Unser Dezember-Blog-Eintrag zu PCI DSS v4.0: Targeted Risk Analysis
Das Jahr neigt sich dem Ende zu – und der PCI DSS v3.2.1 auch.
Das PCI Security Standards Council (PCI SSC) hat gerade neue Dokumente zum neuen Konzept „Targeted Risk Analysis“ (gezielten Risikoanalyse) veröffentlicht – das nehmen wir doch gleich zum Anlass, das Thema mal etwas genauer zu betrachten.
Targeted Risk Analysis – was ist das?
Der PCI DSS v4.0 zielt darauf ab, mehr Flexibilität zu ermöglichen. Eines der Werkzeuge hierfür ist die sogenannte „Targeted Risk Analysis“ (gezielten Risikoanalyse).
Gezielte Risikoanalysen unterscheiden sich von den firmenübergreifenden Risikoanalysen, die in PCI DSS v3.2.1 gefordert waren. Sie betrachten die konkreten Risiken für einen ganz speziellen Anwendungsfall.
Im PCI DSS v4.0 kommen gezielte Risikoanalysen an zwei Stellen vor:
- Einige Anforderungen des Standards verlangen gezielte Risikoanalysen, um festzulegen, wie häufig eine bestimmte regelmäßige Maßnahme durchgeführt werden sollte.
- Außerdem ist die gezielte Risikoanalyse Teil des sogenannten „Customized Approach“, mit dem man eine Anforderung auf eigene Weise, abweichend von der wortwörtlichen Umsetzung, umsetzen kann.
Wir werden uns hier auf den ersten Fall konzentrieren, da wir dem Customized Approach im Februar noch einen eigenen Blog-Eintrag widmen werden.
Wo wird sie gefordert?
Eine gezielte Risikoanalyse wird bei den folgenden Anforderungen gefordert:
- 5.2.3.1: Wenn eine Organisation für Systemkomponenten evaluiert hat, dass diese üblicherweise nicht von Malware betroffen sind und daher keine Anti-Malware-Lösung benötigen, dann muss in regelmäßigen Abständen überprüft werden, ob dies immer noch so ist. Die Häufigkeit dieser Überprüfungen muss in einer gezielten Risikoanalyse festgelegt werden.
- 5.3.2.1: Wenn regelmäßige Malware-Scans verwendet werden, muss deren Häufigkeit in einer gezielten Risikoanalyse festgelegt werden.
- 7.2.5.1: Häufig gibt es nicht nur Nutzerkonten, die von Personen genutzt werden, sondern auch technische Nutzerkonten, die von Systemen oder Anwendungen genutzt werden. Deren Zugriffsrechte müssen regelmäßig überprüft werden. Die Häufigkeit dieser Überprüfungen muss in einer gezielten Risikoanalyse festgelegt werden.
- 8.6.3: Passwörter für die genannten technischen Nutzerkonten müssen geschützt werden. Die Häufigkeit der Passwortwechsel und die Passwort-Komplexität müssen in einer gezielten Risikoanalyse festgelegt werden.
- 9.5.1.2.1: Zahlgeräte (Zahlterminals) am Point of Interaction müssen regelmäßig inspiziert werden, um Manipulationen oder gar ihren Austausch zu erkennen. Die Häufigkeit und Art der Inspektionen müssen in einer gezielten Risikoanalyse festgelegt werden.
- 10.4.2.1: Sicherheitskritische Logs (Security Events sowie Logs von Systemen, die mit Kartendaten in Berührung kommen, Sicherheitsfunktionalität haben oder anderweitig kritisch sind) müssen mindestens einmal am Tag einem Review unterzogen werden, um auffällige Aktivitäten zeitnah zu entdecken. Die Häufigkeit des Reviews für alle anderen Logs muss in einer gezielten Risikoanalyse festgelegt werden.
- 11.3.1.1: Werden bei internen Schwachstellenscans hochriskante oder kritische Schwachstellen entdeckt, müssen diese behoben werden. Für niedriger eingestufte Schwachstellen muss eine gezielte Risikoanalyse festlegen, wie diese zu adressieren sind.
- 11.6.1: E‑Commerce-Zahlseiten müssen regelmäßig mit einem Mechanismus zur Erkennung von Änderungen und Manipulationen überprüft werden. Dieser Mechanismus muss mindestens alle sieben Tage angewendet werden – andernfalls muss eine geringere Häufigkeit mit einer gezielten Risikoanalyse begründet werden.
- 12.10.4.1: Das Personal, das für die Reaktion auf Sicherheitsvorfälle zuständig ist, muss darin geschult werden. Die Häufigkeit dieser Schulungen muss in einer gezielten Risikoanalyse festgelegt werden.
Wie kann man die gezielte Risikoanalyse durchführen?
Wie die gezielte Risikoanalyse durchgeführt werden soll, ist in Anforderung 12.3.1 des PCI DSS v4.0 definiert. Hier ist festgelegt, dass die Analyse zunächst mindestens folgende Punkte identifizieren muss:
- Die zu schützenden Güter (Assets). Zu schützende Assets sind natürlich immer die Kartendaten selbst, aber zusätzlich können es auch Assets wie Systeme oder Passwörter sein.
- Die Bedrohungen, gegen die die entsprechende PCI DSS-Anforderung schützen soll.
Zur Bestimmung der entsprechenden Bedrohungen ist es hilfreich, das „Customized Approach Objective“ der entsprechenden bzw. der übergeordneten PCI DSS-Anforderung zu Rate zu ziehen, da in dieser Zielsetzung häufig bereits Bedrohungen benannt sind, gegen die die Anforderung schützen soll. - Faktoren, die die Eintrittswahrscheinlichkeit und/oder die Auswirkungen der Realisierung der genannten Bedrohungen beitragen.
Werden wir konkret und nehmen als Beispiel die Anforderung 9.5.1.2.1.
Hier sind sowohl die Kartendaten als auch die Zahlgeräte die zu schützenden Assets.
Das „Customized Approach Objective“ der übergeordneten Anforderung 9.5.1.2 ist, dass die Manipulation der Geräte, unautorisierter Austausch der Geräte, sowie das Anbringen von Skimming-Devices nicht ohne zeitnahe Entdeckung durchgeführt werden können.
Typische Bedrohungsszenarien wären also bspw.:
- Angreifer bringen Skimming-Devices an, welche Eingaben mitlesen.
- Angreifer geben sich als Service-Techniker oder Mitarbeiter des Geräte-Providers aus und tauschen das Zahlgerät durch ein manipuliertes Zahlgerät aus, welches die Kartendaten anschließend mitliest und an Angreifende weiterleitet.
- Angreifer stehlen ein Zahlgerät, auf dem im Fall von offline Transaktionen Daten temporär gespeichert sein könnten.
- Angreifer manipulieren das Zahlgerät so, dass dessen Sicherheitsfunktionalität geschwächt wird (bspw. Verschlüsselung ausgeschaltet).
Faktoren, die sich auf die Realisierung der Bedrohungen auswirken können, sind in dem Fall zum Beispiel:
- Wie leicht ist das Zahlgerät für Kunden und Dritte erreichbar? Ist es sicher befestigt?
- Ist das Zahlgerät dauerhaft unter Beaufsichtigung?
- Wie gut ist das Personal vor Ort qualifiziert und geschult?
- Sind das Zahlgerät und die Daten darin vor Manipulationen geschützt, und ist dies durch eine PCI PTS-Zertifizierung des Geräts und/oder eine PCI P2PE-Zertifizierung der ganzen Lösung nachgewiesen?
- Wie stark frequentiert ist das Zahlgerät? (Das kann einen Einfluss darauf haben, ob es ein besonders lohnenswertes Ziel für den Angreifer ist.)
- Hat der Geräte-Provider in seiner Dokumentation Empfehlungen gegeben, wie häufig die Geräte überprüft werden sollen?
Aus den gesammelten Faktoren resultiert dann schließlich die Analyse, die bestimmt, wie häufig eine Tätigkeit ausgeführt werden muss, um die Wahrscheinlichkeit, dass die Bedrohungen eintreten, zu minimieren.
Faktoren und Ergebnisse der gezielten Risikoanalyse müssen dokumentiert werden.
Mindestens alle 12 Monate muss jede gezielte Risikoanalyse einem Review unterzogen werden, um zu überprüfen, ob sie noch zutrifft. Hat es Veränderungen in den Faktoren oder in der Einschätzung gegeben, muss die Risikoanalyse entsprechend aktualisiert werden.
Hilfestellungen
Wie bei jeder Anforderung des PCI DSS v4.0 lohnt sich als erstes ein Blick in die „Guidance“-Spalte, die im Standard rechts von der Anforderung steht.
Zusätzlich hat das PCI SSC am 28. November 2023 drei unterstützende Dokumente veröffentlicht:
- Information Supplement PCI DSS v4.x: Targeted Risk Analysis Guidance,
- PCI DSS v4.x Sample Template: Targeted Risk Analysis for Activity, und
- PCI DSS v4.x Sample Templates to Support Customized Approach (worin, wie oben benannt, auch gezielte Risikoanalysen gefordert sind).
Und wie immer können Sie auch gerne die PCI DSS-Experten von SRC um Unterstützung bitten.
Ausblick
Dies ist der letzte Beitrag zu PCI DSS v4.0 für dieses Jahr. Wir setzen unsere monatliche Blog-Reihe nächstes Jahr fort – freuen Sie sich dann auf die Themen
- Januar: Änderungen im E‑Commerce: Was ändert sich beim Self-Assessment Questionnaire A?
- Februar: Customized Approach
- März: Änderungen im E‑Commerce: Integritätsschutz von Zahlseiten.
Kommen Sie gut ins neue Jahr und bleiben Sie gesund!