Suchen

Unternehmen vernachlässigen PCI-DSS Richtlinien Admin-Passwort-Management ist Grundbedingung für PCI-Zertifizierung

| Redakteur: Peter Schmitz

Die PCI-DSS Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Sicherheitsexperte Cyber-Ark sieht bei vielen Firmen aber einen erheblichen Nachholbedarf: Sie vernachlässigen wesentliche Vorschriften sträflich.

Firmen zum Thema

Viele Unternehmen vernachlässigen die Datenschutzregeln des PCI-DSS Standards, ein häufiger Kritikpunkt ist die Verwaltung der Admin-Konten.
Viele Unternehmen vernachlässigen die Datenschutzregeln des PCI-DSS Standards, ein häufiger Kritikpunkt ist die Verwaltung der Admin-Konten.
( Archiv: Vogel Business Media )

Das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS) umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunternehmen und Dienstleistern, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln.

Ralph Wörn, CEO der Acertigo AG, die auf Compliance Services für die Payment-Card-Industrie wie Validierung und Zertifizierung nach dem PCI-Standard spezialisiert ist, betont: „Bei vielen Auditierungen müssen wir die Verwaltung der privilegierten Benutzerkonten bemängeln. Auch wenn die Unternehmen dazu hinreichend organisatorische Prozesse definiert haben, gibt es bei der laufenden Einhaltung der Vorgaben zum Teil noch sehr große Lücken.“

Besonders privilegierte Accounts, wie sie IT-Administratoren besitzen, stellen in jedem Unternehmen ein erhebliches Sicherheitsrisiko dar. Die Passwörter der administrativen Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen. Ein verantwortungsvoller Umgang mit den Kennwörtern ist jedoch die Ausnahme.

Kernproblem ist dabei, dass sich auf den IT-Systemen teilweise identische und oft leicht zu entschlüsselnde Passwörter finden. Sie werden zudem meistens nur selten oder sogar nie geändert. Der Grund ist klar: Die Passwörter werden in der Regel manuell verwaltet und eine Änderung ist mit einem erheblichen zeitlichen Aufwand verbunden.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: „Hier werden eindeutig PCI-Vorschriften missachtet. Eine Lösung der Problematik ist nur mit der Implementierung einer Applikation möglich, mit der alle privilegierten administrativen Accounts automatisch verwaltet und überwacht werden können.“

Cyber-Ark bietet hier die Lösung Enterprise Password Vault an, die eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Die Passwörter befinden sich dabei verschlüsselt in einem „digitalen Tresor“, dem Vault. Durch eine vollständige Zugriffskontrolle und Protokollierung kann die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden.

Ralph Wörn ergänzt: „Eine Feststellung bei unseren Audits ist der unbedarfte Umgang mit in Software-Code eingebetteten Passwörtern. Die Änderungsintervalle werden oftmals nicht eingehalten. Und zudem sind die Passwörter meistens einem größeren Personenkreis zugänglich. Das verletzt die Anforderungen des PCI-Standards.“

Die Cyber-Ark-Lösung in diesem Bereich lautet Application Identity Manager. Er ermöglicht die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files - den sogenannten Hardcoded Software Accounts. Mit der Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im digitalen Datentresor von Cyber-Ark abgelegt, überprüft und verwaltet werden.

(ID:2022911)