PCI Version 4.0 wurde im März 2022 veröffentlicht, und alle Organisationen, die mit der Richtlinie compliant sein müssen, haben bis zum 31. März 2024 Zeit, dies zu tun. Wie steht es nun in der neuen Version um Penetrationstests?

Gemäß Anforderung 11 des Payment Card Industry Data Security Standard (PCI DSS) sind Pentests für Organisationen und Einrichtungen erforderlich, die Informationen von Karteninhabern speichern, verarbeiten und/oder übertragen.

PCI verlangt Pentests und Schwachstellenscans, um Systeme zu sichern und Daten von Karteninhabern zu schützen. Wenn Ihr Unternehmen Kartenzahlung anbietet oder verwaltet, müssen Sie zweimal pro Jahr einen PCI Pen-Test und viermal pro Jahr einen Schwachstellenscan durchführen. Unternehmen mit geschäftskritischen Webanwendungen, die Kreditkartendaten verarbeiten, müssen unter Umständen zusätzliche Tests und Scans durchführen, wenn wesentliche Änderungen am jeweiligen System vorgenommen werden.

Welche Anforderungen stellt der PCI DSS an Pentests und Schwachstellenscans? Im Folgenden erfahren Sie alles, was Sie wissen müssen, um die Vorschriften einzuhalten und die Sicherheit Ihrer Daten zu gewährleisten.

PCI-Pentests vs. PCI-Schwachstellenscans

Ein PCI-Pentest ist eine Art Sicherheitsüberprüfung, bei der alle zwei Jahre Schwachstellen in der gesamten Cardholder Data Environment (CDE) untersucht werden. Dieser umfasst das Netzwerk, die Infrastruktur und die Anwendungen innerhalb und außerhalb der Organisation.

Im Gegensatz dazu ist ein PCI-Schwachstellenscan ein High-Level-Test, der automatisch nach potenziellen Schwachstellen sucht und diese entsprechend ihres Schweregrads meldet. Externe IPs und Domänen, die im CDE exponiert sind, müssen mindestens einmal pro Quartal von einem PCI-zugelassenen Scan-Anbieter gescannt werden.

Beide Verfahren liefern Unternehmen eine Einschätzung, wie sicher ihr CDE ist, und helfen ihnen, den Standard einzuhalten.

Unterschiede zwischen PCI-Pentests und PCI-Schwachstellenscans

Ein Schwachstellenscan identifiziert und bewertet Schwachstellen, die das System einer Organisation gefährden könnten, während ein Pentest diese Schwachstellen ausnutzt, um die Widerstandsfähigkeit der vorhandenen und tieferliegenden Schutzmaßnahmen zu testen.

Es gibt auch Unterschiede in der Art und Weise, wie diese Tests normalerweise durchgeführt werden. Schwachstellenscans (oder Schwachstellenscanner) bestehen aus verschiedenen automatisierten Tools, deren Ergebnisse manuell verifiziert werden müssen. Penetrationstests sind hingegen zum Großteil ein manueller Prozess, bei dem manchmal automatisierte Tools eingesetzt werden, um Schwachstellen im System auszunutzen und Berichte zu erstellen.

Die Berichte, die aus einem Pentest hervorgehen, enthalten eine detaillierte Beschreibung der identifizierten Schwachstellen und Probleme sowie der Risiken, die sie für die Daten der Kartenbesitzer darstellen. Die Berichte eines Schwachstellenscans enthalten nur eine, nach Schweregrad geordnete Liste, der bekannten Schwachstellen.

Der letzte wesentliche Unterschied zwischen den beiden Verfahren ist der Zeitaufwand, der für die Durchführung der beiden Verfahren erforderlich ist. Schwachstellenscans dauern nur ein paar Minuten, während Penetrationstests je nach Umfang des CDE eines Unternehmens Tage oder Wochen dauern können.

Anforderungen für PCI-Pentest

PCI DSS stellt spezifische Anforderungen an Unternehmen, die regelmäßige PCI-Pentests und PCI-Schwachstellenscans durchführen müssen. Systemkomponenten, einschließlich maßgeschneiderter Software und Prozesse, müssen regelmäßig getestet werden, um die Integrität der Kreditkartendaten zu gewährleisten.

In der neuen Version des PCI DSS wurden die Anforderungen von Abschnitt 11.3 nach Abschnitt 11.4 verschoben, sind aber relativ unverändert geblieben. Die Anforderungen besagen, dass Unternehmen Penetrationstests durchführen, dokumentieren und implementieren müssen, die Folgendes umfassen:

• Branchenweit anerkannte Verfahren für Penetrationstests
• Abdeckung des CDE und kritischer Systeme
• Externe und interne Tests
• Tests zur Validierung von Segmentierungs- und Umfangskontrollen
• Penetrationstests auf der Anwendungsebene, um mindestens die in Anforderung 6.2.4 aufgeführten Schwachstellen zu identifizieren
• Penetrationstests auf der Netzwerkebene, die alle Komponenten, die Netzwerkfunktionen unterstützen, sowie die Betriebssysteme umfassen
• Überprüfungen und Bewertungen der in den letzten 12 Monaten aufgetretenen Bedrohungen und Schwachstellen
• Dokumentierte Konzepte zur Bewertung und Beseitigung der durch die bei Penetrationstests festgestellten Schwachstellen
• 12-monatige Aufbewahrung der Ergebnisse von Penetrationstests und Gegenmaßnahmen

PCI-Pentests müssen bei Zahlungsdienstleistern alle sechs Monate durchgeführt werden und bei jeder wesentlichen Änderung am System. Aber was ist eine „signifikante Änderung“? Einige Beispiele für signifikante Änderungen, die einen nachfolgenden Pentest erforderlich machen, sind:

• Neue Hardware, Software oder Netzwerkausrüstung
• Aufrüstung oder Ersatz von Hardware und Software.
• Änderungen, die sich auf den Austausch oder die Speicherung von Kreditkarteninformationen auswirken.
• Änderungen, die die Grenzen des ZDE oder den Umfang Ihrer PCI DSS-Bewertung beeinflussen.
• Änderungen an der begleitenden Infrastruktur wie Verzeichnisdienste, Monitoring und Protokollierung.
• Änderungen an Drittanbietern oder Diensten, die das ZDE unterstützen

Anforderungen des PCI an Schwachstellenscans

Schwachstellenscans sind ein wichtiger Bestandteil der PCI DSS-Anforderungen. Die Anforderung 11.2 besagt, dass Unternehmen Folgendes tun müssen:

„Mindestens vierteljährlich sowie nach jeder wesentlichen Änderung im Netzwerk interne und externe Schwachstellenscans des Netzwerks durchführen. Beheben Sie Schwachstellen und führen Sie bei Bedarf erneute Scans durch, bis die Scans bestanden sind. Nach einem bestandenen Scan für die erste PCI DSS-Konformität muss ein Unternehmen in den folgenden Jahren vier aufeinanderfolgende Quartale alle Scans erfolgreich abschließen. Vierteljährliche externe Scans müssen von einem anerkannten Scanning-Anbieter durchgeführt werden. Scans werden nach Netzwerkänderungen durchgeführt, und interne Scans können von internen Mitarbeitern durchgeführt werden.“

Kurz gesagt: Unternehmen müssen alle 90 Tage interne und externe PCI-Schwachstellenscans durchführen und diese so lange wiederholen, bis das Scan-Ergebnis positiv ist.

Was bedeutet ein bestandener Scan? Interne Scans dürfen keine risikoreichen Schwachstellen in der Umgebung aufweisen, in der die Kreditkartendaten gespeichert und verarbeitet werden. Externe Scans dürfen keine Schwachstellen aufweisen, denen ein CVSS-Basis-Score von 4,0 oder höher entspricht. Nur Scans mit einer Schweregradbewertung von 0,0 bis 3,9 gelten als bestanden.

Schützen Sie die Daten von Karteninhabern und erfüllen Sie die PCI-Anforderungen

Penetrationstests und Schwachstellenscans sind für die Einhaltung der PCI DSS-Anforderungen erforderlich und eine wirksame Methode zur Minimierung von Schwachstellen in Systemen, die sensible Daten verarbeiten. Outpost24 ist ein Approved Scanning Vendor (ASV) und kann Unternehmen dabei helfen, die Einhaltung des PCI DSS zu verifizieren und nachzuweisen. Darüber hinaus bieten wir Penetrationstests an, um die Netzwerksicherheit Ihres Unternehmens zu prüfen, sowie eine Lösung für Penetrationstests von Webanwendungen as-a Service (PTaaS), um Risiken zu minimieren und einen proaktiven Sicherheitsansatz durch kontinuierliche Identifizierung von Risiken und Abhilfemaßnahmen zu erzwingen.