Dateiintegritätsüberwachung für PCI DSS-Compliance

Die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) ist wesentlich für die Sicherung von Daten und die Einhaltung von Compliance-Vorschriften. Insbesondere erfordert der Payment Card Industry Data Security Standard (PCI DSS) von Organisationen, FIM zu nutzen, um ihre Geschäftssysteme gegen den Diebstahl von Kartendaten durch die Erkennung von Änderungen an kritischen Systemdateien zu schützen. Dieser Artikel erklärt diese PCI DSS-Anforderungen und wie man die Compliance mithilfe von FIM erreicht.

Was sind die Anforderungen der PCI DSS-Konformität?

PCI DSS ist ein Satz technischer und betrieblicher Sicherheitsstandards, der entwickelt wurde, um die Sicherheit von Karteninhaberdaten zu gewährleisten. Die Einhaltung von PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen akzeptieren, verarbeiten, nutzen, speichern, verwalten oder übermitteln.

Datentypen, die durch PCI DSS reguliert werden

PCI DSS umfasst zwei Kategorien von Daten:

• Informationen zum Karteninhaber, einschließlich Kontonummern, Namen der Karteninhaber, Servicecodes und Ablaufdaten der Karten
• Sensible Authentifizierungsdaten, wie Magnetstreifendaten oder der Chip-Äquivalent, PIN-Blöcke und PINs sowie Kartenprüfwerte (CAV2/CVC2/CVV2/CID)

Kernanforderungen

Um diese Daten vor unsachgemäßer Handhabung und Verstößen zu schützen, umfasst PCI DSS die folgenden 12 wesentlichen Anforderungen:

• Richten Sie eine sichere Firewall-Konfiguration ein, um die Sicherheit der Karteninhaberdaten zu gewährleisten.
• Vermeiden Sie die Verwendung von vom Hersteller vorgegebenen Standardwerten für Systempasswörter und andere Sicherheitsparameter.
• Schützen Sie alle gespeicherten Kreditkartendaten.
• Verschlüsseln Sie Kreditkartendaten bei der Übertragung über alle Netzwerke, insbesondere öffentliche.
• Minimieren Sie die Anfälligkeit aller Systeme für Malware, einschließlich der Gewährleistung regelmäßiger Updates der Antivirensoftware.
• Entwickeln und pflegen Sie sichere Systeme und Programme
• Implementieren Sie starke Datenzugriffskontrollen, die den Zugriff auf Karteninhaberdaten in der Umgebung auf der Grundlage des Kenntnisbedarfs einschränken.
• Erkennen und überprüfen Sie den Zugriff auf verschiedene Systemkomponenten.
• Beschränken Sie den physischen Zugang zu Karteninhaberdaten.
• Überwachen Sie alle Zugriffsanfragen auf Netzwerkressourcen und Karteninhaberdaten.
• Testen Sie Sicherheitssysteme regelmäßig.
• Erstellen und pflegen Sie eine Informationssecurity policy für das gesamte Personal.

Strafen

Die Nichteinhaltung der PCI DSS-Anforderungen kann zu hohen Strafen und Bußgeldern führen. Der Vertrag zwischen einem Händler und einem Zahlungsabwickler legt die Höhe und die Bedingungen der Gebühr für einen Verstoß fest, die bis zu 5.000 bis 100.000 US-Dollar pro Monat betragen kann. Zusätzlich zu den finanziellen Auswirkungen dieser Bußgelder kann ein einzelner Verstoß den Marktruf Ihres Unternehmens ernsthaft schädigen und zu kostspieligen Rechtsstreitigkeiten führen oder sogar zur Aussetzung Ihrer Fähigkeit, Kreditkartenzahlungen zu akzeptieren.

Wie kann die Überwachung der Dateiintegrität bei der Einhaltung von PCI DSS helfen?

Was ist Dateiintegritätsüberwachung?

Überwachung der Dateiintegrität (FIM) Software verfolgt Änderungen an sensiblen System- und Konfigurationsdateien und alarmiert Sicherheitsteams über jegliche Modifikationen, die Sicherheitsrisiken darstellen. Beispielsweise könnte eine unsachgemäße Änderung einer kritischen Konfigurationsdatei oder Registry, ob absichtlich oder versehentlich, Angreifern ermöglichen, die Kontrolle über wichtige Systemressourcen zu erlangen, bösartige Skripte auszuführen und auf sensible Daten zuzugreifen. Daher ist FIM eine empfohlene beste Sicherheitspraxis, die von vielen Compliance-Standards, einschließlich PCI DSS, vorgeschrieben ist.

Im Kontext der PCI-Konformität kann file integrity monitoring dazu beitragen, den Schutz sensibler Kreditkartendaten zu gewährleisten. Beispielsweise extrahieren Angreifer Kreditkartendaten, indem sie bösartigen Code in die Konfigurationsdateien des Betriebssystems injizieren. Ein FIM-Tool kann diese Änderung erkennen, indem es diese Dateien mit der etablierten Basislinie vergleicht. Der Prozess verwendet einen sicheren Hash-Algorithmus (SHA), der sicherstellt, dass selbst kleine Dateiänderungen einen völlig anderen Hash-Wert als den von der ordnungsgemäß konfigurierten Datei erzeugten zur Folge haben, was dazu führt, dass die Integritätsprüfung fehlschlägt. Infolgedessen macht FIM es praktisch unmöglich, dass bösartiger Code, der in authentische Systemdateien injiziert wird, unentdeckt bleibt.

PCI DSS-Anforderungen für die Überwachung der Dateiintegrität

PCI DSS führt die Überwachung der Dateiintegrität als eine seiner Kernanforderungen auf. Insbesondere fordert Anforderung 11.5, dass Organisationen „File-Integrity Monitoring oder Change-Detection-Software bei Protokollen verwenden müssen, um sicherzustellen, dass vorhandene Protokolldaten nicht ohne Erzeugung von Warnmeldungen geändert werden können.“

Software zur Dateiüberwachung kann Organisationen auch dabei helfen, weitere PCI DSS-Anforderungen zu erfüllen, einschließlich:

• Anforderung 1: Installieren und verwalten Sie eine Firewall-Konfiguration, um ein sicheres Netzwerk für Karteninhaberdaten aufzubauen
• Anforderung 2: Vermeiden Sie die Verwendung von vom Hersteller vorgegebenen Standardwerten für Systempasswörter und andere Sicherheitsparameter
• Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Programme
• Anforderung 10. Überwachen und verfolgen Sie regelmäßig alle Zugriffsanfragen auf Netzwerkressourcen und Karteninhaberdaten
• Anforderung 11. Testen Sie regelmäßig Sicherheitssysteme

Welche Datentypen sollten auf Integrität überwacht werden?

Die Integritätsüberwachung sollte alle folgenden Datentypen umfassen:

Systemdateien und Bibliotheken

In Windows-Betriebssystemen müssen Sie auf diese Systemdateien und Bibliotheksordner achten:

• C:WindowsSystem32
• Booten/Starten, Passwort, Active Directory, Exchange SQL, usw.

Wenn Sie ein Linux-System haben, sollten Sie diese kritischen Verzeichnisse überwachen:

• /trash
• /sbin
• /usr/bin
• /usr/sbin

Anwendungsdateien

Es ist wichtig, Programmdateien wie Firewalls, Mediaplayer, Antivirensoftware, Konfigurationsdateien und Bibliotheken genau zu überwachen.

Auf Windows-Systemen sind dies Dateien, die gespeichert sind in:

• C:Program Files
• C:Program Files (x86)

Auf Linux-Systemen werden diese Dateien gespeichert in:

• /opt
• /usr/bin
• /usr/sbin

Konfigurationsdateien

Konfigurationsdateien steuern die Funktionen eines Geräts und einer Anwendung. Beispiele hierfür sind die Windows-Registrierung und textbasierte Konfigurationsdateien auf Linux-Systemen.

Protokolldateien

Protokolldateien enthalten Aufzeichnungen von Ereignissen, einschließlich Zugriffs- und Transaktionsdetails sowie Fehlern. In Windows-Betriebssystemen werden Protokolldateien im Ereignisanzeiger gespeichert. In UNIX-basierten Systemen befinden sie sich im Verzeichnis /var/log des Systems.

Wie kann Netwrix helfen?

Netwrix Change Tracker hilft Organisationen dabei, die PCI DSS-Konformität zu erreichen und aufrechtzuerhalten, indem es IT-Teams ermöglicht, sichere Konfigurationen für kritische Systeme zu pflegen. Insbesondere kann die Lösung Ihnen dabei helfen:

• Härten Sie kritische Systeme mit anpassbaren Build-Vorlagen von mehreren Normungsorganisationen, einschließlich CIS, DISA STIG und SCAP/OVAL.
• Stellen Sie sicher, dass Ihre kritischen Systemdateien authentisch sind, indem Sie alle Änderungen an ihnen verfolgen und es einfach machen, eine vollständige Historie aller Änderungen zu überprüfen.
• Erkennen Sie Malware und andere Bedrohungen umgehend und beschleunigen Sie die effektive Reaktion auf Vorfälle.
• Reduzieren Sie den Zeit- und Arbeitsaufwand für Compliance-Berichterstattung mit über 250 CIS-zertifizierten Berichten, die NIST, PCI DSS, CMMC, STIG und NERC CIP abdecken.

FAQ

Welche Strafen gibt es für die Nichteinhaltung von PCI DSS?

Die Zahlungsmarken können hohe Strafen von 5.000 bis 100.000 Dollar pro Monat für Verstöße gegen PCI DSS verhängen. Darüber hinaus kann der Ruf Ihres Unternehmens irreparablen Schaden nehmen und Ihr Geschäft könnte von der Annahme von Kartenzahlungen ausgeschlossen werden.

Warum sollten Organisationen die Dateiintegrität überwachen?

Durch die Überwachung der Dateiintegrität stellen Organisationen sicher, dass kritische Systemkonfigurationsdateien nicht ohne Autorisierung geändert werden. Der Einsatz von Technologie zur Überwachung der Dateiintegrität (FIM) für die PCI DSS-Anforderungen wird Ihrer Organisation helfen, Verstöße gegen die Compliance zu vermeiden.

Ist FIM von PCI DSS erforderlich?

Ja. Die PCI DSS-Anforderung 11.5 besagt ausdrücklich, dass Organisationen, die dem Mandat unterliegen, FIM einsetzen müssen, um zu gewährleisten, dass das System Alarme auslöst, wann immer Protokolldaten geändert werden.