Stichtag 1. Februar: PCI‑DSS 3.2 – sechs Änderungen im neuen Standard des digitalen Zahlungsverkehrs

Am 1. Februar 2017 wird der neue Sicher­heits­standard PCI-DSS 3.2 für Dienstleistungsanbieter im digitalen Zahlungsverkehr in Kraft treten. Mit der Einführung der neuen Version werden die bereits bestehenden Regelungen noch einmal verschärft – und dies nicht ohne Grund. Werden die Angriffe auf die IT-Netze von Banken, Kreditkartenunternehmen und ähnlichen Dienstleistern doch immer ausgereifter.

von Georg Gann, Sales Director Central Europe und Jens Sabitzer, Sales Engineer DACH bei Venafi

Im Sommer dieses Jahres wurden weite Teile der indischen Bankenlandschaft Opfer eines komplexen und langfristig angelegten Cyber-Angriffs. Hacker hatten die IT-Netzwerke der dort gebräuchlichen Bankautomaten vom Typ Hitachi Payment Services mit Malware infiziert. 19 Bankhäuser und Bankkarten von rund 3,2 Mio. Kunden schienen zunächst betroffen.

Wenige Kunden, großer Schaden

Zwar ergaben tiefergehende Untersuchungen rasch, dass tatsächlich nur 0,5 Prozent der betroffenen Kundenkarten kompromittiert worden waren. Umgerechnet 0,75 Millionen Euro hatten die Hacker von gerade einmal 641 Kunden erbeutet. Das Vertrauen der indischen Bankkunden in den digitalen Zahlungsverkehr dürfte der Angriff aber dennoch nachhaltig erschüttert haben.

Suche dauerte drei Monate

Untersuchungen ergaben, dass der Angriff bereits zwischen Mai und Juli eingeleitet worden war. Über drei Monate hatte es gedauert, bis die IT-Sicher­heits­abteilungen der Banken die Malware der Hacker aufgespürt und bestehende Sicherheitslücken geschlossen hatten. So ließ die State Bank of India 600.000 betroffene Karten erst am 19. Oktober sperren.

Bei den übrigen Bankhäusern sah es nicht viel besser aus. Alle betroffenen Kunden wurden umgehend angewiesen, ihre PIN-Nummern zu ändern. Die Bankhäuser wurden nicht müde zu betonen, dass ab sofort verschärfte Sicherheitsvorkehrungen gelten würden. “Banks are definitely revisiting their network security by applying additional layers of security to prevent any compromise”, so Rajiv Anand, Executive Director der Axis Bank. Doch dürften solche Aussagen das Sicherheitsbedürfnis der indischen Bankkunden kaum zufriedengestellt haben. Kamen sie doch über drei Monate zu spät.

Eher dürften sie bei ihnen die Frage aufgeworfen haben, ob die Sicherheitsstandards ihrer jeweiligen Bank tatsächlich noch ihren Ansprüchen für den digitalen Zahlungsverkehr im 21. Jahrhundert genügen.”

Die nächste Generation – der PCI-DSS Version 3.2

Um solch einen Standard zu formulieren, schlossen sich 2006 die fünf Finanzdienstleiter American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. zusammen. Aus deren Konsultationen ging der Payment Card Industry Data Security Standard (PCI-DSS) hervor, der digitalen Finanzdienstleistern seitdem als Rahmen in puncto IT-Sicherheit dient. Stetig wurde der Standard weiterentwickelt, um mit den Taktiken und Strategien der Angreifer Schritt zu halten. Im April diesen Jahres ist nun die neueste Version, der PCI DSS 3.2, veröffentlicht worden. Auf zwölf Gebieten müssen die IT-Netzwerke der Finanzdienstleister spezielle Anforderungen erfüllen, um dem PCI-DSS gerecht zu werden.

Sechs Gebiete mit Neuerungen – Was hat sich nun mit der letzten Erneuerung verändert?

Auf sechs dieser Gebiete wurden Neuerungen eingeführt, die Finanzdienstleister nun auch in ihre IT-Systeme implementieren müssen:

1. Bereich 3 (Schutz der gespeicherten Daten von Kreditkarteninhabern) kommt es zu zwei Veränderungen. PAN-Anzeigen, die größer als die ersten sechs bzw. die letzten vier Ziffern der PAN sind, sind nun nur noch bei Nachweis eines legitimen betrieblichen Grundes zulässig. Außerdem sind Dienstleistungsanbieter nun verpflichtet, ihre kryptographische Architektur zu dokumentieren und diesbezügliche Berichte stets aktuell zu halten.
2. Bereich 6 (Entwicklung und Pflege sicherer Systeme und Anwendungen) gibt es eine Neuerung: Prozesse der Änderungskontrolle wurden um eine Prüfung der von der Änderung betroffenen PCI-DSS-Anforderungen ergänzt.
3. Bereich 8 (Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang) kommen Unteranforderungen für eine Multi-Faktor-Authentifizierung für alle Mitarbeiter mit Nichtkonsolen-Verwaltungszugriff, sowie für alle Mitarbeiter mit Fernzugriff auf das CDE neu hinzu.
4. Bereich 10 (Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern) wurden die Anforderungen an Dienstanbieter bei der Ermittlung und Meldung von Ausfällen wichtiger Sicherheitskontrollsysteme entscheidend erweitert.
5. Bereich 11 (Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse) müssen Dienstleistungsanbieter nun mindestens alle sechs Monate Penetrationstests an Segmentierungskontrollen durchführen.
6. Bereich 12 (Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit) wurden zwei Neuerungen implementiert. Erstens steht die Geschäftsführung der Dienstleister nun in der Verantwortung, den Schutz der Daten ihrer Karteninhaber sowie ein PCI-DSS-Konformitätsprogramm festzulegen. Und zweitens wurde eine Anforderung für Dienstleistungsanbieter eingeführt, die sicherstellen soll, dass mindestens vierteljährlich Überprüfungen zur Einhaltung der vereinbarten Sicherheitsrichtlinien durchgeführt werden.

Kryptographische Schlüssel und digitale Zertifikate – Empfehlungen über PCI DSS 3.2 hinaus

Die neue Richtlinie sieht erst ab Juni 2018 vor, TLS 1.1 oder höher für den Schutz und die Verschlüsselung des Datenverkehrs zu empfehlen. Das ist aus Sicht vieler Sicherheitsexperten zu spät.

Stattdessen sollten Finanz­unter­nehmen schon jetzt über eine verbindliche Einführung von SSL/TLS im Zuge der Umstellung auf PCI DSS 3.2 nachdenken.”

Wie bei so vielen Standards fehlen auch bei PCI DSS die Security Best Practices. Deshalb reicht es nicht, sich darauf zu verlassen, diese Thematik erst 2018 anzugehen. Im Durchschnitt nutzt ein Unternehmen mehr als 20.000 digitale Zertifikate und kryptographische Schlüssel, jedoch sind die meisten Unternehmen sich dessen nicht bewusst. Darüber hinaus werden sie oft manuell verwaltet, was die Fehleranfälligkeit bei Aktualisierungen erhöht. Die Folge können Ausfälle durch abgelaufene Zertifikate sein oder aber Sicherheitsvorfälle durch gefälschte Zertifikate, die für „Man-in-the-Middle“-Angriffe verwendet werden. Hier empfiehlt sich der Einsatz einer automatisierten Lösung zur Verwaltung von Schlüsseln und Zertifikaten, um diese Folgen zu verhindern.

Rechtzeitig umsteigen – Stichtag 1. Februar

Seit April letzten Jahres kann Version 3.2 auf der Webseite des PCI Security Standards Council eingesehen und heruntergeladen werden. Im Oktober wurde die Vorgängerversion 3.1 außer Kraft gesetzt. Seitdem gelten die neuen Vorgaben der Version 3.2 – zunächst allerdings nur als ‘best practice’. Zum 1. Februar 2017 wird PCI-DSS 3.2 dann endgültig als neuer Standard in Kraft treten. Noch wenige Wochen bleiben digitalen Finanzdienstleistern also, ihre Sicherheitsinfrastruktur den neuen Vorgaben anzupassen. Schon heute sollten sie sich allerdings über die Sicherheit ihrer Zertifikate und Schlüssel kümmern.aj