PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Technical User Handling

8. September 2022

Am 31.03.2022 veröffentlichte das Payment Card Industry Security Standards Council (PCI SSCVersion 4.0 des PCI DSS – das umfangreichste Update des Standards seit Version 1.0. Um Ihnen den Übergang zu vereinfachen, werfen wir in unserer Postreihe einen genaueren Blick auf die wichtigsten Neuerungen, die PCI DSS v.4.0 mit sich bringt. Im zweiten Teil betrachten wir die neuen Anforderungen zum Technical User Handling.

Was sind Technical User?

Als Technical User, technische Benutzer, Anwendungs- oder Systemkonten werden Benutzerkonten bezeichnet, die von Systemen oder IT-Anwendungen verwendet werden und nicht einem eindeutigen menschlichen Benutzer zugeordnet sind. Dabei handelt es sich in der Regel um Benutzerkonten, die zur Kommunikation von IT-Anwendungen untereinander oder mit Datenbanken erforderlich sind.

Einige technische Benutzer werden sowohl von Anwendungen und Systemen als auch von menschlichen Benutzern verwendet. In solchen Fällen spricht man von technischen Benutzerkonten mit interaktivem Login.

Technical User im PCI DSS

Der Umgang mit technischen Benutzern/Systemaccounts (Technical Users) wurde in vergangenen Versionen des PCI DSS nicht explizit thematisiert. Werden solche Konten jedoch erfolgreich kompromittiert, entstehen ähnliche Gefahren wie durch die Kompromittierung eines Kontos, das einem menschlichen Benutzer zugeordnet ist. Angreifer können durch die Übernahme des Kontos dieselben Zugriffsrechte und Privilegien erhalten, die sonst ausschließlich für das Ausführen von Anwendungen oder von Systemprozessen gewährt worden sind. Insbesondere mit der rasanten Ausbreitung neuerer Technologien, wie Infrastructure as Code, wächst auch die Tragweite der potenziellen Auswirkungen einer solchen Kompromittierung. Daher müssen Unternehmen sicherstellen, dass für technische Benutzer ebenso wirksame Sicherheitsmaßnahmen getroffen werden wie für die Konten menschlicher Benutzer. In Version 4.0 enthält der PCI DSS deshalb erstmals konkrete Anforderungen an den Umgang mit technischen Benutzerkonten.

PCI DSS-Anforderungen zum Technical User Handling

Version 4.0 des PCI DSS formuliert erstmalig einige konkrete Anforderungen zum Umgang mit technischen Benutzern. Im Wesentlichen fokussieren diese sich auf Maßnahmen zur Rechteeinschränkung, dem Schutz von Passwörtern und dem Logging von Zugriffen auf (interaktive) technische Benutzerkonten:

Rechteeinschränkung

Anforderung 7.2.5

Alle Anwendungs- und Systemkonten und die damit verbundenen Zugriffsrechte werden wie folgt zugewiesen und verwaltet:

PCI DSS Technical User
  • Auf Grundlage der geringsten Privilegien, die für die Funktionsfähigkeit des Systems oder der Anwendung erforderlich sind
  • Der Zugriff ist auf die Systeme, Anwendungen oder Prozesse beschränkt, die ihre Nutzung ausdrücklich erfordern

Anforderung 7.2.5.1

Alle Zugriffe von Anwendungs- und Systemkonten und die damit verbundenen Zugriffsrechte werden wie folgt überprüft:

  • Regelmäßig (in der Häufigkeit, die in der gezielten Risikoanalyse (Anf. 12.3.1) des Unternehmens festgelegt ist)
  • Der Anwendungs-/Systemzugang bleibt für die ausgeführte Funktion angemessen.
  • Jeder unangemessene Zugriff wird adressiert.
  • Von Seiten des Managements wird bestätigt, dass der Zugang weiterhin angemessen ist.

Anforderung 8.6.1

Wenn von Systemen oder Anwendungen verwendete Konten für den interaktiven Login verwendet werden können, werden sie wie folgt verwaltet:

  • Die interaktive Nutzung wird verhindert, es sei denn, es liegt ein außergewöhnlicher Umstand vor.
  • Die interaktive Nutzung ist auf die Zeit beschränkt, die für den außergewöhnlichen Umstand erforderlich ist.
  • Die geschäftliche Rechtfertigung für die interaktive Nutzung wird dokumentiert.
  • Die interaktive Nutzung wird ausdrücklich von Seiten des Managements genehmigt.
  • Die Identität des einzelnen Benutzers wird bestätigt, bevor der Zugang zum Konto gewährt wird.
  • Jede durchgeführte Aktion ist einem einzelnen Benutzer zuzuordnen.

Schutz von Passwörtern/Passphrasen

Anforderung 8.6.2

  • Passwörter/Passphrasen für alle Anwendungs- und Systemkonten, die für die interaktive Anmeldung verwendet werden können, sind nicht in Skripten, Konfigurations-/Properties-Dateien oder maßgeschneidertem und benutzerdefiniertem Quellcode fest kodiert.

Anforderung 8.6.3

Passwörter/Passphrasen für alle Anwendungs- und Systemkonten sind wie folgt vor Missbrauch geschützt:

  • Passwörter/Passphrasen werden regelmäßig geändert (in der Häufigkeit, die in der gezielten Risikoanalyse des Unternehmens festgelegt ist (Anf. 12.3.1) und bei Verdacht oder Bestätigung einer Kompromittierung.
  • Passwörter/Passphrasen werden mit einer Komplexität erstellt, die für die Häufigkeit, mit der das Unternehmen die Passwörter/Passphrasen ändert, angemessen ist.

Logging von Aktivitäten durch interaktive technische Benutzerkonten

Anforderung 10.2.1.2

  • Audit-Protokolle erfassen alle Aktionen, die von Personen mit administrativem Zugriff durchgeführt werden, einschließlich der interaktiven Nutzung von Anwendungs- oder Systemkonten.

Quelle: PCI DSS v4.0 – eigene Übersetzung

Nächste Schritte

Effektive Sicherheitsmaßnahmen zum Schutz von technischen Benutzerkonten sind vor allem vor dem Hintergrund sich entwickelnder Technologien für ein starkes IT-Sicherheitsniveau unerlässlich. Um entsprechende Maßnahmen umsetzen zu können, ist eine vollständige Erfassung und Auflistung aller verwendeter technischer Benutzerkonten der logische erste Schritt. Insbesondere für Unternehmen mit umfangreichen IT-Umgebungen, in denen eine Vielzahl von technischen Benutzern im Einsatz sind, kann bereits dieser erste Schritt und die anschließende Umsetzung der im PCI DSS v4.0 geforderten Maßnahmen zu einer größeren Aufgabe werden. Sollten Sie hierbei Unterstützung oder Beratung benötigen, steht Ihnen Ihr PCI-DSS-Auditor bei dieser Aufgabe zur Seite.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien