Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen

05.17.2016

by

Categories:

Das PCI Security Standard Council hat mir der kürzlich verabschiedeten neuen Version PCI DSS 3.2. seine Sicherheitstandards für die Finanzindustrie nochmals deutlich verschärft. Erst kürzlich bekannt gewordene Angriffe auf das SWIFT-System haben gezeigt, dass die bereits hohen Sicherheitsstandards und Complianceanfoderungen immer noch nicht ausreichend genug sind, die sensiblen Daten umfassend zu schützen. Woran liegt das? Erfahren Sie in unserem Blogbeitrag mehr über die vielfältigen Gründe und welche Konsequenzen auf den Handel, die Banken und alle anderen, die mit Kreditkarten arbeiten, zukommen.

Die Cyberkriminalität in der Finanzwelt ist weiterhin auf dem Vormarsch. Wie bereits in meinem letzten Blogbeitrag erwähnt, hat sich die Cyber-Kriminalität laut einer KPMG-Studie zu einem äußert lukrativen Geschäft entwickelt. Geografisch gesehen häufte sich die Wirtschaftskriminalität in der Schweiz vor allem im Raum Zürich, gefolgt vom Tessin als zweitplatzierte Region. Dass gerade diese beiden Regionen die Liste anführen ist nicht weiter verwunderlich, da sowohl Zürich als auch Lugano die größten Finanzzentren in der Schweiz sind, und die Finanzinstitute nach wie vor im Fokus der Cyberkriminellen stehen. Obwohl die Finanzindustrie zu den am höchsten regulierten Branchen mit hohen Sicherheitsstandards und Complianceanforderungen zählt, gibt es nach wie vor unzählige Fälle von Datenmissbrauch und Datendiebstählen bei Finanzdienstleistern. Als Beispiel können hier die erst kürzlich bekannt gewordenen Angriffe auf das SWIFT System genannt werden.

Mit PCI DSS wurde bereits vor vielen Jahren ein Sicherheitsstandard für die Zahlungsindustrie eingeführt – basierend auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Die Sicherheitsvorkehrungen der Kreditkartenunternehmen reichen anscheinend nicht aus. Woran liegt das? Die Gründe sind vielfältig:

  • Ausnutzung bestehender privilegierter Accounts durch Advanced Persistent Threat Szenarien,
  • die gestiegene Nutzung von Mobilitätslösungen und Cloud Services,
  • vermehrte Web-App-Angriffe durch die Verwendung gestohlener Zugangsdaten,
  • das Ausnutzen von Schwachstellen in Webanwendungen und
  • eine stetig steigende Bedrohungslage durch neue Schadsoftware und Cyberspionage.

Aber auch die Einhaltung von PCI-Compliance-Vorschriften bereitet den Unternehmen anscheinend Probleme. Gemäß dem 2015 PCI Compliance Report von Verizon fallen drei von vier Unternehmen durch, wenn es um die Einhaltung von PCI-Compliance geht. Damit sind all diese Unternehmen anfällig für Cyberangriffe auf Kreditkartentransaktionen und Kundendaten.

Als Reaktion sowohl auf die massiven Datendiebstähle bei Finanzdienstleistern als auch auf die steigende Komplexität der Bedrohungen, hat das PCI Security Standards Council seine Sicherheitsanforderungen nun deutlich erhöht. Mit der am 28. April 2016 verabschiedeten Version 3.2 fordert das PCI Security Standards Council unter anderem den konsequenten Einsatz einer Multi-Faktor-Authentifizierung (MFA) für Banken, Händler und andere, die mit Kreditkarten arbeiten. In bisherigen Versionen wurde ausschließlich der Einsatz einer Two-Factor-Authentifizierung für den Remotezugriff gefordert. Neu gilt dies für alle Administratoren, auch bei Zugriffen innerhalb des Cardholder Data Environment (CDE), und man spricht über Multi-Factor-Authentifizierung. Mit den neuen Sicherheitsanforderungen will das PCI Security Standards Council offenbar ein klares Zeichen setzten, dass die momentanen Schutzmechanismen für kritische und sensible Daten, wie solche von Karteninhabern, nicht ausreichend sind und erweitert werden müssen.

Damit verfolgt das PCI Security Standards Council die gleiche Richtung in Bezug auf Passwörter, wie sie bereits letzten Herbst durch den britischen Geheimdienst GHCQ in der Publikation „Password guidance: simplifying your approach“ empfohlen wurden. Angesichts der heutigen Bedrohungsszenarien sind längere und komplexere Passwörter alleine nicht mehr ausreichend.

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

thumbAuch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-

Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird. Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Share this post:
Tweet about this on TwitterShare on FacebookShare on LinkedInGoogle+

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.