Unternehmen, die Kreditkartendaten akzeptieren, verarbeiten oder speichern, müssen den Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) gerecht werden. Das Ziel: Sensible Zahlungsdaten bestmöglich schützen.
Der quartalsweise durchzuführende Schwachstellenscan, der sogenannte ASV-Scan, ist ein fester Bestandteil der PCI DSS-Anforderungen. Er darf ausschließlich von zertifizierten Approved Scanning Vendors (ASV) durchgeführt werden, die vom PCI Security Standards Council geprüft werden. Sie haben also erfahrene Expert*innen an Ihrer Seite, die den technischen Teil übernehmen.
Doch auch Ihre Mitwirkung ist gefragt. Damit der Scan reibungslos abläuft und die Ergebnisse verwertbar sind, sind bestimmte Vorbereitungen und Abstimmungen notwendig – auf Ihrer Seite und im Zusammenspiel mit dem ASV. In der Praxis zeigt sich allerdings, dass gerade hier häufig Fragen oder Missverständnisse entstehen.
Um Ihren nächsten ASV-Scan effizient zu meistern, haben wir bei unserem Kollegen Sebastian Düringer, Managing Security Consultant und Verantwortlicher für Scanleistungen, nachgefragt: Was sind die häufigsten Herausforderungen und welche Praxis-Tipps kann er aus seiner Erfahrung geben?
Die wichtigsten Fakten zum ASV-Scan:
- Was ist ein ASV-Scan? Ein automatisierter Schwachstellenscan, der öffentlich erreichbare Systeme auf Sicherheitslücken prüft – also alles, was aus dem Internet zugänglich ist.
- Was wird gescannt? Typischerweise IT-Systeme wie Webanwendungen oder andere Infrastrukturkomponenten mit externem Zugang.
- Wie funktioniert der Scan? Der Scanner analysiert, welche Dienste und Systeme über die angegebene IP-Adresse oder Domain erreichbar sind. Diese Informationen werden mit einer aktuellen Datenbank bekannter Schwachstellen abgeglichen. Das Ergebnis: Ein detaillierter Scanbericht mit allen gefundenen Risiken.
- Wie oft muss gescannt werden? Laut PCI DSS v4.0.1 mindestens vierteljährlich – zusätzlich nach jeder signifikanten Änderung an Ihrer IT-Umgebung.
Von der Scope-Definition bis zu False Positives: 4 Tipps für einen erfolgreichen ASV-Scan
1. Wie definiere ich den richtigen Scope für den ASV-Scan?
Ein oftmals unterschätztes Thema ist die korrekte Definition des Scan-Scopes. Welche Systeme müssen überprüft werden? Wie umfangreich muss der Scan sein? Es gilt zu beachten: Werden relevante Systeme übersehen oder irrtümlich ausgeschlossen, gilt der Scan als unvollständig und somit als nicht PCI DSS-konform.
Unser Experten-Tipp: Überprüfen Sie regelmäßig, welche Ihrer Systeme tatsächlich in den ASV-Scan aufgenommen werden müssen, insbesondere nach Infrastruktur- oder Domain-Änderungen. Gehen Sie hierfür in den Austausch mit Ihrem IT-Verantwortlichen und identifizieren Sie alle relevanten Assets. So können Sie den Scope passend definieren und stellen sicher, dass der Scan vollständig ist.
2. Was tun, wenn Schwachstellen entdeckt werden?
Viele Unternehmen befürchten ein negatives Scan-Ergebnis. Doch Schwachstellen sind eher die Regel als die Ausnahme – entscheidend ist der Umgang damit. Dies wird jedoch erst relevant, wenn Schwachstellen mit einer CVSS-Bewertung (Common Vulnerability Scoring System) von 4.0 oder höher festgestellt werden. Handelt es sich hierbei nicht um False Positives (mehr hierzu in Frage 4), müssen diese zeitnah behoben und ein erneuter Scan durchgeführt werden.
Unser Experten-Tipp: Setzen Sie auf regelmäßige externe Schwachstellen-Scans als eine Art „Frühwarnsystem“, um alle Schwachstellen bereits vor dem ASV-Scan zu identifizieren. Planen Sie auch einen zeitlichen Puffer für eventuelle Nachbesserungen ein. Dadurch sind Sie bestens auf einen ASV-Scan vorbereitet.
3. Wie beeinflussen aktive Firewalls (IDS/IPS) den Scan?
Firewalls können Scans erschweren oder verfälschen, indem sie unsere Scanner blockieren. Gemäß PCI DSS muss der Scanner in solchen Systemen freigeschaltet werden, damit alle erreichbaren Dienste auf Schwachstellen untersucht werden können. Ein unvollständiger Scanbericht kann zur Ablehnung führen, da nicht alle Systeme überprüft werden konnten.
Unser Experten-Tipp: Informieren Sie Ihr IT-Team im Vorfeld. Whitelisten Sie gegebenenfalls die Scanning-IPs, sodass der Scanner alle Dienste ohne aktives Blockieren erreichen kann.
4. Wie geht man mit "False Positives" um?
Immer wieder kommt es vor, dass der Scanner fälschlicherweise eine Schwachstelle meldet - ein False Positive.
Unser Experten-Tipp: Dokumentieren Sie bekannte False Positives und übermitteln Sie diese dem ASV-Anbieter, um sie für den anstehenden und künftige Scans zu ignorieren oder als nicht relevant einzustufen.
„Viele sehen einen ASV-Scan lediglich als "Pflichtprogramm". Das sehe ich anders: Bei richtiger Nutzung in Kombination mit regelmäßigen externen Schwachstellen-Scans trägt er entscheidend zur Verbesserung Ihrer Sicherheitsarchitektur bei.“
Sebastian Düringer, Managing Security Consultant usd HeroLab und Verantwortlicher für Scanleistungen bei der usd AG
Kennen Sie schon unsere usd PCI DSS Scanplattform?
Unsere Plattform unterstützt Sie gezielt bei den typischen Herausforderungen rund um den ASV-Scan und bietet Ihnen darüber hinaus eine Vielzahl an praktischen Funktionen:
- Einfache Planung und Durchführung
- Transparente Ergebnisse: Sie erhalten eine vollständige Übersicht aller relevanten Schwachstellen, inklusive technischer Details und konkreter Empfehlungen zur Behebung.
- Effiziente Weiterverarbeitung: Exportieren Sie die Ergebnisse direkt als Jira-Tickets oder Excel-Datei, um sie intern oder mit Dienstleistern weiterzuverfolgen.
- Direkte Kommentarfunktion: Schwachstellen lassen sich direkt im Tool kommentieren – für eine schnelle Abstimmung im Team oder mit unseren Analyst*innen.
- False Positives einfach melden: Markieren Sie potenzielle Fehlalarme direkt in der Plattform und versehen Sie sie mit einem Kommentar.
- Beratung inklusive: Unsere Expert*innen stehen Ihnen zur Seite – ohne Zusatzkosten. Wir helfen Ihnen, die Scan-Ergebnisse zu verstehen, passende Lösungen zu finden und False Positives zu identifizieren.
Sie haben Fragen oder benötigen Unterstützung bei Ihrem nächsten ASV-Scan? Kontaktieren Sie uns jederzeit unter pci@usd.de.
