Datenschutz-Regelwerk der Kreditkartenindustrie
PCI-Compliance: Neue PCI-Version 3.0 verschärft Anforderungen an Passwort-Management
In der Version PCI DSS 3.0 wird explizit herausgestellt, dass eine Überprüfung von Protokollen und Systemereignissen auf Unregelmäßigkeiten oder verdächtige Aktivitäten zu erfolgen hat
(02.07.14) - Das PCI-DSS-Regelwerk wurde Ende 2013 modifiziert. Die aktuell gültige Version 3.0 hat dabei teilweise eine deutliche Verschärfung der Sicherheitsvorgaben mit sich gebracht. Mehrere Neuerungen wirken sich auch direkt auf das Management und die Sicherung privilegierter Benutzerkonten aus. Die wichtigsten listet CyberArk auf.
Das Datenschutz-Regelwerk der Kreditkartenindustrie, der Payment Card Industry Data Security Standard, umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunternehmen und Dienstleistern, die Kreditkarten-Daten erfassen, bearbeiten oder übermitteln. Gefordert wird unter anderem auch ein striktes Passwort-Management. In der Version 3.0 gibt es einige neue Anforderungen und zusätzliche Erläuterungen, die auch aus Passwort-Management-Perspektive von Bedeutung sind. Drei zentrale Punkte nennt CyberArk, sie betreffen die PCI-Regelungen 2, 8 und 10.
In Anforderung 2 (Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden) wird die Änderung von Default-Kennwörtern geregelt. Konkret verlangt wird die "Änderung der Standardeinstellungen des Anbieters und Entfernung bzw. Deaktivierung unnötiger Standardkonten stets vor der Installation eines Systems im Netzwerk".
In der Version 3.0 wurde dabei verdeutlicht, dass diese Anforderung für alle Standardkennwörter gilt. Konkret genannt werden zum Beispiel Anwendungs- und Systemkonten, Betriebssysteme, Sicherheitssoftware oder POS (Point of Sale)-Terminals.
In der Anforderung 8 (Zugriff auf Systemkomponenten identifizieren und authentifizieren) wird unter anderem gefordert, dass jeder Person mit Computerzugriff eine eindeutige ID zugewiesen wird. Es wird zudem verlangt, dass keine Konten und Kennwörter von Gruppen beziehungsweise mehreren Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Ziel ist, dass alle Aktivitäten, die mit unternehmenskritischen Daten und Systemen verbunden sind, nur von dazu autorisierten Benutzern durchgeführt werden können.
In der neuen Version 3.0 werden dabei auch verstärkt die Anforderungen im Hinblick auf die Verwaltung von IDs herausgestellt, die von externen Dienstleistern für den Remote-Zugriff auf Unternehmenssysteme genutzt werden. Sie sollen überwacht werden und auch nur solange aktiv sein, wie sie benötigt werden.
Neu hinzugekommen ist außerdem die Anforderung, dass Service Provider mit Remote-Zugangsmöglichkeit zu Kundensystemen für jeden Kunden eindeutige Authentifizierungsinformationen verwenden müssen.
In der PCI-Regelung 10 (Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten) wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern gefordert. Diese Anforderungen müssen mit einer detaillierten, revisionssicheren Protokollierung der Passwortnutzung abgedeckt werden. Deshalb sind Prozesse oder Systeme zur automatischen Generierung von "Audit-Trails" zu implementieren, mit denen der Zugriff auf alle Systemkomponenten insbesondere von Benutzern mit Administratorrechten einem individuellen User zuzuordnen ist.
In der Version PCI DSS 3.0 wird jetzt zudem explizit herausgestellt, dass eine Überprüfung von Protokollen und Systemereignissen auf Unregelmäßigkeiten oder verdächtige Aktivitäten zu erfolgen hat. Das heißt, es wurde verdeutlicht, dass das Ziel von Protokollüberprüfungen auch in der Identifikation von Anomalien liegt.
"Viele Unternehmen setzen bei der Umsetzung der PCI-Vorgaben nach wie vor auf manuelle Prozesse. Das betrifft auch die manuelle Änderung von Passwörtern", betont Jochen Koehler, Regional Director DACH bei CyberArk in Heilbronn. "Es hat sich allerdings gezeigt, dass dies in einer zunehmend komplexeren IT-Welt ein falscher Ansatz ist, der zudem extrem zeitaufwändig und fehlerbehaftet ist. Eine Softwarelösung, mit der administrative Passwörter sicher und zentral abgelegt, automatisch verwaltet, regelmäßig geändert und überwacht werden können, sollte heute eigentlich Standard im IT-Betrieb sein." (CyberArk: ra)
CyberArk: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.