Um die Konformität mit dem Payment Card Industry Data Security Standard (PCI DSS) aufrechtzuerhalten, sollte ein Unternehmen regelmäßig die eigenen Sicherheitssysteme und Prozesse testen. Die Durchführung verschiedener, technischer Sicherheitsanalysen wie Penetrationstest, kurz Pentests, PCI Security Scans oder ASV Scans müssen dazu in einer vom PCI Security Standards Council (PCI SSC) festgelegten Frequenz gewährleistet werden. In diesem Beitrag erläutern wir Ihnen die unterschiedlichen technischen Sicherheitsanalysen im Kontext des PCI DSS.
Automatisierte Sicherheitsanalysen
Die PCI DSS Anforderung 11.2 verlangt von Unternehmen die Durchführung automatisierter Sicherheitsanalysen (sogenannte „Schwachstellenscans“).
In der Anforderung 11.2.1 wird eine automatische Schwachstellenüberprüfung interner IT-Systeme mindestens einmal pro Quartal sowie nach jeder wesentlichen Änderung verlangt. Die Analyse darf von qualifizierten Mitarbeitern durchgeführt werden. Qualifiziert sind Mitarbeiter, sofern sie über notwendiges praktisches Wissen im Kontext technischer Sicherheitsanalysen verfügen und dieses im Idealfall durch eine international anerkannte Zertifizierung wie den OSCP nachweisen können. Bei der automatisierten Sicherheitsanalyse werden sogenannte Schwachstellenscanner wie Qualys, Nessus oder OpenVAS eingesetzt. Auf dem Markt existieren jedoch zahlreiche weitere kommerzielle wie Open-Source-Lösungen. Weisen die Scanergebnisse PCI-relevante Schwachstellen auf, müssen diese behoben und anschließend die automatisierte Sicherheitsanalyse erneut durchgeführt werden.
In der PCI DSS Anforderung 11.2.2 wird von Unternehmen verlangt, dass aus dem Internet erreichbare IT-Systeme mittels einer automatisierten Sicherheitsanalyse auf Schwachstellen und Verwundbarkeiten überprüft werden. Systeme sind im Internet durch ihre Exponiertheit erhöhten Risiken ausgesetzt. Hacker und Kriminelle können schließlich direkt auf die Systeme zugreifen. Die geforderten automatisierten Sicherheitsanalysen dürfen deshalb, entgegen der zuvor genannten Anforderung 11.2.1, nicht durch einen Mitarbeiter durchgeführt, sondern müssen bei einem vom PCI SSC zertifizierten Approved Scanning Vendor (ASV) beauftragt werden. Welche Qualitätsansprüche Sie an Ihren ASV stellen sollten, können Sie unserem Interview über die Top 5 Qualitätskriterien eines Approved Scanning Vendors entnehmen. Werden kritische Schwachstellen identifiziert, müssen diese korrigiert und daraufhin die automatisierte Sicherheitsanalyse wiederholt werden.
Manuelle Sicherheitsanalysen
Aufgrund ihrer hohen Aussagekraft über die Verwundbarkeiten von IT-Systemen und Anwendungen legt der PCI DSS großen Wert auf die Durchführung von manuellen Sicherheitsanalysen, sogenannten Pentests. Gemäß der PCI DSS Anforderung 11.3 müssen interne und externe IT-Systeme sowie Anwendungen mindestens einmal im Jahr sowie nach jeder wesentlichen Änderungen mittels eines Pentest auf Schwachstellen überprüft werden. Als wesentliches Update zählt zum Beispiel ein Upgrade des Betriebssystems oder der Austausch der Datenbank-Technologie. Die Durchführung von Pentests setzt umfangreiches technisches Wissen sowie Erfahrungen im Umgang mit zahlreichen Angriffs-Tools und Technologien voraus. Obwohl Pentests von qualifizierten Mitarbeitern selbst durchgeführt werden dürfen, entscheiden sich viele Unternehmen dafür, Pentests extern zu vergeben.
Als akkreditierter Assessor berät und zertifiziert die usd AG Unternehmen nach den Vorgaben der Kreditkartenindustrie weltweit und ist als Approved Scanning Vendor (ASV) beim PCI Security Standards Council akkreditiert. Mit unseren PCI Security Scans und Pentests des usd HeroLab erfüllen Sie Ihre PCI-DSS-Anforderungen reibungslos. Wir freuen uns darauf, Sie kompetent zu beraten und Sie bis zu Ihrer erfolgreichen Zertifizierung zu begleiten. Sprechen Sie uns einfach an.