Neuer PCI-DSS-Standard macht Log-Management noch wichtiger

München, 3. Februar 2014 – Die neue Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard) sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Das sind Handelshäuser, Abrechnungsfirmen, Banken, Service-Provider. Ein umfassendes und effizientes Sammeln und Verwalten von Log-Dateien ist damit wichtiger denn je. Die Log-Management-Lösungen von BalaBit übernehmen diese Aufgabe zuverlässig und lückenlos.

Die Schäden durch Kreditkartenbetrug gehen weltweit in die Millionen. Alleine bei einem besonders dreisten Fall in den USA entstand im vergangenen Jahr nach Angaben des FBI ein Schaden von 200 Millionen Dollar. Um den Missbrauch von Kreditkarteninformationen zu unterbinden, trat am 1. Januar 2014 die Version 3.0 des PCI-DSS-Standards des Payment Card Industry Security Standard Councils in Kraft. Die erweiterte Ausgabe der Spezifikation, deren erste Version bereits 2004 vorgestellt wurde, sieht strengere Sicherheitsvorgaben für die Inhaber von Kreditkarten sowie alle Unternehmen vor, die Kreditkarten-Daten erfassen, weitergeben und bearbeiten. Das gilt sowohl für Informationen über den Nutzer einer Karte als auch für Authentifizierungsdaten.

„Die neue Version der PCI-DSS-Regelungen unterstreicht, dass ein Log-Management ein unverzichtbarer Teil der ‚Best Practices‘ im Bereich IT-Sicherheit ist, speziell bei der Absicherung von Finanztransaktionen mittels Kreditkarte“, betont Zoltán Györkő, CEO von BalaBit IT Security. „BalaBits syslog-ng-Log-Management-Lösung erfüllt die Anforderungen der erweiterten PCI-DSS-3.0-Norm bereits heute. Nutzer von syslog-ng sind daher in der Lage, diese neuen Bestimmungen unter dem Aspekt Log-Management einzuhalten“, ergänzt Györkő.

Vorgaben für das Log-Management in Version 3.0 des PCI-DSS-Standards

Requirement 10.2.5: Das Log-Management-System muss Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentieren, etwa ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.

Requirement 10.2.6: Nicht nur der Start von Logging-Vorgängen muss dokumentiert werden, sondern auch Unterbrechungen und Pausen. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren.

Requirement 10.6: Die Vorschrift legt explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen Sonderfälle und Anomalien.

Requirement 10.7: Nichts geändert hat sich dagegen an der Aufbewahrungsfrist der Log-Daten. Sie beträgt weiterhin ein Jahr. Davon müssen die Daten der letzten drei Monate IT-Sicherheitsfachleuten unmittelbar zur Verfügung stehen. Diese Regelung stellt sicher, dass auch länger zurückliegende Vorfälle aufgeklärt werden können. Zudem lässt sich dadurch der Zeitraum eingrenzen, in denen Kreditkartendaten entwendet oder missbraucht wurden.

Requirement 5.2: Diese Regelung verlangt explizit, dass auch Anti-Viren-Programme Log-Daten zur Verfügung stellen. Auch diese Informationen müssen ein Jahr aufbewahrt werden.

Lösung für umfassendes und sicheres Log-Management: BalaBits syslog-ng

Unternehmen, die die Vorgaben von PCI DSS 3.0 einhalten müssen, stellt BalaBit IT Security leistungsstarke und effiziente Log-Management-Lösungen zur Verfügung. syslog-ng und die syslog-ng Store Box erlauben es, Log-Daten aus unterschiedlichen Quellen zentral zu erfassen, auszuwerten und zu archivieren. Die syslog-ng Premium Edition bietet Installationspakete für mehr als 50 Plattformen inklusive Unix, Linux und Windows. Die syslog-ng Premium Edition 5 LTS, die BalaBit im Herbst 2013 auf den Markt brachte, stellt zudem Log-Management-Funktionen, die bislang nur auf Linux- und Unix-Servern verfügbar waren, auch in Microsoft-Windows-Umgebungen bereit. Alle Versionen von syslog-ng unterstützen die syslog-Protokolle RFC 3164 und RFC 5424. Die Lösungen von BalaBit sind somit in der Lage, Log-Daten der IT-Sicherheits- und Netzwerksysteme aller führenden Anbieter zu erfassen und zu verarbeiten.

Besonders wichtig beim Speichern und Übermitteln von Log-Daten ist eine wirkungsvolle Verschlüsselung. BalaBits syslog-ng nutzt eine SSL/TLS-Verschlüsselung, wenn Informationen vom Client zum zentralen Log-Server übertragen werden. Die gespeicherten Daten legen die syslog-ng Premium Edition und syslog-ng Store Box in verschlüsselten, komprimierten Binärdateien ab, die mit einem Zeitstempel versehen werden. Der Zugriff auf diese Dateien lässt sich dadurch auf einen autorisierten Personenkreis beschränken: Nur wer den entsprechenden Schlüssel besitzt, kann die Log-Daten entschlüsseln und einsehen.

Log-Dateien nach Ablauf der Aufbewahrungsfrist automatisch löschen

Eine weitere Funktion der syslog-ng-Lösungen unterstützt IT- und Compliance-Verantwortliche dabei, die in Requirement 10.7 von PCI DSS definierten Vorgaben für Log-Daten einzuhalten. Nach Ablauf der vorgegebenen Aufbewahrungsfrist von einem Jahr löschen die syslog-ng-Systeme die Daten automatisch. Dadurch lassen sich auf einfache Weise gesetzliche und Compliance-Vorgaben einhalten.

Die größte Version der syslog-ng Store Box von BalaBit hat eine Speicherkapazität von 10 Terabyte. Mithilfe einer bedienerfreundlichen und übersichtlichen Benutzerschnittstelle lassen sich auch große Log-Datenbestände innerhalb kurzer Zeit sichten. Ein weiterer Pluspunkt der Lösung: Die Pattern-Database-Funktion der syslog-ng Store Box unterstützt den Fachmann bei der Erstellung maßgeschneiderter Reports, mit deren Hilfe er belegen kann, dass die Compliance-Vorgaben gemäß PCI DSS 3.0 eingehalten wurden.

Ergänzende Informationen