendatensätze gestohlen oder entwendet, mit dem Kriminelle viel Schaden anrichten können. Konkrete Beispiele finden sich im nächsten Absatz.
2.2 Vorfälle aus der Vergangenheit
2.2.1 Kreditkartenverlust TJX, USA
Dem US-Einzelhändler TJX wurden 2007 ca. 46 Millionen Kredit- und Debit-Karten-Nummern von Kunden gestohlen. Kriminelle waren in das Computersystem des Konzerns eingedrungen und haben die Kartennummern gestohlen. Bis dato war es der größte Diebstahl von Karten-Nummern, den es je gegeben hatte.[1]
2.2.2 Malware bei HPY, USA
Bei Heartland Payment Systems (kurz HPY), einem der größten Kreditkarten-Transaktionsdienstleister der USA, wurden über mehrere Wochen durch Spionagesoftware Millionen von Kreditkartentransaktionen mitgeschnitten. Der Einbruch in das Computersystem wurde zunächst gar nicht von HPY entdeckt, erst nach Hinweisen großer Kreditkartenfirmen (Visa, MasterCard) konnte ein Forensik-Experte die Malware entdecken, die bisheriger Malware weit überlegen war.[2]
2.2.3 Zeitungen mit Kreditkartendaten ausgeliefert
Amerikanische Tageszeitungen haben versehentlich sensible Kundendaten preisgegeben. Sie gelangten mit der täglichen Zeitung in den Handel. Ca. 240.000 Kunden waren betroffen.[3]
2.3 Vorgänger des PCI DSS
Es gab verschiedene Vorgänger des zentralen PCI DSS. Bisher haben Visa / MasterCard sowie andere Kreditkartenunternehmen eigene Sicherheitsrichtlinien erstellt, was dazu führte, dass Kreditkartenunternehmen mit zu hohen Ansprüchen an die Infrastruktur der Kunden einen Wettbewerbsnachteil hatten. Zwar war die Kommunikation der Zahlungsdaten potentiell sicherer, die Akzeptanz dafür war aber bisher bei den Einzelhändlern nicht vorhanden. Mit dem PCI DSS wird ein Standard für alle Kreditkartenunternehmen geschaffen, sodass in diesem Bereich nun keine Wettbewerbsverzerrung mehr stattfindet.
2.4 Kosten durch Kreditkartendatenverlust
Genaue Zahlen sind nicht öffentlich zugänglich, im Normalfall muss jedoch das Unternehmen, welches die Daten verloren hat, die Kosten für neue Kreditkarten für alle geschädigten Personen übernehmen. Im Fall von TJX sind dies ca. 46 Millionen neue Kreditkarten. Bei einem geschätzten Wert von 5 US-Dollar inkl. Verwaltungsaufgaben etc. pro Kreditkarte kommt TJX damit auf Sonderbelastungen in Höhe von 230 Millionen US-Dollar.
3 Voraussetzungen
3.1 Was muss getan werden, um PCI DSS zertifiziert zu werden?
Grundsätzlich wird im PCI DSS in 4 verschiedene Kategorien unterteilt. Je nach Anzhal der Kreditkartentransaktionen pro Jahr sind die Voraussetzungen anders; je mehr Transaktionen pro Jahr stattfinden, desto strenger sind die Kontrollen und Überprüfungen. Noch sind die Aufgaben bei den Kategorien 2 bis 4 identisch, sie wurden allerdings eingerichtet, um später flexibel Anpassungen vorzunehmen.
3.2 Grundsätzliche Unterscheidung von Unternehmensgrößen
3.2.1 Kategorie 1: Mehr als 6 Mio. Zahlungen pro Jahr
Unternehmen mit mehr als 6 Millionen Zahlungen pro Jahr fallen in die Stufe 1 des PCI DSS. Des weiteren fallen alle Unternehmen - unabhängig von ihrer Größe - in die Kategorie 1 des PCI DSS, wenn bereits ein Datenklau / Missbrauch vorgelegen hat. Kategorie-1-Unternehmen werden 1x jährlich durch einen zertifizierten dritten Prüfer überprüft. Des weiteren müssen vierteljährlich Netzwerkscans von Extern durchgeführt werden.
3.2.2 Kategorie 2: Mehr als 1 Mio. Zahlungen pro Jahr
Unternehmen mit über 1 Mio bis 6 Mio Zahlungen pro Jahr müssen das PCI DSS Self Assessment Questionaire 1x jährlich ausfüllen und müssen vierteljährlich einen Netzwerkscan von Extern ausführen lassen.
3.2.3 Kategorie 3: Mehr als 20000 Zahlungen pro Jahr
Unternehmen mit 20.000 bis 1 Mio. Zahlungen pro Jahr sind verpflichtet, das PCI DSS Self Assessment Questionaire jährlich auszufüllen. Des weiteren muss vierteljährlich ein Netzwerkscan von Extern durchgeführt werden.
3.2.4 Kategorie 4: Weniger als 20000 Zahlungen pro Jahr
Unternehmen, die in die 4. Kategorie fallen, können sich anhand eines Fragebogens selbst beurteilen, sie müssen dafür keinen externen Berater in Anspruch nehmen. Allerdings müssen auch Kat-4-Unternehmen einen vierteljährlichen Sicherheitsscan von Extern ausführen lassen.
3.3 Unternehmerische Voraussetzungen
Bevor die Umsetzung des PCI DSS beschlossen wird müssen die Voraussetzungen innerhalb des Unternehmens geklärt sein. Konkret: bringt mir die Zertifizierung und die damit verbundene Möglichkeit, Zahlungen per Kreditkarte entgegenzunehmen mehr, als die Kosten, die ich für die Erreichung des Levels benötige? Gerade bei sehr kleinen Unternehmen wie dem "Kiosk um die Ecke" mit nur einem oder wenigen Ladenlokalen steht der Aufwand in keinem Verhältnis zum Nutzen.
3.4 Technische Voraussetzungen
Die PCI-DSS-Anforderungen werden auf alle Systemkomponenten angewendet, die mit Kreditkartendaten im Berührung kommen oder mit Systemen verbunden sind, welche mit Kreditkarten arbeiten. Im Bereich der Netzwerkkomponenten können dies u.a. folgende Geräte sein:
- Firewalls
- Switches
- Router
- Access-Points für WLAN-Netze
Des weiteren findet der PCI DSS u.a. auf folgende Servertypen Anwendung:
- Webserver
- Datenbankserver
- Server für die Authentifizierung (z.B. Microsoft AD-Controller)
- Mailserver
- Proxyserver
- NTP-Server
- DNS-Server
Im Bereich der Anwendungsprogramme stehen alle erworbenen und selbstentwickelten Programme im Fokus, darunter auch interne und externe Anwendungen (zum Beispiel Internetanwendungen).
3.4.1 Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
Eine Firewall überprüft den eingehenden und ausgehenden Netzwerkdatenverkehr zwischen dem internen und externen Netzen. Intern kann dabei die gesamte Konzerninfrastruktur im Vergleich zum externen Internet sein; Intern kann aber auch das Kassensystem vom externen Rest = dem Rest des Konzernnetzwerkes sein. Firewalls in Konzernnetzwerken bestehen in der Regel aus einer Hardware-Platform mit einer darauf installierten Firewall-Software. In großen Konzernnetzwerken ist es des weiteren Üblich, mehrere Firewall-Systeme hintereinander zu installieren, um einen möglichst großen Schutz vor Angriffen aus dem Internet / aus dem Intranet zu erlangen. Firewalls stellen somit einen ersten, wichtigen und zentralen Schutz vor unbefugtem Zugriff auf Konzerninterne Daten her. Eine Firewall übernimmt mehrere Aufgaben:
- Erkennung von Angriffen via Portscans, Denial of Service-Attacken, SYN-Flooding[4] etc.
- Erkennung von unerwünschtem Traffic innerhalb einer erlaubten Verbindung (als Beispiel: http ist erlaubt, aber der Download eines Virus über http wird verhindert)
- Erkennung, ob ein Datenpaket aus dem Internet oder aus dem Intranet kommt. Address Spoofing, also das Vortäuschen einer falschen IP, wird damit erschwert.
- Absicherung des Unternehmensnetzwerkes durch ein Firewall-Regelwerk
Bei jeder Firewall-Installation ist es wichtig, dass es einen Prozess gibt, der klar definiert, wer welche Firewall-Regeln beantragen darf, wer diese Testet und wer sein OK dazu geben muss. Jede Firewall ist nur so gut wie die Administratoren, die die Firewallumgebung administrieren. Somit muss sichergestellt sein, dass möglichst keine Konfigurationsfehler auftreten, die die Sicherheit des Netzwerkes gefährden können.
Zum Bereich der Firewall-Infrastruktur gehört auch ein Netzwerkdiagramm, welches die logische Anordnung aller beteiligten Netzwerkkomponenten (Firewalls, Router, Access Points, Switches) beinhaltet. Anhand des Netzwerkdiagramms kann anschaulich dargestellt werden, wie die Kreditkartendaten durch das Unternehmensnetzwerk geleitet werden.
Durch Rollenverteilung innerhalb der Sicherheitsabteilung eines Unternehmens wird sichergestellt, dass eine Person sich ihrer Verantwortung bewusst ist und die Sicherheit aller Komponenten im Aufgabenbereich sicherstellt.
In der Vergangenheit waren immer wieder Angriffe auf unbenötigte, unsichere Protokolle zu beobachten. Als Beispiel dient das File Transfer Protocol (FTP): Es überträgt die Login-Informationen im Klartext über die Netzwerkinfrastruktur. Somit ist es sehr einfach (vorausgesetzt es besteht die Möglichkeit eines Zugriffs auf den Datenverkehr) Login-Informationen für einen FTP-Server mitzulesen, um diesen dann gezielt zu attackieren oder Daten zu manipulieren. Es gibt dutzende unsicherer Protokolle, die ihre Daten im Klartext übertragen. Innerhalb eines Unternehmens muss klar dokumentiert sein, welche Ports benötigt werden und welche Ports als Sicherheitskritisch eingestuft werden. Alle nicht benötigten Ports sollten geschlossen werden, damit kein unnötiges Risiko eingegangen wird. Gerade an zentralen Netzwerkknoten wie Firewalls können unsichere Dienste wie FTP, telnet, rlogin durch entsprechende Firewall-Regeln deaktiviert werden, sodass ein Zugriff über eine Firewall hinweg auf einen unsicheren Dienst nicht möglich ist.
Durch halbjährige Prüfung (im Idealfall häufiger) des Regelwerks sollen alte und nicht mehr benötigte Regeln deaktiviert werden, damit das Regelwerk immer aktuell ist und kein unnötiges Risiko durch alte Firewall-Regeln entsteht.
3.4.2 Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter
Standardpasswörter und Standard-Einstellungen für Verschlüsselungsmechanismen müssen immer überprüft werden. Standardpasswörter müssen geändert werden, es sollte weiterhin der stärkste Verschlüsselungsalgorythmus genutzt werden, der von allen Systemkonponenten unterstützt wird.
Des weiteren ist es von zentraler Bedeutung, dass keine Geräte ohne Kenntnis der Sicherheitsabteilung installiert werden. Es dürfen zum Beispiel keinesfalls Access Points für drahtlose Netzwerke im LAN installiert werden, wenn diese nicht durch zusätzliche Maßnahmen wie hohe Verschlüsselung und weitere geeignete Schutzmaßnahmen geschützt werden. Angreifer nutzen gerne die verfügbaren Funknetzwerke um in das Unternehmensnetzwerk einzudringen.
Es müssen Konfigurationsstandards für alle Systemkomponenten mit gleicher Bauweise erstellt werden, die alle bekannten Sicherheitslücken behandeln. Diese Konfigurationsstandards müssen dann auf allen Geräten der gleichen Bauweise installiert und aktiviert sein.
Pro Server gibt es nur eine Hauptapplikation. Es darf beispielsweise kein Mailserver ebenfalls ein Webserver sein, denn ein Webserver ist in der Regel aus dem Internet erreichbar, während ein Mailserver nur aus dem lokalen Netz erreichbar sein soll.
Es müssen alle nicht benötigten Funktionen eines Servers deaktiviert werden. Als Beispiel werden nicht benötigte Treiber, Programme, Skripte deaktivert / entfernt, da diese nur ein zusätzliches Sicherheitsriskio darstellen.
3.4.3 Schutz gespeicherter Karteninhaberdaten
Die Kernaussage bezüglich gespeicherter Kreditkartendaten lautet: Wenn die Daten nicht benötigt werden diese auch nicht speichern! Wenn die Kartendaten allerdings gespeichert werden müssen, sollten diese - soweit möglich - verschlüsselt werden, abgekürzt werden oder in Hashes gespeichert werden.
Des weiteren ist es laut PCI DSS verboten, vertrauliche Authentifizierungsdaten nach der Autorisierung zu speichern. Zu den vertraulichen Authentifizierungsdaten gehören Magntestreifen, Kartenvalidierungscore sowie die PIN. Gerade diese Daten sind für kriminelle Personen aüßerst wertvoll, da diese Daten die Basis für gefälschte Kreditkarten bilden.
Der Kartenvalidierungscode darf auf keinen Fall gespeichert werden. Dieser Code (meist 3- oder 4-stellig auf Vorder- oder Rückseite der Kreditkarte) dient der Authorisierung bei Transaktionen, bei denen die Karte nicht physisch vorliegt. In der Regel ist dies bei Transaktionen im Internet oder per Telefon der Fall.
Die PIN darf ebenfalls nicht gespeichert werden, mit einer kopierten Kreditkarte könnte man ansonsten am Geldautomaten mit der richtigen PIN Bargeld abheben.
Die vollständige Anzeige der PAN kann zur Folge haben, dass auch unauthorisierte Personen diese einsehen. Daher dürfen maximal die ersten sechs und die letzten vier Stellen der PAN (meist Kreditkartennummer) angezeigt werden.
Bei Verschlüsselung von Kreditkartendaten muss darauf geachtet werden, dass
- die Schlüssel nur möglichst wenigen Personen zugänglich sind
- die Schlüssel möglichst lang sind, um Angriffen vorzubeugen
- die Schlüssel regelmäßig geändert werden (mindestens jährlich)
3.4.4 Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze
Wenn Karteninhaberdaten über öffentliche, offene Netze übertragen werden müssen, müssen diese verschlüsselt werden. Es müssen starke Sicherheitsprotokolle wie SSL / TLS oder IPSEC verwendet werden. Aus sicht des PCI DSS fallen folgende Netzwerke in die Kategorie offen, öffentlich:
- Das Internet
- Drahtlose Technologien wie WLAN
- GSM-Übertragungen
- GPRS
Drahtlos-Netzwerke, die Karteninhaberdaten übertragen oder mit der POS-Umgebung in Berührung kommen, müssen Branchenbewährte Verfahren zur starken Verschlüsselung und Authentifizierung implementieren. Konkret bedeutet dies, dass der als unsicher geltende Standard WEP
- nach dem 31.03.2009 nicht mehr in neue drahtlose Netzwerke implementiert werden darf
- bestehende WEP-Infrastrukturen nach dem 30. Juni 2010 nicht mehr existieren dürfen
Vorhandene Drahtlos-Netzwerke sollten aktualisiert werden, wenn die vorhandenen Geräte nicht aktualisiert werden können, sollten diese durch neue Hardware ersetzt werden. Solange die drahtlosen Netzwerke WEP-basiert sind, sollten diese nicht an die Karteninhaberdaten-Umgebung angeschlossen sein.
Es dürfen keine PANs über Messaging-Systeme verschickt werden (als Beispiel E-Mail, Chatsysteme, Instant Messaging)
3.4.5 Verwendung und regelmäßige Aktualisierung von Antivirensoftware
Es muss auf allen Systemen, die häufig von Viren befallen werden, eine Antivirensoftware installiert sein. Dies betrifft vor allem, aber nicht ausschließlich, Personal Computer und Server. Häufig gibt es Angriffe und sogenannte 0-Day-Exploits[5], die besonders Unternehmensnetzwerke angreifen und schwächen können.
Bösartige Software kann durch das Internet, via E-Mail, USB-Sticks, CDs, DVDs etc. in das Unternehmensnetzwerk eindringen, das Unternehmensnetzwerk kann somit von innen heraus ausspioniert werden.
Des weiteren muss ein Prozess zur Identifizierung neuer Sicherheitslückek und zum Umgang mit diesen bestehen, welcher fortlaufend auf neue Arten von Viren und Malware angepasst werden muss.
Des weiteren muss gewährleistet sein, dass Antivirensoftware ALLE Arten von Malware erkennt, in der Praxis wird daher häufig eine 2-Hersteller-Strategie gefahren, um eine möglichst hohe Trefferquote zu erzielen.
3.4.6 Entwicklung und Wartung sicherer Systeme und Anwendungen
Die Anforderung 6 beinhaltet das regelmäßige Updaten der bestehenden Software-Installationen durch die neuesten Sicherheitspatches der jeweiligen Hersteller. Wichtige Sicherheitspatches müsen innerhalb eines Monats installiert werden. Gerade in größeren Unternehmen ist das Patch-Management eine große Aufgabe, denn wenn mehrere zehntausend unterschiedliche Systeme aktualisiert werden müssen besteht immer wieder die Gefahr, dass durch ein Sicherheitsupdate eine andere Anwendung nicht mehr ordnungsgemäß funktioniert.
Sicherheitsupdates für weniger kritische Systeme sollten im Abstand von max. 3 Monaten installiert werden.
Es müssen separate Umgebungen für Entwicklungs-, Test- und Produktionsserver bestehen, denn Test- und Entwicklungssysteme sind häufig nicht so abgesichert wie die Produktionsumgebung. Ohne angemessene Trennung zwischen Produktion und PreProduktion wird die Produktionsumgebung einer unnötigen Gefahr des Angriffs ausgesetzt.
Es muss des weiteren sichergestellt sein, dass nur Personen Zugriff auf die Produktionsumgebung und damit die Karteninhaberdaten haben, die diesen Zugriff wirklcih benötigen.
Produktionsdaten dürfen nicht für Test- oder Entwicklungszwecke verwendet werden, da - wie schon oben erläutert - für die PreProduktionssysteme häufig schwächere Sicherheitseinstellungen aktiviert sind.
Bevor neue Software in den Produktionsbetrieb gegeben wird, müssen Test- und Debugging-Code aus dem Programmcode entfernt werden, denn dadurch könnte ansonsten die Funktion der Software ermittelt werden.
3.4.7 Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
Grundsätzlich dürfen nur Personen Zugriff auf Karteninhaberdaten haben, die diesen aus einem wichtigen geschäftlichen Umfeld heraus benötigen. Desto weniger Personen Zugriff auf Karteninhaberdaten bekommen, desto weniger Benutzerkonten können in böswilliger Absicht genutzt werden. Des weiteren sollte der Zugriff auf die Daten beschränkt werden, die ein Mitarbeiter für die Ausführung einer Aufgabe benötigt.
Als weitere Sicherheitsmaßnahme sollte die Standardeinstellung beim Zugriff auf Systemkomponenten auf "Alle ablehnen" eingestellt sein. So wird sichergestellt, dass Personen nur Zugriff erhalten, wenn dafür eine dedizierte Regel besteht.
3.4.8 Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
Zugriff auf Systemkomponenten darf erst nach der Zuweisung einer eindeutigen Benutzer-ID für alle Benutzer erfolgen. Durch eine eindeutige ID pro Benutzer ist jede/r Einzelne für das eigene Benutzerkonto verantwortlich, jede Änderung lässt sich zu einem/r Mitarbeiter/in zurückverfolgen. Dadurch lässt sich nach einem böswilligen Angriff schneller rekonstuieren, wer wann welche Änderungen vorgenommen hat. Des weiteren ist eine Zwei-Faktor-Authentifizierung (z.B. durch Fingerabdruck) sinnvoll, da ein Angreifer dann im Besitz der Benutzer-ID und des Fingerabdrucks sein muss.
Beim Remote-Zugriff auf das Netzwerk von außen (z.B. von zu Hause) von Mitarbeitern oder Administratoren muss eine Two-Factor-Authentification durchgeführt werden. RADIUS oder TACACS mit Token sind eine gängige Lösung hierzu.
Die Übertragung und Speicherung von Kennwörtern muss auf sämtlichen Systemkomponenten sicher verschlüsselt werden, da ansonsten durch Sniffer das Passwort mitgelesen werden könnte, wie es beispielsweise bei FTP der Fall ist.
Das anlegen, ändern und löschen von Benutzer-IDs sollte einer kleinen Administratoren-Gruppe vorbehalten bleiben, damit ist sichergestellt, dass nur gültige und anerkannte Benutzer Zugriff erhalten.
DIe Benutzeridentität muss geprüft werden, bevor ein Kennwort zurückgesetzt wird. Idealerweise erfolg dies durch einen Lichtbildausweis.
Neu angelegte Benutzer sollten ein einmaliges Passwort erhalten, welches beim ersten Login geändert werden muss. Das einmal-Passwort muss ebenfalls einmalig sein, ansonsten könnten sich böswillige Personen mit neuen Benutzerkonten anmelden, wenn das Initial-Passwort immer identisch ist.
Benutzerkonten von ehemaligen Mitarbeitern müssen sofort deaktiviert werden, damit kein Zugriff durch böswillige Personen erfolgen kann. Ratsam ist auch die Erstellung eines Prozesses zusammen mit der Personalabteilung, damit bei Kündigung eines Mitarbeiters auch umgehend sein Benutzerkonto deaktiviert werden kann.
Inaktive Benutzerkonten müssen mindestens alle 90 Tage deaktiviert / entfernt werden.
Zugriff für Support-Zwecke von Anbietern oder Lieferanten darf ausschließlich während der erforderlichen Zeit möglich sein, ansonsten wächst das Risiko eines böswilligen Zugriffs von extern.
Es darf des weiteren keine Gruppenaccounts, also ein Benutzerkonto für eine Personengruppe geben. Wenn mehrere Benutzer das gleiche Konto benutzen ist nicht mehr nachweisbar, welcher Benutzer zu welcher Zeit eine Änderung am System vorgenommen hat.
Des weiteren legt der PCI DSS Kennwortrichtlinien wie
- Mindestens 7 Zeichen lange Kennwörter
- Verwendung von numerischen und alphabetischen Zeichen in Kennwörtern
- ein Kennwort muss sich von den vorherigen 4 unterscheiden
- nach 6 Fehlversuchen muss die Benutzer-ID gesperrt werden
- nach 15 Minuten inaktivität muss der Benutzer sich erneut am Terminal authentifizieren
fest.
3.4.9 Beschränkung des physischen Zugriffs auf Karteninhaberdaten
Neben der Datensicherheit von Karteninhaberdaten kann ein Angriff auf diese auch physisch erfolgen. Daher sollte der physische Zugriff auf Server und Netzwerkkomponenten durch entsprechende Maßnahmen überwacht werden. Videokameras und Vereinzelungsanlagen sind nur zwei von vielen Möglichkeiten. Des weiteren sollten - soweit gesetzlich zugelassen - die Zutrittsdaten mindestens 3 Monate gespeichert werden.
Zugangsbeschränkte Bereiche sind in der Regel Rechenzentren, Serverräume und weitere Bereiche, in denen sich Systeme befinden, die Karteninhaberdaten speichern. Der POS[6] ist hiervon nicht betroffen.
Der Zugriff zu öffentlich zugänglichen Netzwerkbuchsen muss beschränkt sein, in Konferenzräumen sollte - wenn überhaupt - Besuchern nur der Zugriff ins Internet, nicht aber auf interne Ressourcen ermöglicht werden.
Ausweissysteme und Türkontrollen erschweren es nicht autorisierten Personen in geschützte Bereiche vorzudringen. Des weiteren sollten Besucher ihre Zugangserlaubnis nach verlassen der Einrichtung zurückgeben, auch wenn diese automatisch auslaufen sollte.
Ein Besucherprotokoll mit den Kerndaten des Besuchers ist leicht zu pflegen und kann im Falle einer Sicherheitsverletzung schnell zur Hilfe genommen werden, um nachzuweisen, wer von Extern Zugriff zu einem Gebäude oder Raum hatte.
Sicherheitskopien müssen wie die Produktivdaten ebenfalls vor böswilligem Zugriff geschützt werden. Böswillige Personen könnten Sicherheitskopien kopieren oder entwenden. Vorzugsweise werden Sicherungsmedien an einem anderen Ort mit räumlicher Entfernung aufbewahrt.
Karteninhaberdaten auf Papier oder auf tragbaren Medien auf dem Schreibtisch eines Mitarbeiters stellen ein großes Sicherheitsrisiko dar. Nicht autorisierte Personen könnten diese einsehen, kopieren oder durchsuchen.
Senden Sie Medien mit Kreditkarteninhaberdaten nur duch einen sicheren Kurier oder mit einer anderen Liefermethode, die präzise nachverfolgt werden kann. [7]
3.4.10 Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
Dieses Kapitel ziehlt auf die Protokollierung von Benutzeraktivitäten ab, die für spätere Untersuchungen unabdingbar sind. Anhand von Log-Dateien können Forensik-Teams herausfinden, was wann wo passierte. Da böswillige Personen häufig mehrere Versuche unternehmen, in ein Unternehmensnetzwerk einzudrigen, können diese Versuche durch geeignete Überwachungssysteme erkannt und gemeldet werden.
Da der genaue Zeitpunkt eines Angriffs eine große Rolle spielt, sollten alle kritischen Systemuhren und Systemzeiten mit einem Zeitserver synchronisiert sein. Böswillige Personen können somit den genauen Angriffszeitpunkt nicht weiter verschleiern.
Für die Überwachung der (Protokoll-)Dateiintegrität gibt es verschiedene Softwareprodukte, die alarmieren können, wenn eine Protokolldatei plötzlich gelöscht, verkleinert oder anders manipuliert wird. Da Sicherheitsverletzungen häufig Tage oder Monate lang nicht auffallen empfiehlt sich die Überprüfung von Protokollen mindestens 1x täglich. Die Überprüfung kann durch entsprechende Werkzeuge und tools erfolgen.
Protokolle müssen mindestens 1 Jahr aufbewahrt werden. So bleibt späterem Ermittlern ein genügend langer Protokollvorlauf, um Ursache und Wirkung von Sicherheitsverletzungen zu analysieren.
3.4.11 Regelmäßiges Testen der Sicherheitssysteme und -prozesse
Gerade im Bereich der Drahtlosen Netzwerke bieten sich viele Möglichkeiten für böswillige Personen, in das Unternehmensnetzwerk einzudringen. Aus diesem Grund müssen regelmäßig, mindestens jedoch 1x im Quartal Tests auf WLAN-Zugriffspunkte mit einem Analysegerät oder mit einem IDS/IPS-System durchgeführt werden.
In einem Prozess muss dokumentiert werden, wie mit gefundenen Sicherheitslücken (als Beispiel ein unauthorisierter Access-Point) umgegangen wird.
Das Ausführen interner und externer Netzwerkanfälligkeits-Scans gehört mindestens vierteljährlich und nach jeder markanten Netzwerkänderung zum QA-Prozess. Diese Scans müssen durch einen ASV durchgeführt werden, der vom PCI SSC zugelassen wurde.
Zur weiteren Absicherung des Netzwerkes müssen Penetrationstests mindestens 1x jährlich und nach jeder größeren Infrastruktur-Änderung durchgeführt werden. Die Penetrationstests werden im Vergleich zu Netzwerkanfälligkeits-Scans eher manuell durchgeführt und sollen noch offene Lücken auf Netzwerk- und Anwendungsebene aufzeigen.
Innerhalb des Unternehmens muss eine Software zur Überwachung der Dateiintegrität bereitgestellt werden, die alarmiert, wenn nicht autorisierte Änderungen an ansonsten statischen Dateien vorgenommen werden. Mindestens 1x pro Woche muss ein Vergleich zwischen wichtigen Dateien erfolgen.
3.4.12 Befolgen einer Richtlinie zur Informationssicherheit für Mitarbeiter und Subunternehmer
Durch eine im Unternehmen weit verbreitete Informationssicherheitsrichtlinie wird sichergestellt, dass alle Mitarbeiter ein Gefühl für die Sicherheit von Daten gewinnen. In einer Richtlinie sollten u.a. folgende Elemente vorhanden sein:
- Alle PCI-DSS-Anforderungen
- Jährlicher Prozess zur Ermittlung von neuen Anfälligkeiten, die offiziell vom Risikomanagement beurteilt werden
- eine Überprüfung mindestens 1x im Jahr
Des weiteren beschreibt die Richtlinie noch einmal die wichtigsten Elemente, um einem Datenmissbrauch vorzubeugen.
4 Auswirkungen
4.1 Wie teuer ist die Umsetzung des PCI DSS in der Praxis?
Jeder neue Standard, jede neue Richtlinie, jedes neue Gesetz zieht einen immensen Aufwand und damit verbundene Kosten nach sich. Es gibt bis heute (Stand Januar 2009) keine verlässlichen Aussagen über die Kosten der Umsetzung des PCI DSS in die Praxis. Die tatsächlichen Kosten für die PCI-DSS-Zertifizierung sind sehr stark davon abhängig, welche Anforderungen des PCI-DSS bereits Aufgrund anderer Zertifizierungen - beispielsweise durch den Sarbanes-Oxley-Act - im Unternehmen umgesetzt wurden. Müssen beispielsweise für jede Filiale einer Einzelhandelskette zunächst noch Firewall-Systeme und andere Komponenten gekauft werden ist der finanzielle Aufwand viel höher als bei einen Unternehmen, was bereits eine bestehende Firewallstruktur nachweisen kann und diese (nur leicht) anpassen muss. Die Kosten können also von geschätzten 500 Euro pro Filliale bis weit in den 4-stelligen Bereich variieren.
5 Fazit
5.1 Grenzen des PCI DSS
5.1.1 Umsetzungszeit
Ein Zyklus des PCI DSS läuft in 24 Monaten ab. In den ersten 9 Monaten findet die 1. Phase des PCI DSS statt. In diesem Zeitraum wird beteiligten Unternehmen die Möglichkeit gegeben, die aktuelle Version des PCI DSS zu leben und die Unternehmensstruktur anzupassen. In den darauf folgenden Monaten werden Feedback und Verbesserungsvorschläge eingeholt, die für die nächste Version des PCI DSS verwendet werden. In der Praxis gestaltet sich die initiale Umsetzung des PCI DSS schwierig, da unter Umständen mehrere hundert Fillialen einmalig mit der benötigten (Netzwerk-)Infrastruktur ausgestattet werden müssen. Sobald die initiale Umsetzung erledigt ist, und alle weiteren Änderungen Zentral durch Software gelöst werden können, sind Änderungen zu einer neuen Version des PCI DSS leichter zu konfigurieren.
5.1.2 Kostenübernahme gerade bei kleinen Unternehmen
Gerade bei kleinen Unternehmen (als Beispiel weniger als 10 Fillialen, Kategorie 4 im PCI DSS), fallen die Kosten für eine PCI DSS-Konforme Datenverarbeitung pro Filliale sehr hoch aus. Es ist unrealistisch, eine zentrale, hochwertige Firewall pro Filiale zu installieren, denn die Kosten würden in keinem Verhältnis zum Nutzen stehen. In solchen Fällen muss genau überlegt werden, ob man wirklich Kreditkartendaten verarbeiten muss oder ob es nicht einfacher ist, ganz auf Kreditkartenannahme zu verzichten.
5.1.3 Kontrollen
Gerade in den Kategorien 2-4 ist keine Überprüfung durch einen externen Prüfer vorgeschrieben. Unternehmen können also zunächst angeben, sie arbeiten PCI DSS-Konform, ohne dass dies von dritten überprüft wurde. Durch Kontrollen können diese "schwarzen Schafe" ausfindig gemacht werden, allerdings wird nur bei akutem Verdacht oder bei Missbrauch von Kreditkartendaten eine Kontrolle stattfinden. Als Kreditkarteninhaber kann man sich also nicht sicher sein, dass ein Unternehmen wirklich PCI DSS-Konform arbeitet oder nicht, solange keine Prüfung von Extern durchgeführt wurde.
5.2 Ausblick für die Zukunft, Sicherheit der Kreditkartendaten
Durch die Einführung des PCI-DSS soll die Zahl der Sicherheitsvorfälle im Bereich der Kreditkarten abnehmen. In der Praxis ist dies bisher nicht nachzuweisen, da es noch keine verfügbaren Statistiken über angewehrte Zugriffsverletzungen und vereitelte Spionageversuche gibt. In jedem Fall ist der PCI-DSS ein weiterer Standard, der umgesetzt werden möchte. Zusammen mit dem Sarbanes Oxley Act und weiteren wird es für Unternehmen immer schwieriger, den damit verbundenen Aufwand zu bewältigen, um auch in Zukunft am Markt agieren zu können. Sobald die ersten großen Spionageangriffe auf Kreditkartendaten dank des PCI-DSS vereitelt werden konnten wird die Umsetzung des PCI-DSS weiter an Fahrt aufnehmen.
6 Fußnoten
- ↑ Vergl. http://www.boston.com/business/globe/articles/2007/03/29/breach_of_data_at_tjx_is_called_the_biggest_ever/
- ↑ Vergl. http://www.snl.com/irweblinkx/file.aspx?IID=4094417&FID=723125
- ↑ http://www.netzeitung.de/internet/380468.html
- ↑ SYN-Flooding, siehe dazu auch http://de.wikipedia.org/wiki/SYN-Flood
- ↑ Unter 0-Day-Exploits versteht sich die Veröffentlichung und Verbreitung innerhalb von einer Stunde
- ↑ POS = Point-Of-Sale, der Zahlbereich zum Beispiel im Einzelhandel
- ↑ Bei der Versendung von Medien ist weterhin vorsicht geboten, siehe dazu auch http://www.antivirensoftware.org/aktuelles/landesbank-berlin-wurden-kreditkartendaten-gestohlen/
7 Abkürzungsverzeichnis
| Abkürzung | Bedeutung |
|---|---|
| AD-Controller | ActiveDirectory-Controller |
| ASV | Approved Scanning Vendor |
| DNS | DomainNameService, auch DomainNameSystem |
| FOM | Fachhochschule fuer Oekonomie und Management - http://www.fom.de |
| FTP | FileTransferProtocol |
| GRPS | General Packet Radio Service |
| GSM | Global System for Mobile Communications |
| IPSec | InternetProtocolSecure |
| NTP | NetworkTimeProtocol |
| PAN | PrimanyAccountNumber |
| PCI-DSS | Payment Card Industry Data Security Standard |
| PCI-SSC | Payment Card Industry Security Standards Council |
| POS | Point of Sale |
| RADIUS | Remote Authentication Dial-In User Service |
| SSL | SecureSocketLayer |
| TACACS | Terminal Access Controller Access Control System |
| WEP | Wired Equivalent Privacy |
| WLAN | WirelessLocalAreaNetwork |
8 Literatur- und Quellenverzeichnis
| PCI DSS Deutsch (2008) | https://www.pcisecuritystandards.org/pdfs/pci_dss_german.pdf |
| Zeitungen mit Kreditkartendaten ausgeliefert, 2006 | http://www.netzeitung.de/internet/380468.html |
| Navigating the PCI-DSS (2008) | https://www.pcisecuritystandards.org/security_standards/docs/navigating_dss_de.pdf |
| heise Security online (2008/2009) | http://www.heisec.de |
