Unser Kollege Phillip Meyer war 2023/2024 Teil der Special Interest Group “Scoping and Segmentation for Modern Network Architectures” des PCI Security Standards Council. Wir haben ihm dazu einige Fragen gestellt.
Phillip, würdest du uns bitte noch einmal kurz erklären, was eine SIG ist?
Phillip Meyer: Die Special Interest Groups (SIGs) sind vom PCI SSC moderierte und von der PCI-Community getragene Initiativen. Sie haben den Zweck, Ressourcen zu erarbeiten, die als Ergänzungen zu den Standards hinzugezogen werden können. Die Teilnahme ist freiwillig, dennoch kommen regelmäßig Auditor*innen und Vertreter*innen von zahlreichen Unternehmen, die von PCI-Standards betroffen sind, zusammen, um Best Practices zu diskutieren und auszutauschen. Die Ergebnisse werden der Community in Form von Guidance-Dokumenten zur Verfügung gestellt.
Wie arbeitet ihr in der SIG zusammen?
P.M.: Die Aufgabe des PCI SSCs liegt lediglich bei der Themenvorgabe, der Vorgabe des Zeitplans und der Unterstützung der freiwilligen Teilnehmer*innen bei der Erstellung des finalen Dokuments. Der Input für die Guidance-Dokumente kommt von den teilnehmenden Unternehmen selbst. In der Periode 2023/2024 waren Vertreter*innen von insgesamt 81 Unternehmen an der SIG “Scoping and Segmentation for Modern Network Architectures” beteiligt. Ein Jahr lang kamen wir zweimal monatlich zum Austausch in einem Call zusammen. Zwischen diesen Abstimmungs-Meetings haben wir dann in mehreren Kleingruppen Stück für Stück an dem neuen Dokument gearbeitet.
Das Ergebnis eurer Arbeit ist die neue ‚Scoping und Segmentation Guidance for Modern Network Architectures‘, die im September erschienen ist. Warum hat das PCI SCC gerade dieses Thema gewählt?
P.M.: Die SIG 2023 hatte den Auftrag, sich dem Thema moderner Netzwerkarchitekturen, einschließlich Cloud-Diensten und Zero-Trust-Netzwerken, im PCI DSS Umfeld zu widmen. Diese setzen sich mehr und mehr in vielen Unternehmen durch. So ist es mittlerweile auch im PCI DSS-Umfeld üblich, hybride Umgebungen mit Cloud- oder sogar Multi-Cloud-Umgebungen neben traditionellen Netzwerkarchitekturen zu sehen. Oft werden aber beispielsweise traditionelle PCI DSS-Scoping- und Segmentierungspraktiken auf moderne Netzwerkarchitekturen angewendet. Dadurch können Sicherheitslücken entstehen und Angreifer haben potenziell mehr Spielraum für verschiedenste Angriffsvektoren. Gerade im Rahmen von PCI DSS ist die richtige Segmentierung der Karteninhaberdatenumgebung (CDE) signifikant wichtig, weswegen das PCI SSC mit Hilfe der Community genau dieses Thema nun angegangen ist.
An wen richtet sich die Guidance?
P.M.: Das nun entstandene Dokument bietet eine Anleitung zu Best Practices, die in den oben beschriebenen Szenarien zu berücksichtigen sind, und richtet sich an alle vom PCI DSS betroffenen Unternehmen, die Informationen und Best Practices zu Scoping- oder Segmentierungspraktiken innerhalb von modernen Netzwerkarchitekturen suchen und benötigen. Auch einige Tipps und Hinweise zu einzelnen Anforderungen des PCI DSS bzw. für den Umgang mit diesen innerhalb moderner Netzwerkarchitekturen sind im Dokument zu finden. Beispielsweise gibt es Hinweise zum Umgang mit Segmentierungstests oder der Pflege von Systemlisten bei der Nutzung flüchtiger Microservices.
Wichtig ist allerdings, dass das Dokument den PCI DSS nicht ersetzt. Es soll unterstützen und ergänzende Informationen liefern. Ich glaube, dass uns das sehr gut gelungen ist.