Firmennachricht • 31.07.2009

Cyber-Ark: Admin-Passwort-Management ist Grundbedingung für PCI-Zertifizierung

Die Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Sicherheitsexperte Cyber-Ark sieht bei vielen Firmen aber einen erheblichen Nachholbedarf: Sie vernachlässigen wesentliche Vorschriften sträflich.

Das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS) umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunternehmen und Dienstleistern, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln. Ralph Wörn, CEO der Acertigo AG, die auf Compliance Services für die Payment-Card-Industrie wie Validierung und Zertifizierung nach dem PCI-Standard spezialisiert ist, betont: "Bei vielen Auditierungen müssen wir die Verwaltung der privilegierten Benutzerkonten bemängeln. Auch wenn die Unternehmen dazu hinreichend organisatorische Prozesse definiert haben, gibt es bei der laufenden Einhaltung der Vorgaben zum Teil noch sehr große Lücken."

Besonders privilegierte Accounts, wie sie IT-Administratoren besitzen, stellen in jedem Unternehmen ein erhebliches Sicherheitsrisiko dar. Die Passwörter der administrativen Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen. Ein verantwortungsvoller Umgang mit den Kennwörtern ist jedoch die Ausnahme. Kernproblem ist dabei, dass sich auf den IT-Systemen teilweise identische und oft leicht zu entschlüsselnde Passwörter finden. Sie werden zudem meistens nur selten oder sogar nie geändert. Der Grund ist klar: Die Passwörter werden in der Regel manuell verwaltet und eine Änderung ist mit einem erheblichen zeitlichen Aufwand verbunden.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Hier werden eindeutig PCI-Vorschriften missachtet. Eine Lösung der Problematik ist nur mit der Implementierung einer Applikation möglich, mit der alle privilegierten administrativen Accounts automatisch verwaltet und überwacht werden können."

Cyber-Ark bietet hier die Lösung Enterprise Password Vault an, die eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Die Passwörter befinden sich dabei verschlüsselt in einem "digitalen Tresor", dem Vault. Durch eine vollständige Zugriffskontrolle und Protokollierung kann die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden.

Ralph Wörn ergänzt: "Eine Feststellung bei unseren Audits ist der unbedarfte Umgang mit in Software-Code eingebetteten Passwörtern. Die Änderungsintervalle werden oftmals nicht eingehalten. Und zudem sind die Passwörter meistens einem größeren Personenkreis zugänglich. Das verletzt die Anforderungen des PCI-Standards."

Die Cyber-Ark-Lösung in diesem Bereich lautet Application Identity Manager. Er ermöglicht die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files - den sogenannten Hardcoded Software Accounts. Mit der Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im digitalen Datentresor von Cyber-Ark abgelegt, überprüft und verwaltet werden.

Cyber-Ark-Lösungen für ausgewählte PCI-Vorschriften im Überblick:

• In Punkt 2 der PCI-Regelungen wird die Änderung von Kennwörtern gefordert. Mit dem Enterprise Password Vault erfolgt eine periodische Veränderung von Passwörtern auf Servern und Appliances.
• Punkt 3 regelt den Schutz der gespeicherten Daten von Kreditkarteninhabern detailliert. Cyber-Ark bietet hier PCI-konforme Lösungen von einer Verschlüsselung mit AES 256-Bit und SHA-1 bis zur Sicherung und regelmäßigen Änderung der Encryption Keys.
• In Punkt 10 wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern gefordert. Cyber-Ark erfüllt diese Anforderungen mit einer detaillierten, revisionssicheren Protokollierung der Passwortnutzung - alle Aktivitäten werden in einem AuditLog aufgezeichnet.
• Im Unterpunkt 10.1 wird sogar konkret gefordert, dass ein Prozess zu implementieren ist, der es ermöglicht, den Zugriff auf Systemkomponenten - insbesondere auch von administrativen Accounts - einem individuellen User zuzuordnen. Bei der Cyber-Ark-Lösung erfolgt eine Personalisierung von Shared-Accounts auf Administratorenebene. Damit ist eine Nachvollziehbarkeit der Verwendung eines generischen Accounts bis auf die Personenebene gewährleistet.

Themenkanäle: Sicherheit, IT-Sicherheit