Unternehmen
Wir haben vor kurzem eine umfassende PCI DSS-Konformität Bewertung für einen unserer Kunden, eine renommierte US-amerikanische Privatkundenbank, die für ihr umfangreiches Finanzdienstleistungsangebot bekannt ist. Mit über 15,000 Mitarbeitern und einem landesweiten Filial- und Geldautomatennetz ist dieses Finanzinstitut ein vertrauenswürdiger Anbieter von Privatkundendienstleistungen, Kreditkarten, Krediten und Vermögensverwaltungslösungen für Millionen von Kunden. In den letzten zehn Jahren verzeichnete die Bank dank digitaler Innovationen ein rasantes Wachstum und entwickelte sich zu einem führenden Unternehmen der Finanzbranche. Durch die Einführung mobiler Banking-Apps, 24/7-Kundensupport und die Bearbeitung von Finanzkrediten setzte die Bank neue Maßstäbe in puncto Innovation, Kundenservice und operativer Exzellenz.
Challenges
Da täglich ein hohes Transaktionsvolumen und sensible Karteninhaberdaten auf dem Spiel stehen, benötigte unser Kunde eine gründliche Bewertung seiner bestehenden kryptografischen Infrastruktur in Multi-Cloud- und On-Premises-Umgebungen. Daher holte er uns an Bord, um eine Verschlüsselungsbewertung um die Einhaltung der PCI DSS-Standards sicherzustellen.
Unsere Analyse deckte mehrere kritische Lücken auf und identifizierte so die größten Herausforderungen für unseren Kunden bei der Einhaltung der PCI-DSS-Standards. Insbesondere hatte das Finanzinstitut Schwierigkeiten, mit den sich ständig weiterentwickelnden PCI-DSS-Anforderungen Schritt zu halten, die mit der Veröffentlichung von PCI DSS 4.0 und der Einführung verbesserter Passwortanforderungen und Multi-Faktor-Authentifizierung strenger geworden waren. Angesichts dieser Herausforderungen wandte sich das Finanzinstitut an uns, um seine kryptografischen Systeme gründlich überprüfen zu lassen. Wir erstellten eine umfassende Analyse sowie einen entsprechenden Sanierungsplan.
Die Bank nutzte veraltete Hashing-Methoden zur Speicherung von Karteninhaberdaten, darunter die primäre Kontonummer (PAN), den Namen des Karteninhabers, das Ablaufdatum und den Servicecode. Diese Methoden verwendeten Einweg-Hashing, eine kryptografische Funktion, die Daten in einen Hashwert fester Länge umwandelt. Obwohl diese Einweg-Hashes irreversibel sind, wurden sie nicht in Verbindung mit modernen Sicherheitsmaßnahmen wie Keyed Hashing oder Salting verwendet, bei denen den Daten vor dem Hashing ein eindeutiger, zufälliger Wert oder Schlüssel hinzugefügt wird.
Dies machte sie anfällig für Brute-Force- und vorkalkulierte Angriffe. Infolgedessen hinderte dieser Ansatz unseren Kunden daran, die neuen PCI DSS 4.0-Standards einzuhalten, die sicherere kryptografische Verfahren erfordern, um die Angriffsfläche zu reduzieren, indem unbefugter Zugriff auf vertrauliche Karteninhaberdaten verhindert wird.
Wir stellten außerdem fest, dass mehrere Systeme immer noch veraltete, weniger sichere Verschlüsselungsprotokolle verwendeten, wie zum Beispiel SSLund ältere Versionen von TLS (wie TLS 1.0 und 1.1). Diese Protokolle basieren auf schwachen und veralteten Algorithmen wie MD5, RC4 und SHA-1 und sind daher anfällig für Angriffe wie Man-in-the-Middle-Angriffe, die zu Datenlecks oder dem Verlust vertraulicher Informationen führen können.
Wir haben auch festgestellt, dass sie ihre Verschlüsselung als auch Entschlüsselung Schlüssel innerhalb derselben Umgebung, beispielsweise derselben Datenbank oder desselben Servers. Diese Konfiguration war anfälliger für Sicherheitsrisiken, da ein Angreifer durch den Zugriff auf die Umgebung sowohl die Verschlüsselungsschlüssel als auch die sensiblen Daten, die sie schützen sollten, abrufen konnte. Diese Art der Konfiguration konnte zu unbefugtem Zugriff, Datenverletzungen und potenzieller Nichteinhaltung der von PCI DSS geforderten Schlüsselverwaltungspraktiken führen.
Wir stellten außerdem fest, dass einige Drittanbieter, wie Zahlungsabwickler und Cloud-Anbieter, die erforderlichen PCI-DSS-Sicherheitsstandards nicht erfüllten. Diese Anbieter schützten die Karteninhaberinformationen unzureichend, indem sie keine angemessene Verschlüsselung und Zugriffskontrolle verwendeten. Daher waren die Daten anfällig für Diebstahl oder Missbrauch. PCI DSS 4.0 schränkt solche Praktiken ein, da es Richtlinien zum Schutz von Karteninhaberdaten festlegt. Durch unsere Verschlüsselungsbewertunghaben wir diese Lücken identifiziert und die dadurch entstehenden Risiken aufgezeigt.
Darüber hinaus waren auch ihre Richtlinien zur Datenaufbewahrung unzureichend. Die sensiblen Informationen, die bei Zahlungskartentransaktionen zur Authentifizierung des Karteninhabers verwendet werden, werden als Sensitive Authentication Data (SAD) bezeichnet. Dazu gehören CVV, PIN, PIN-Blöcke und Magnetstreifendaten. Gemäß PCI-DSS-Standards dürfen SAD nach der Autorisierung nicht mehr gespeichert werden. Im Fall unseres Kunden wurden diese Informationen nach der Autorisierung jedoch nicht konsequent aus den Datenbanken gelöscht.
Da wir diese Herausforderungen klar verstanden hatten, schlugen wir einen Sanierungsplan vor, um diese Herausforderungen anzugehen und das Unternehmen der Konformität mit den PCI-DSS-Standards einen Schritt näher zu bringen.
Lösung
Unser Ziel war klar: Wir wollten Sicherheitslücken in der kryptografischen Umgebung unseres Kunden finden und die Einhaltung von PCI DSS 4.0 sicherstellen. Das Hauptziel der PCI DSS-Richtlinien besteht darin, sensible Karteninhaberdaten zu schützen und die Risiken durch unsachgemäßen Umgang mit ihnen zu minimieren.
Wir begannen unsere Bewertung mit der Erfassung der notwendigen Informationen, um die bestehenden kryptografischen Richtlinien, Standards, Verfahren und anderen relevanten Dokumente zu verstehen. Dies half uns, einen umfassenden Überblick über die angewandten kryptografischen Praktiken zu erhalten und Verbesserungspotenziale zu identifizieren.
Wir führten Workshops mit ausgewählten Stakeholdern durch, um ein umfassendes Verständnis ihrer kryptografischen Umgebung und der aktuell zum Schutz von Karteninhaberdaten eingesetzten Verschlüsselungstechniken zu erlangen. Darüber hinaus bewerteten wir die Effektivität von Schlüsselverwaltungsprozessen, Zugriffskontrollen und anderen Sicherheitsmaßnahmen. Anschließend bildeten wir den Fluss sensibler Daten vom Eingangs- zum Ausgangspunkt innerhalb der kryptografischen Infrastruktur des Unternehmens ab. Dies half uns, wichtige Bereiche und die damit verbundenen potenziellen Risiken zu identifizieren.
Wir haben spezifische Anwendungsfälle ermittelt, darunter die Bewertung der Sicherheit sensibler Karteninhaberdaten, die in Datenbanken und Multi-Cloud-Umgebungen gespeichert sind, sowie deren Schutz während der Übertragung. Wir haben auch die Wirksamkeit der Schlüsselverwaltungssystem (KMS) bei der Gewährleistung der sicheren Verwaltung, Speicherung und Rotation von Verschlüsselungsschlüsseln. Anschließend konzentrierten wir uns auf die Einführung starker und konformer kryptografischer Kontrollen und Richtlinien zur Verbesserung der Gesamtsicherheit.
Begleitet wurde dies durch eine detaillierte Lückenanalyse, in der die bestehenden kryptografischen Kontrollen, Richtlinien, Standards und Verfahren bewertet und alle wichtigen Aspekte der Sicherheitsanforderungen anhand der PCI DSS 4.0-Standards bewertet wurden. Die Ergebnisse dieser Analyse wurden in einem ausführlichen Bericht zusammengefasst, der Sicherheitslücken, Bereiche mit Nichteinhaltung und die damit verbundenen Risiken aufzeigte und einen Sanierungsplan zur Behebung dieser Probleme empfahl.
Wir empfehlen, die Passwortrichtlinien zu aktualisieren, um den Anforderungen des PCI DSS 4.0-Standards zu entsprechen. Darüber hinaus schlagen wir eine automatische Kontosperrung nach mehreren fehlgeschlagenen Anmeldeversuchen und eine sichere Identitätsprüfung zur Kontowiederherstellung vor. Wir empfehlen die Implementierung einer Passwortverlaufsrichtlinie, um die Wiederverwendung der letzten vier Passwörter zu verhindern. Das bedeutet, dass ein Benutzer sein Passwort nicht auf eines der letzten vier verwendeten Passwörter setzen darf.
Wir empfehlen außerdem die Implementierung Multi-Faktor-Authentifizierung (MFA) gemäß den neuen Richtlinien für alle Systeme, die auf die Karteninhaberdatenumgebung (CDE) zugreifen, einschließlich Cloud-, On-Premises- und Remote-Access-Systemen. Mit aktualisierten Richtlinien fügt MFA nun eine zusätzliche Sicherheitsebene beim Zugriff auf die CDE hinzu. Benutzer müssen sich nun mit MFA authentifizieren, um auf Remote-Systeme zuzugreifen, und sich dann erneut authentifizieren, wenn sie sich vom Remote-Netzwerk mit dem CDE-Einstiegspunkt verbinden, z. B. dem Bastion-Host (einem Server, der als sicherer Einstiegspunkt für interne Systeme fungiert). Dadurch wird sichergestellt, dass der Zugriff auf sensible Daten streng kontrolliert wird.
Darüber hinaus haben wir vorgeschlagen, die vorhandene rollenbasierte Zugriffskontrolle (RBAC) zu stärken, um sicherzustellen, dass Benutzer nur auf die erforderlichen Ressourcen zugreifen können. Darüber hinaus sollten robuste Schlüsselverwaltungsverfahren eingeführt werden, um Verschlüsselungsschlüssel zu sichern und eine regelmäßige Schlüsselrotation durchzusetzen.
Wir schlugen außerdem vor, eine FIDO-basierte (Fast Identity Online) Authentifizierung für Systeme mit risikoreicheren Zugriffspunkten einzuführen, beispielsweise für den Fernzugriff auf sensible Karteninhaberdaten oder den administrativen Zugriff auf kritische Infrastrukturen. Dabei werden biometrische Faktoren wie Smartcards oder biometrische Daten anstelle herkömmlicher Passwörter verwendet, um eine stärkere, Phishing-resistente Authentifizierung zu ermöglichen. Solche Maßnahmen würden der Bank helfen, ihre Sicherheitsfunktionen zu erweitern und die Anforderungen der PCI DSS 4.0 Standards.
Anschließend empfahlen wir die Einführung verschlüsselter kryptografischer Hashes wie HMAC (Hash-based Message Authentication Code). Ein verschlüsselter kryptografischer Hash kombiniert vor dem Hashing einen geheimen Schlüssel mit den Daten und macht den resultierenden Hash dadurch sicherer. Im Gegensatz zum herkömmlichen Einweg-Hashing kann nur der Empfänger mit dem geheimen Schlüssel den Hash validieren. Dadurch werden die Integrität der Nachricht sowie ihre Quelle und Authentizität sichergestellt. Dies verhindert auch Brute-Force-Angriffe, da es für böswillige Akteure deutlich schwieriger wird, den Hash umzukehren und an Karteninhaberdaten zu gelangen.
Angesichts der neuen PCI-Standards empfehlen wir, die Systeme auf TLS 1.2 oder höher zu aktualisieren, da SSL und ältere TLS-Versionen veraltet sind. Dadurch werden die übertragenen Informationen besser geschützt.
Um die Sicherheit sensibler Karteninhaberdaten zu erhöhen und dabei die kryptografische Umgebung und die spezifischen Sicherheitsanforderungen des Kunden zu berücksichtigen, empfehlen wir die Implementierung einer vaultbasierten Tokenisierungstechnik. Dabei werden sensible Daten durch ein eindeutiges, nicht sensibles Token ersetzt. Bei diesem Ansatz speichert ein sicherer Tokenisierungstresor die Zuordnung zwischen Token und Originaldaten. So wird sichergestellt, dass ein Angreifer selbst bei Zugriff auf das System nur auf Token und nicht auf tatsächliche Daten stößt. Nur autorisierte Systeme, wie z. B. Zahlungsabwickler mit Zugriff auf den Tresor, können das Token den Originaldaten zuordnen. Diese Methode bietet zusätzlichen Schutz für die Vertraulichkeit und Integrität von Karteninhaberdaten und unterstützt gleichzeitig die Einhaltung der PCI-DSS-Anforderungen.
Wir empfehlen die Einführung eines dedizierten Schlüsselverwaltungssystems (KMS), um Verschlüsselungsschlüssel sicher in einer isolierten Umgebung zu speichern, getrennt von den Daten, die sie schützen. Dies verhindert, dass Angreifer sowohl auf die Schlüssel als auch auf sensible Daten zugreifen können, selbst wenn sie Zugriff auf eine Umgebung erlangen. Darüber hinaus empfehlen wir die Implementierung Hardware-Sicherheitsmodule (HSMs) um Schlüssel sicher zu verwalten und sicherzustellen, dass sie niemals im Klartext offengelegt werden.
Wir überprüften die Sicherheitspraktiken der Drittanbieter in der kryptografischen Umgebung unseres Kunden. Anschließend empfahlen wir die Durchführung strengerer Compliance-Prüfungen, einschließlich regelmäßiger Risikobewertungen und Sicherheitsaudits. Darüber hinaus empfahlen wir, die Einhaltung der PCI-DSS-Anforderungen durch vertragliche Vereinbarungen und kontinuierliche Überwachung sicherzustellen. Diese Maßnahmen zielen darauf ab, Karteninhaberdaten zu schützen und die PCI-DSS-Konformität zu erreichen.
Im Rahmen unserer Bewertung überprüften wir auch die Datenspeicherungspraktiken und identifizierten Bereiche, in denen die Richtlinien zur Aufbewahrung sensibler Authentifizierungsdaten (SAD) nicht vollständig eingehalten wurden. Diese Richtlinien legen fest, wie lange Daten gespeichert, wann sie gelöscht und wie sie verwaltet werden sollen, um rechtlichen, regulatorischen und sicherheitsrelevanten Anforderungen zu entsprechen. Um dieses Problem zu lösen, empfahlen wir, die Richtlinien zur Datenaufbewahrung so zu ändern, dass SAD nach der Autorisierung automatisch gelöscht oder maskiert werden. Darüber hinaus empfahlen wir die Einführung regelmäßiger Audits, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen und das Risiko einer versehentlichen Aufbewahrung zu minimieren.
Wir haben für jeden Anwendungsfall im Rahmen einen detaillierten Fahrplan mit einem taktischen und strategischen Ansatz bereitgestellt, der dem Kunden dabei hilft, den gewünschten Zustand zu erreichen und PCI DSS-konform zu sein.
Auswirkungen
Unsere detaillierten Ergebnisse und Empfehlungen verschafften unserem Kunden ein klares Bild seiner Sicherheitslücken. Wir erstellten zudem einen soliden Sanierungsplan zur Behebung dieser Lücken. Dadurch konnte das Unternehmen seine allgemeine Sicherheitslage verbessern, sensible Karteninhaberdaten besser schützen und schließlich die PCI DSS 4.0-Konformität erreichen.
Wir haben kritische Schwachstellen in der kryptografischen Umgebung identifiziert und behoben, darunter veraltete Verschlüsselungsprotokolle und unsichere Datenspeicherpraktiken. Mit stärkeren Verschlüsselungsmethoden wie TLS 1.2 oder höher, Tokenisierung und verbesserten Hashing-Techniken konnten sie die Sicherheit sensibler Karteninhaberdaten sowohl im Ruhezustand als auch während der Übertragung drastisch verbessern.
Unser Sanierungsplan half ihnen, ihre Sicherheitspraktiken an die neuesten PCI DSS 4.0-Standards anzupassen und die Einhaltung sicherzustellen. Diese Anpassung verringerte auch das Risiko von Strafen und Datenschutzverletzungen, die durch Nichteinhaltung entstehen könnten.
Als Ergebnis unserer Bemühungen hat die Organisation sicherere Methoden zur Datenverarbeitung eingeführt, wie z. B. Tokenisierung und Verschlüsselung, wodurch die Wahrscheinlichkeit verringert wurde, Datenverstöße um 58 %. Diese Upgrades verringerten auch die Anfälligkeit für gängige Angriffsmethoden wie Brute-Force- und Man-in-the-Middle-Angriffe.
Durch die Evaluierung der Sicherheitspraktiken von Drittanbietern konnten sie ihre Beziehungen zu externen Dienstleistern effektiver gestalten. Auf unseren Rat hin führten sie zudem regelmäßige Risikobewertungen und Sicherheitsaudits durch und stellten die Einhaltung der PCI-DSS-Anforderungen durch vertragliche Vereinbarungen und kontinuierliche Überwachung sicher. Dadurch wurden die potenziellen Sicherheitsrisiken durch nicht konforme Anbieter minimiert und ein besserer Schutz ihrer Daten und Abläufe gewährleistet.
Dank automatisierter Prozesse zur sicheren Datenlöschung und Kontosperrung konnte unser Kunde den Bedarf an manuellen Eingriffen reduzieren und so die betriebliche Effizienz steigern. Regelmäßige Sicherheitsaudits und Compliance-Prüfungen führten zu einem optimierten Prozess zur langfristigen Einhaltung der Compliance.
Durch die Einhaltung des PCI DSS 4.0 und die Beseitigung wichtiger Sicherheitslücken bekräftigte die Bank ihr Engagement für den Schutz ihrer Kundendaten. Dies trug dazu bei, das Vertrauen der Kunden zu stärken, das ein entscheidender Faktor für die Bindung und Gewinnung neuer Kunden ist.
Letztendlich ermöglichte unsere Bewertung unserem Kunden, Risiken zu minimieren, die Einhaltung von Vorschriften sicherzustellen und sein Sicherheitskonzept zu verbessern, wodurch letztlich sowohl für die Bank als auch für ihre Kunden eine sicherere Umgebung geschaffen wurde.
Fazit
In einer Zeit, in der Vertrauen das Rückgrat von Finanzdienstleistungen bildet, war unsere PCI DSS-Konformitätsbewertung entscheidend für die Stärkung des Sicherheitsrahmens dieses Finanzinstituts. Durch die Identifizierung und Behebung wichtiger Schwachstellen stellten wir unserem Kunden einen praktischen und umsetzbaren Sanierungsplan zur Verfügung, der ihm half, sich an die neuesten PCI-DSS 4.0 Standards.
Unsere umfassenden Empfehlungen, die von verbesserten Passwortrichtlinien bis hin zur Tokenisierung sensibler Daten reichen, ermöglichen es der Bank, Karteninhaberinformationen effektiver zu schützen. Diese Partnerschaft gewährleistete die Einhaltung gesetzlicher Vorschriften und legte den Grundstein für eine sichere, zukunftsfähige Infrastruktur. Im Zuge ihrer kontinuierlichen Weiterentwicklung ist die Bank nun besser gerüstet, die Anforderungen des PCI DSS-Standards zu erfüllen und gleichzeitig das Vertrauen ihrer Kunden zu wahren.
Bei Encryption Consulting unterstützen wir Unternehmen dabei, ihre Sicherheit zu erhöhen, Compliance-Standards einzuhalten und das Vertrauen ihrer Kunden zu gewinnen. Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihre Abwehrmaßnahmen zu verbessern und das Vertrauen ihrer Kunden in dieser komplexen Welt zu gewinnen.