Die schwerwiegenden Sicherheitsvorfälle des letzten Jahres wirken noch nach, und es gibt wenig neue Erkenntnisse. Noch immer stehen wir vor einer Menge Rätseln. Dass Hacker beim Angriff auf die Einzelhandelskette Target derart problemlos auf das internationale Netzwerk zugreifen konnten indem sie einfach ein Passwort gestohlen haben, stellt selbst erfahrende Sicherheitsbeobachter vor eine Menge Fragen. Target hat sich an den PCI-Standard gehalten. Gab es nicht irgendwo eine Regelung, für eine Zwei-Faktor-Authentifizierung (2FA)?
Punkt 8.3 des Payment Card Industry Data Security Standard (PCI-DSS) sieht die Authentifizierung anhand zweier Faktoren vor: beim Remote-Zugriff durch Mitarbeiter, Administratoren und Dritte – so lautet die Version 2.0, die zum Zeitpunkt der Angriffe im vergangenen Jahr aktuell war.
Was hatte es damit auf sich? Ich beschloss, ein paar PCI-Experten aus meinem Bekanntenkreis anzurufen. Sie bestätigten unisono, dass die 2FA in Version 2.0 zweifelsohne bereits vorgesehen war und die Anforderungen in der neuen Version 3.0 nur leicht abgewandelt worden sind.
Eines wurde mir dabei sehr schnell klar: Groß- und Einzelhändler, die in Bezug auf die technischen Standards der Kreditkartenbranche weniger versiert sind, brauchen in der Praxis eine Entscheidungshilfe, um zu erkennen, welche Teile eines Standards mit über 200 verschiedenen Anforderungen wichtig und welche weniger wichtig sind.
Es hilft, sich den DSS wie den Wissensstand vorzustellen, den ein Lehrer idealerweise voraussetzen kann, wobei das tatsächlich in der Prüfung abgefragte Wissen in der Regel weniger umfangreich ist. Unabhängige Unternehmen führen als akkreditierte Sicherheitsgutachter (Qualified Security Assessors, QSA) PCI-Audits durch, bei denen sie die Einhaltung anhand der im Standard vorgesehenen Prüfverfahren überprüfen.
Um die Anforderung der Zwei-Faktor-Authentifizierung zu erfüllen, muss ein QSA (nach DSS 2.0) lediglich beobachten, wie ein Mitarbeiter (z. B. ein Administrator) eine Remote-Verbindung zum Netzwerk herstellt, und überprüfen, ob hierfür zwei der drei Authentifizierungsmethoden erforderlich sind.
Sie haben ganz richtig gelesen: ein Mitarbeiter. Bei solchen Rückmeldungen des „Lehrers“ ist es kein Wunder, dass die Schüler in Gestalt der jeweiligen Groß- oder Einzelhändler verwirrt sind. Selbst zum Zeitpunkt des Angriffs hätte Target eine Überprüfung mit diesem Prüfverfahren höchstwahrscheinlich noch immer bestanden.
Glücklicherweise wurde die Anforderungen für eine derartige Überprüfung in der Version 3.0 verschärft. Der QSA muss jetzt die Konfigurationen der Server für den Remote-Zugriff untersuchen. Und dazu gehört mutmaßlich auch die Untersuchung von Active-Directory-Gruppenrichtlinien, um festzustellen, ob die Authentifizierung aktiviert ist. Zudem wurde das Prüfverfahren um eine stichprobenartige Kontrolle bei den Mitarbeitern erweitert, die eine Remote-Verbindung zum Netzwerk herstellen. Diese Methode ist deutlich besser geeignet, um die „Schüler“ zu prüfen.
Die Prüfungen sind unleugbar wichtig. Es hat jedoch den Anschein, als würden die Sicherheitsverletzungen im Einzelhandel noch wesentlich mehr über die Sicherheitspolitik der Unternehmen aussagen. Mit anderen Worten: Ideale Sicherheitsbedingungen, insbesondere Authentifizierung, Autorisierung, Audits und Warnsysteme, müssen fester Bestandteil des normalen Arbeitsalltags sein. Nicht etwas, das man nur einführt, um eine Prüfung zu bestehen. Denn die Folgen eines Datendiebstahls sind weit schlimmer als alle Strafen, die die Nichteinhaltung eines Standards nach sich ziehen könnte – fragen Sie den CEO von Target!
The post PCI-DSS UND ZWEI-FAKTOR-AUTHENTIFIZIERUNG: DIE FAKTEN appeared first on Varonis Deutsch.