CyberArk: Neue PCI-Version 3.0 verschärft Anforderungen an Passwort-Management

Das PCI-DSS-Regelwerk wurde Ende 2013 modifiziert. Die aktuell gültige Version 3.0 hat dabei teilweise eine deutliche Verschärfung der Sicherheitsvorgaben mit sich gebracht. Mehrere Neuerungen wirken sich auch direkt auf das Management und die Sicherung privilegierter Benutzerkonten aus. Die wichtigsten listet Sicherheitssoftware-Anbieter CyberArk auf.

Das Datenschutz-Regelwerk der Kreditkartenindustrie, der Payment Card Industry Data Security Standard, umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunternehmen und Dienstleistern, die Kreditkarten-Daten erfassen, bearbeiten oder übermitteln. Gefordert wird unter anderem auch ein striktes Passwort-Management. In der Version 3.0 gibt es einige neue Anforderungen und zusätzliche Erläuterungen, die auch aus Passwort-Management-Perspektive von Bedeutung sind. Drei zentrale Punkte nennt CyberArk, sie betreffen die PCI-Regelungen 2, 8 und 10.

In Anforderung 2 (Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden) wird die Änderung von Default-Kennwörtern geregelt. Konkret verlangt wird die “Änderung der Standardeinstellungen des Anbieters und Entfernung bzw. Deaktivierung unnötiger Standardkonten stets vor der Installation eines Systems im Netzwerk”.

In der Version 3.0 wurde dabei verdeutlicht, dass diese Anforderung für alle Standardkennwörter gilt. Konkret genannt werden zum Beispiel Anwendungs- und Systemkonten, Betriebssysteme, Sicherheitssoftware oder POS (Point of Sale)-Terminals.

In der Anforderung 8 (Zugriff auf Systemkomponenten identifizieren und authentifizieren) wird unter anderem gefordert, dass jeder Person mit Computerzugriff eine eindeutige ID zugewiesen wird. Es wird zudem verlangt, dass keine Konten und Kennwörter von Gruppen beziehungsweise mehreren Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Ziel ist, dass alle Aktivitäten, die mit unternehmenskritischen Daten und Systemen verbunden sind, nur von dazu autorisierten Benutzern durchgeführt werden können.

In der neuen Version 3.0 werden dabei auch verstärkt die Anforderungen im Hinblick auf die Verwaltung von IDs herausgestellt, die von externen Dienstleistern für den Remote-Zugriff auf Unternehmenssysteme genutzt werden. Sie sollen überwacht werden und auch nur solange aktiv sein, wie sie benötigt werden.

Neu hinzugekommen ist außerdem die Anforderung, dass Service Provider mit Remote-Zugangsmöglichkeit zu Kundensystemen für jeden Kunden eindeutige Authentifizierungsinformationen verwenden müssen.

In der PCI-Regelung 10 (Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten) wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern gefordert. Diese Anforderungen müssen mit einer detaillierten, revisionssicheren Protokollierung der Passwortnutzung abgedeckt werden. Deshalb sind Prozesse oder Systeme zur automatischen Generierung von “Audit-Trails” zu implementieren, mit denen der Zugriff auf alle Systemkomponenten – insbesondere von Benutzern mit Administratorrechten – einem individuellen User zuzuordnen ist.

In der Version PCI DSS 3.0 wird jetzt zudem explizit herausgestellt, dass eine Überprüfung von Protokollen und Systemereignissen auf Unregelmäßigkeiten oder verdächtige Aktivitäten zu erfolgen hat. Das heißt, es wurde verdeutlicht, dass das Ziel von Protokollüberprüfungen auch in der Identifikation von Anomalien liegt.

“Viele Unternehmen setzen bei der Umsetzung der PCI-Vorgaben nach wie vor auf manuelle Prozesse. Das betrifft auch die manuelle Änderung von Passwörtern”, betont Jochen Koehler, Regional Director DACH bei CyberArk in Heilbronn. “Es hat sich allerdings gezeigt, dass dies in einer zunehmend komplexeren IT-Welt ein falscher Ansatz ist, der zudem extrem zeitaufwändig und fehlerbehaftet ist. Eine Softwarelösung, mit der administrative Passwörter sicher und zentral abgelegt, automatisch verwaltet, regelmäßig geändert und überwacht werden können, sollte heute eigentlich Standard im IT-Betrieb sein.”

CyberArk bietet in diesem Bereich die Privileged Account Security Suite an. Sie bietet etliche Funktionen und Leistungsmerkmale, die gerade die Umsetzung zentraler PCI-DSS-Anforderungen wesentlich erleichtern. Dazu gehören

  • das automatische Passwort-Management für die gesamte IT-Infrastruktur: von Servern (Windows/Unix/Linux) und Desktops über Datenbanken (Oracle Database, MS SQL Server, DB2 etc.) bis hin zu Netzwerkkomponenten
  • die automatische Verwaltung und Änderung privilegierter Passwörter (zum Beispiel “Administrator” bei Windows, “Root” bei Unix oder “Cisco Enable” bei Cisco-Geräten)
  • die Änderung von Default-Kennwörtern
  • die Personalisierung von Shared Accounts wie “Root”
  • die Eliminierung von Passwörtern, die im Programmcode, in Skripten oder Konfigurationsdateien eingebettet sind
  • die Protokollierung und Überwachung aller privilegierten Zugriffe
  • die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nutzung privilegierter Accounts

CyberArk hat im Hinblick auf die erweiterten Anforderungen der PCI-DSS-Version 3.0 auch das neue Whitepaper “Securing Privileged Accounts: Meeting the Payment Card Industry Data Security Standard 3.0 with CyberArk Solutions” konzipiert. Es steht zur Verfügung unter http://www.cyberark.com/contact/meeting-the-payment-card-industry-data-security-standard.

Über CyberArk
CyberArk ist auf den Schutz vor fortschrittlichen Cyber-Attacken spezialisiert, die Schwächen in der Berechtigungsvergabe für privilegierte Zugriffe auf IT-Systeme ausnutzen und damit das Unternehmen direkt ins Herz treffen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk zum Schutz ihrer kritischen Daten, Infrastrukturen und Anwendungen. Das Unternehmen hat seinen Hauptsitz in Petach Tikvah (Israel) und Newton (Massachusetts, USA) und verfügt über weltweite Niederlassungen. In Deutschland ist CyberArk mit einem Standort in Heilbronn vertreten. Weitere Informationen unter www.cyberark.com