Das PCI-DSS-Regelwerk wurde Ende 2013 modifiziert. Die aktuell gültige Version 3.0 hat dabei teilweise eine deutliche Verschärfung der Sicherheitsvorgaben mit sich gebracht. Mehrere Neuerungen wirken sich auch direkt auf das Management und die Sicherung privilegierter Benutzerkonten aus. Die wichtigsten listet Sicherheitssoftware-Anbieter CyberArk auf.
Das Datenschutz-Regelwerk der Kreditkartenindustrie, der Payment Card Industry Data Security Standard, umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunter-nehmen und Dienstleistern, die Kreditkarten-Daten erfassen, bear-beiten oder übermitteln. Gefordert wird unter anderem auch ein striktes Passwort-Management. In der Version 3.0 gibt es einige neue Anforderungen und zusätzliche Erläuterungen, die auch aus Passwort-Management-Perspektive von Bedeutung sind. Drei zent-rale Punkte nennt CyberArk, sie betreffen die PCI-Regelungen 2, 8 und 10.
In Anforderung 2 (Keine vom Anbieter gelieferten Standardeinstel-lungen für Systemkennwörter und andere Sicherheitsparameter verwenden) wird die Änderung von Default-Kennwörtern geregelt. Konkret verlangt wird die „Änderung der Standardeinstellungen des Anbieters und Entfernung bzw. Deaktivierung unnötiger Standard-konten stets vor der Installation eines Systems im Netzwerk“.
In der Version 3.0 wurde dabei verdeutlicht, dass diese Anforderung für alle Standardkennwörter gilt. Konkret genannt werden zum Bei-spiel Anwendungs- und Systemkonten, Betriebssysteme, Sicher-heitssoftware oder POS (Point of Sale)-Terminals.
In der Anforderung 8 (Zugriff auf Systemkomponenten identifizieren und authentifizieren) wird unter anderem gefordert, dass jeder Per-son mit Computerzugriff eine eindeutige ID zugewiesen wird. Es wird zudem verlangt, dass keine Konten und Kennwörter von Grup-pen beziehungsweise mehreren Personen genutzt werden, um si-cherzustellen, dass jeder Benutzer identifizierbar ist. Ziel ist, dass alle Aktivitäten, die mit unternehmenskritischen Daten und Syste-men verbunden sind, nur von dazu autorisierten Benutzern durchge-führt werden können.
In der neuen Version 3.0 werden dabei auch verstärkt die Anforde-rungen im Hinblick auf die Verwaltung von IDs herausgestellt, die von externen Dienstleistern für den Remote-Zugriff auf Unterneh-menssysteme genutzt werden. Sie sollen überwacht werden und auch nur solange aktiv sein, wie sie benötigt werden.
Neu hinzugekommen ist außerdem die Anforderung, dass Service Provider mit Remote-Zugangsmöglichkeit zu Kundensystemen für jeden Kunden eindeutige Authentifizierungsinformationen verwen-den müssen.
In der PCI-Regelung 10 (Verfolgung und Überwachung des gesam-ten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten) wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkar-teninhabern gefordert. Diese Anforderungen müssen mit einer de-taillierten, revisionssicheren Protokollierung der Passwortnutzung abgedeckt werden. Deshalb sind Prozesse oder Systeme zur auto-matischen Generierung von „Audit-Trails“ zu implementieren, mit denen der Zugriff auf alle Systemkomponenten – insbesondere von Benutzern mit Administratorrechten – einem individuellen User zu-zuordnen ist.
In der Version PCI DSS 3.0 wird jetzt zudem explizit herausgestellt, dass eine Überprüfung von Protokollen und Systemereignissen auf Unregelmäßigkeiten oder verdächtige Aktivitäten zu erfolgen hat. Das heißt, es wurde verdeutlicht, dass das Ziel von Protokollüber-prüfungen auch in der Identifikation von Anomalien liegt.
„Viele Unternehmen setzen bei der Umsetzung der PCI-Vorgaben nach wie vor auf manuelle Prozesse. Das betrifft auch die manuelle Änderung von Passwörtern“, betont Jochen Koehler, Regional Di-rector DACH bei CyberArk in Heilbronn. „Es hat sich allerdings ge-zeigt, dass dies in einer zunehmend komplexeren IT-Welt ein fal-scher Ansatz ist, der zudem extrem zeitaufwändig und fehlerbehaf-tet ist. Eine Softwarelösung, mit der administrative Passwörter si-cher und zentral abgelegt, automatisch verwaltet, regelmäßig geän-dert und überwacht werden können, sollte heute eigentlich Standard im IT-Betrieb sein.“
CyberArk bietet in diesem Bereich die Privileged Account Security Suite an. Sie bietet etliche Funktionen und Leistungsmerkmale, die gerade die Umsetzung zentraler PCI-DSS-Anforderungen wesent-lich erleichtern. Dazu gehören
• das automatische Passwort-Management für die gesamte IT-Infrastruktur: von Servern (Windows/Unix/Linux) und Desktops über Datenbanken (Oracle Database, MS SQL Server, DB2 etc.) bis hin zu Netzwerkkomponenten
• die automatische Verwaltung und Änderung privilegierter Pass-wörter (zum Beispiel „Administrator“ bei Windows, „Root“ bei Unix oder „Cisco Enable“ bei Cisco-Geräten)
• die Änderung von Default-Kennwörtern
• die Personalisierung von Shared Accounts wie „Root“
• die Eliminierung von Passwörtern, die im Programmcode, in Skripten oder Konfigurationsdateien eingebettet sind
• die Protokollierung und Überwachung aller privilegierten Zugriffe
• die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nut-zung privilegierter Accounts
CyberArk hat im Hinblick auf die erweiterten Anforderungen der PCI-DSS-Version 3.0 auch das neue Whitepaper „Securing Privile-ged Accounts: Meeting the Payment Card Industry Data Security Standard 3.0 with CyberArk Solutions” konzipiert. Es steht zur Ver-fügung unter http://www.cyberark.com/contact/meeting-the-payment-card-industry-data-security-standard.
