Am 31.03.2022 veröffentlichte das Payment Card Industry Security Standards Council (PCI SSC) Version 4.0 des PCI DSS – das umfangreichste Update des Standards seit Version 1.0. Um Ihnen den Übergang zu vereinfachen, werfen wir in unserer Postreihe einen genaueren Blick auf die wichtigsten Neuerungen, die PCI DSS v.4.0 mit sich bringt. Im vierten Teil betrachten wir die neue Anforderung zu authentifizierten Schwachstellenscans.
Der PCI DSS verpflichtet Unternehmen zur vierteljährlichen Durchführung von internen Schwachstellenscans. Gescannt werden dabei alle Server und sonstigen Systeme, die sich im PCI DSS-Scope befinden, um Schwachstellen in Applikationen, Betriebssystemen und Netzwerkgeräten zu finden. In der Regel erfolgen solche Scans unter Verwendung eines Security Scanners – typische Anbieter von solchen Tools oder auch der gesamten Dienstleistung sind beispielsweise Qualys oder tenable. Die Scan-Tools haben dabei bisher nur unauthentifizerte Scans durchgeführt, d.h. sie haben keine Möglichkeit, sich an den jeweiligen Systemen anzumelden. Sie können also nur nicht-authentifizierte Anfragen senden, und die Rückmeldungen der Systeme auswerten.
Neue PCS DSS-Anforderung: Authentifizierte Schwachstellenscans
Zukünftig müssen die Scanner mit Login-Daten ausgestattet werden, damit sie sich an den jeweiligen Systemen anmelden können. Damit können sie mehr Informationen von den Systemen einholen und haben damit auch besser Möglichkeiten, eventuelle Schwachstellen zu erkennen. So können sie beispielsweise direkt Informationen zu den Software-Ständen und zur Konfiguration der Systeme abfragen.
Anforderung 11.3.1.2
Die Anforderung ist „future-dated“, also erst ab dem 1. April 2025 verpflichtend umzusetzen.
11.3.1.2 Internal vulnerability scans are performed via authenticated scanning as follows:
- Systems that are unable to accept credentials for authenticated scanning are documented.
- Sufficient privileges are used for those systems that accept credentials for scanning.
- If accounts used for authenticated scanning can be used for interactive login, they are managed in accordance with Requirement 8.2.2.
Quelle: PCI DSS: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf
Welche Systeme sind betroffen?
Nach einem „Best Can“-Ansatz sollen authentifizierte Schwachstellenscans auf allen Systemen im Scope durchgeführt werden, auf denen dies möglich ist. Am einfachsten wird dies bei Betriebssystemen wie Windows und Linux/Unix durchzuführen sein.
Andere Systeme wie Netzwerk-Geräte, Security Appliances, Mainframes oder Container bieten jedoch oft gar keine Möglichkeit, Login-Daten zu übergeben. Wo dies nicht möglich ist, entfällt die neue Anforderung.
Wie funktioniert die Umsetzung?
Für die konkrete Umsetzung sind zunächst die Anbieter der Security-Scanner in der Pflicht. Diese müssen ihre Scanner so ausstatten (oder haben das schon getan), dass diese die Scans authentifiziert durchführen können. Welche Komponenten genau auf den verschiedenen Systemtypen zusätzlich gescannt werden, gibt der Standard nicht vor. Hierzu werden sich Best Practices entwickeln.
Nächste Schritte
Betroffene Unternehmen sollten die Scan-Lösung, die sie verwenden, genau betrachten und beurteilen, ob diese der neuen PCI DSS-Anforderung nach authentifizierten Scans genügt:
- Prüfen Sie, ob Ihre Scan-Lösung authentifizierte Scans beherrscht
- Wechseln Sie gegebenenfalls auf eine andere Scan-Lösung, die möglichst viele Klassen von Systemen abdecken kann
- Legen Sie auf den zu scannenden Systemen entsprechende Accounts an
- Hinterlegen Sie die Login-Daten auf den Scannern
Wichtig: Die Accounts, die für diese Scans verwendet werden, verfügen in der Regel über höhere Privilegien – auf Windows-Systemen müssen sie beispielsweise in der Lage sein, die Registry auszulesen. Sie sollten daher als sehr privilegiert betrachtet und entsprechend den PCI DSS-Anforderungen 7 und 8 geschützt und kontrolliert werden.
Die Implementierung durch die Scan-Anbieter ist hier entscheidend. Kunden können hier (zumindest bei den namhaften Anbietern) jedoch darauf vertrauen, dass die neue Anforderung von den Anbietern sachgerecht umgesetzt wird.