:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zahlungsdaten müssen umfangreich geschützt werden PCI-Standards kennen und einhalten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Kartenzahlungen nehmen zu – und wurden zum Beispiel während der Corona-Pandemie fast zu einer Notwendigkeit, wenn Geschäfte zum bargeldlosen Zahlen aufforderten. Die Zahldaten der internationalen Zahlungssysteme von MasterCard, Visa und drei weiteren Anbietern werden von den Standards der Payment Card Industry (PCI) geschützt. Für Unternehmen, die Zahldaten im Namen dieser Anbieter erheben, verarbeiten und speichern, bedeutet das, besagte Standards einzuhalten und die Konformität regelmäßig nachweisen zu können.
PCI Standards wurden als Selbstverpflichtung der Marken Visa, Mastercard, American Express, Discover und JCB eingeführt, um den Schutz der Zahldaten dieser internationalen Zahlungssysteme zu gewährleisten. Es handelt es sich also nicht um gesetzliche Regelungen, sondern um akzeptierte Industriestandards. Alle Technologien, Prozesse und Produkte, die für Zahltransaktionen notwendig und an ihnen beteiligt sind, werden von den PCI Standards abgedeckt. Es gibt neun übergreifende Standards, die zum Teil wieder in Unterstandards unterteilt sind.
- 1. Der PCI DSS (Payment Card Industry Data Security Standard) ist der bekannteste. Er regelt den Umgang mit der Kreditkartennummer, der Primary Account Number, und gilt für alle, die Kartendaten speichern, verarbeiten und übertragen.
- 2. Im Standard PCI Card Production mit Unterstandards zur logischen und physischen Sicherheit wird der Schutz der Kartenproduktion geregelt.
- 3. Der Standard PCI PTS (PIN Transaction Security) schützt Produkte: Darüber wird die Sicherheit von Geräten gewährleistet, in die man eine PIN eingibt, zum Beispiel Pinpads von Geldautomaten oder Bezahlterminals an der Kasse.
- 4. Mit dem Standard PCI PA-DSS (Payment Application Data Security Standard) wird die Zahlungsapplikation geprüft. Er wird auf das PCI Software Security Framework umgestellt. Dabei werden Zahlungsanwendungen in Hintergrundsystemen oder auf Bezahlgeräten geprüft.
- 5. Der Standard PCI 3DS (3-D Secure Verfahren) kommt bei der Zwei-Faktor-Identifikation bei Kartenzahlungen im Internet zum Einsatz.
- 6. Der PCI P2PE (Point to Point Encryption) sorgt für eine sichere Verschlüsselung, sobald die Karte in ein Bezahlgerät gesteckt wird. Daten werden erst wieder in den Hintergrundsystemen der Zahlungsabwickler entschlüsselt, dazwischen sind sie nicht im Klartext abgreifbar.
- 7. Der Standard PCI PIN schützt PINs und die Umgebungen, in denen sie verarbeitet werden. Hier ist die sichere Verschlüsselung der wesentliche Faktor.
- 8. Der Standard PCI CPoC (Contactless Payment on Commercial off-the-shelf devices) regelt die kontaktlose Bezahlung via Kreditkarte an Smartphones oder Tablets über die NFC-Schnittstelle.
- 9. Der Standard PCI SPoC (Software-based PIN entry on Commercial off-the-shelf devices) regelt den Schutz von PINs bei der Entgegennahme von Zahlungen mit Smartphones oder Tablets.
Die jeweilige Dienstleistung entscheidet, welche der PCI Standards gelten. Betroffen sind alle Händler, Dienstleister und Betriebe, die in die Transaktions-Verarbeitung der großen fünf Zahlungssysteme involviert sind. Dazu gehören Einzelhändler mit Zahlungsterminals genauso wie Zwischendienstleister, die Rechenzentren betreiben, und Banken oder Geldinstitute als eigentliche Zahlungsabwickler.
Zahlungsdienstleister verpflichten sich und andere zur Einhaltung der Standards
Zahlungsdienstleister, die sogenannten Acquirer, unterhalten Verträge mit den internationalen Zahlungssystemen. Diese verpflichten die Acquirer, dass deren angeschlossene Händler die Einhaltung des PCI DSS garantieren können. Händler müssen ihre Konformität einmal jährlich nachweisen. Abhängig von der Anzahl der Transaktionen erfordert das den Besuch eines Auditors oder ist mit einem Selbstauskunfts-Fragebogen möglich. Der Auditor stellt nach dem bestandenen Audit die Konformitätsbescheinigung (Attestation of Compliance) aus.
Auch Drittdienstleister müssen ihre Konformität überprüfen lassen – das gibt das Dienstleistermanagement des PCI DSS vor. Auch diese Überprüfung erfolgt entweder über eine Selbstauskunft oder eine Auditoren-Prüfung.
Compliance-Voraussetzung: Die Liste ist lang
Jeder Standard umfasst diverse Voraussetzungen, die auf der technischen und der organisatorischen Ebene eingehalten werden müssen. Allein für den PCI DSS gibt es rund 250 Einzelanforderungen. Die Hauptbereiche sind folgende:
- Netzwerksegmentierung, Begrenzung und Kontrolle der Verbindungen und des Traffics: So kann sichergestellt werden, dass Systeme nicht untereinander aufeinander zugreifen können. Auch Datenverbindungen werden kontrolliert.
- Härtung von Systemen: Vor ihrem Einsatz im Netzwerk werden zentrale Einstellungen angepasst, Default-Accounts verändert und Standard-Passwörter ersetzt. Auch die Nutzung sicherer Einstellungen muss gewährleistet sein. Das bedeutet eine Begrenzung der Standard-Einstellungen, das Abschalten unsicherer Protokolle oder das Entfernen von unnötigen Diensten, die durch Schwachstellen zu Sicherheitslücken werden können.
- Verschlüsselung: Sie spielt eine zentrale Rolle bei der Speicherung und Übertragung der Kartendaten. So wird verhindert, dass Daten von Angreifern mitgelesen werden können.
- Einschränkung und Kontrolle von Zutritt und Zugriff: Es muss sichergestellt werden, dass nur Autorisierte Zugriff auf Daten und Systeme erhalten. Auf der logischen Ebene sind dafür unter anderem Passwortrichtlinien umzusetzen, auf der physischen Ebene bspw. Besucherregelungen für Serverräume.
- Monitoring und Malewareschutz: Durch Überwachung der Systeme sowie durch Logging, die Protokollierung der Zugriffe und Aktionen im System, werden Auffälligkeiten schnell erkannt.
- Regelmäßige Überprüfungen: Dazu gehören jährliche Penetrationstests, vierteljährliche Schwachstellen-Scans sowie Reviews von Prozessen und Einstellungen.
- Informationssicherheitsmanagement (ISM): Im ISM werden dokumentierte Richtlinien, Prozesse und Verantwortlichkeiten festgelegt. Mitarbeiter müssen zum Beispiel in Security Awareness geschult werden, außerdem sind eine definierte Incident Response und ein Dienstleistermanagement erforderlich.
Weitere Voraussetzungen für die Einhaltung von PCI Standards sind unter anderem die sichere Entwicklung von Software, die Bewertung von Schwachstellen, zeitnahe Updates und ein geregeltes Changemanagement.
Gängige Fehler, die der Konformität entgegenstehen
Vier Fehler passieren häufig bei der Umsetzung der PCI Standards: Sie werden nicht von Anfang an berücksichtigt, laufende Aufwände zur Aufrechterhaltung der Konformität werden unterschätzt, und dem Personal fehlt das Bewusstsein für die Bedeutung der Standards.
Werden die Anforderungen der PCI Standards nicht bei der Konzeptualisierung, dem Aufbau des Netzwerks und der Strukturen beachtet, wird häufig ein späteres, aufwändiges wie teures Aufrüsten und Umstrukturieren erforderlich. Gerade die Anforderungen der PCI DSS sollten bekannt sein. Es bietet sich zum Beispiel an, die Bezahldaten in einem Netzwerksegment mit besonderem Schutz zu verarbeiteten und zu speichern, das von anderen Unternehmensbereichen abgegrenzt wird, die nicht die PCI DSS erfüllen müssen. Wird dagegen ein Netzwerk für alle Prozesse genutzt, müssen alle Systeme den strengeren PCI-Anforderungen unterliegen, was mit riesigen Aufwänden verbunden ist.
Unternehmen müssen sich darüber im Klaren sein, dass sie die Konformität dauerhaft aufrechterhalten müssen. Das bedeutet, ihre Systeme an sich stets verändernde Voraussetzungen anzupassen - an neue Standards, neue Risiken und neue Angriffe. Werden zum Beispiel Verschlüsselungsprotokolle, die bei der Übertragung und Speicherung der Zahlungsdaten eingesetzt werden, erfolgreich angegriffen, müssen die Algorithmen umgestellt werden. Auf diese notwendigen Anpassungen im System sind Firmen oft nicht vorbereitet. Gerade Updates werden gescheut, da sie laufende Systeme leicht stören können. Doch bei neuen Sicherheitslücken oder alten Systemen mit auslaufendem Support sind Aktualisierungen zwingend notwendig. Unterhalten Firmen eine Vielzahl von Servern, stellt das eine große Hürde dar: Die Umstellung kostet Zeit und Ressourcen gleichermaßen.
Die dritte Herausforderung liegt in der Schaffung von Bewusstsein: Mitarbeiter, vom Rezeptionisten im Hotel bis zur Kassiererin in der Filiale, müssen wissen, wie Bezahlterminals und Zahlungen sicher betrieben werden. Dazu gehören zwei Faktoren: Zum einen muss das Gerät selbst sicher sein, zum anderen auch sein Umfeld. Gerade, wenn Daten gespeichert werden sollen, steigen die Anforderungen für Schutz, Verschlüsselung und Zugriffskontrolle schnell. Dann ist nicht nur das entsprechende IT-Tool notwendig, sondern auch ein fachkundiger Mitarbeiter, der es konfigurieren kann.
Darüber hinaus steht die Dienstleisterbeziehung oft nicht genug im Fokus. Es mangelt an ausreichenden Prüfungen und es herrschen Unklarheiten über die Verantwortlichkeiten für die Aufrechterhaltung einzelner Schutzmaßnahmen. Damit besteht das Risiko, dass die Schutz-Kette unterbrochen wird.
Konformität mit Hilfe erlangen
Kennen Unternehmen die Anforderungen der Standards von Anfang an und berücksichtigen diese, erleichtert das vieles. Mit dem Kauf und der Einrichtung der notwendigen Systeme ist es aber noch nicht getan, vielmehr müssen regelmäßige Aufwände einkalkuliert werden, um sie auf dem aktuellen Stand zu halten. Um Notwendigkeiten zur Anpassung zu erkennen, sind außerdem regelmäßige Reviews wichtig. Diese Aufrechterhaltung der Konformität erfordert Knowhow und Ressourcen, was gerade kleine Händler oft nicht besitzen. Ein externer Berater, wie die SRC Security Research & Consulting GmbH, kann unterstützen, die Anforderungen zu verstehen und umzusetzen.
Fazit
Um Prozesse und technische Infrastruktur wie gefordert ausrichten zu können, müssen Unternehmen nicht nur wissen, welche PCI Standards und welche Anforderungen für sie gelten. Sie sollten zudem wiederkehrende Aufwände durch die Notwendigkeit der steten Aktualisierung einberechnen und das Bewusstsein der Mitarbeiter für die Anforderungen schulen.
Über die Autorin: Jana Ehlers ist Bereichsleiterin PCI bei der SRC Security Research & Consulting GmbH.
(ID:46881149)