Am 31.03.2022 veröffentlichte das Payment Card Industry Security Standards Council (PCI SSC) Version 4.0 des PCI DSS – das umfangreichste Update des Standards seit Version 1.0. Um Ihnen den Übergang zu vereinfachen, werfen wir in unserer Postreihe einen genaueren Blick auf die wichtigsten Neuerungen, die PCI DSS v.4.0 mit sich bringt. Im zweiten Teil betrachten wir die neuen Anforderungen zum Technical User Handling.
Was sind Technical User?
Als Technical User, technische Benutzer, Anwendungs- oder Systemkonten werden Benutzerkonten bezeichnet, die von Systemen oder IT-Anwendungen verwendet werden und nicht einem eindeutigen menschlichen Benutzer zugeordnet sind. Dabei handelt es sich in der Regel um Benutzerkonten, die zur Kommunikation von IT-Anwendungen untereinander oder mit Datenbanken erforderlich sind.
Einige technische Benutzer werden sowohl von Anwendungen und Systemen als auch von menschlichen Benutzern verwendet. In solchen Fällen spricht man von technischen Benutzerkonten mit interaktivem Login.
Technical User im PCI DSS
Der Umgang mit technischen Benutzern/Systemaccounts (Technical Users) wurde in vergangenen Versionen des PCI DSS nicht explizit thematisiert. Werden solche Konten jedoch erfolgreich kompromittiert, entstehen ähnliche Gefahren wie durch die Kompromittierung eines Kontos, das einem menschlichen Benutzer zugeordnet ist. Angreifer können durch die Übernahme des Kontos dieselben Zugriffsrechte und Privilegien erhalten, die sonst ausschließlich für das Ausführen von Anwendungen oder von Systemprozessen gewährt worden sind. Insbesondere mit der rasanten Ausbreitung neuerer Technologien, wie Infrastructure as Code, wächst auch die Tragweite der potenziellen Auswirkungen einer solchen Kompromittierung. Daher müssen Unternehmen sicherstellen, dass für technische Benutzer ebenso wirksame Sicherheitsmaßnahmen getroffen werden wie für die Konten menschlicher Benutzer. In Version 4.0 enthält der PCI DSS deshalb erstmals konkrete Anforderungen an den Umgang mit technischen Benutzerkonten.
PCI DSS-Anforderungen zum Technical User Handling
Version 4.0 des PCI DSS formuliert erstmalig einige konkrete Anforderungen zum Umgang mit technischen Benutzern. Im Wesentlichen fokussieren diese sich auf Maßnahmen zur Rechteeinschränkung, dem Schutz von Passwörtern und dem Logging von Zugriffen auf (interaktive) technische Benutzerkonten:
Rechteeinschränkung
Anforderung 7.2.5
Alle Anwendungs- und Systemkonten und die damit verbundenen Zugriffsrechte werden wie folgt zugewiesen und verwaltet:
- Auf Grundlage der geringsten Privilegien, die für die Funktionsfähigkeit des Systems oder der Anwendung erforderlich sind
- Der Zugriff ist auf die Systeme, Anwendungen oder Prozesse beschränkt, die ihre Nutzung ausdrücklich erfordern
Anforderung 7.2.5.1
Alle Zugriffe von Anwendungs- und Systemkonten und die damit verbundenen Zugriffsrechte werden wie folgt überprüft:
- Regelmäßig (in der Häufigkeit, die in der gezielten Risikoanalyse (Anf. 12.3.1) des Unternehmens festgelegt ist)
- Der Anwendungs-/Systemzugang bleibt für die ausgeführte Funktion angemessen.
- Jeder unangemessene Zugriff wird adressiert.
- Von Seiten des Managements wird bestätigt, dass der Zugang weiterhin angemessen ist.
Anforderung 8.6.1
Wenn von Systemen oder Anwendungen verwendete Konten für den interaktiven Login verwendet werden können, werden sie wie folgt verwaltet:
- Die interaktive Nutzung wird verhindert, es sei denn, es liegt ein außergewöhnlicher Umstand vor.
- Die interaktive Nutzung ist auf die Zeit beschränkt, die für den außergewöhnlichen Umstand erforderlich ist.
- Die geschäftliche Rechtfertigung für die interaktive Nutzung wird dokumentiert.
- Die interaktive Nutzung wird ausdrücklich von Seiten des Managements genehmigt.
- Die Identität des einzelnen Benutzers wird bestätigt, bevor der Zugang zum Konto gewährt wird.
- Jede durchgeführte Aktion ist einem einzelnen Benutzer zuzuordnen.
Schutz von Passwörtern/Passphrasen
Anforderung 8.6.2
- Passwörter/Passphrasen für alle Anwendungs- und Systemkonten, die für die interaktive Anmeldung verwendet werden können, sind nicht in Skripten, Konfigurations-/Properties-Dateien oder maßgeschneidertem und benutzerdefiniertem Quellcode fest kodiert.
Anforderung 8.6.3
Passwörter/Passphrasen für alle Anwendungs- und Systemkonten sind wie folgt vor Missbrauch geschützt:
- Passwörter/Passphrasen werden regelmäßig geändert (in der Häufigkeit, die in der gezielten Risikoanalyse des Unternehmens festgelegt ist (Anf. 12.3.1) und bei Verdacht oder Bestätigung einer Kompromittierung.
- Passwörter/Passphrasen werden mit einer Komplexität erstellt, die für die Häufigkeit, mit der das Unternehmen die Passwörter/Passphrasen ändert, angemessen ist.
Logging von Aktivitäten durch interaktive technische Benutzerkonten
Anforderung 10.2.1.2
- Audit-Protokolle erfassen alle Aktionen, die von Personen mit administrativem Zugriff durchgeführt werden, einschließlich der interaktiven Nutzung von Anwendungs- oder Systemkonten.
Quelle: PCI DSS v4.0 – eigene Übersetzung
Nächste Schritte
Effektive Sicherheitsmaßnahmen zum Schutz von technischen Benutzerkonten sind vor allem vor dem Hintergrund sich entwickelnder Technologien für ein starkes IT-Sicherheitsniveau unerlässlich. Um entsprechende Maßnahmen umsetzen zu können, ist eine vollständige Erfassung und Auflistung aller verwendeter technischer Benutzerkonten der logische erste Schritt. Insbesondere für Unternehmen mit umfangreichen IT-Umgebungen, in denen eine Vielzahl von technischen Benutzern im Einsatz sind, kann bereits dieser erste Schritt und die anschließende Umsetzung der im PCI DSS v4.0 geforderten Maßnahmen zu einer größeren Aufgabe werden. Sollten Sie hierbei Unterstützung oder Beratung benötigen, steht Ihnen Ihr PCI-DSS-Auditor bei dieser Aufgabe zur Seite.
