Die PCI-DSS-Sicherheitsmaßnahmen für Dateien umfassen das Scannen, Bereinigen und Bewerten jeder Datei, die in die CDE (Cardholder Data Environment) gelangt, und zwar über alle Erfassungskanäle hinweg, nicht nur über Endgeräte. PCI DSS 4.0.1 erweitert den Schutz vor Malware auf das Web, E-Mail, Cloud-Speicher, verwaltete Dateiübertragungen, Wechselmedien und Software-Abhängigkeiten.
Die meisten Sicherheitsteams, die für die Einhaltung des PCI DSS (Payment Card Industry Data Security Standard) verantwortlich sind, haben ihre Arbeit bereits erledigt. EDR (Endpoint and Response) ist implementiert. Anti-Malware-Lösungen sind im Einsatz. Anforderung 5 ist abgehakt. Dies sind zwar unverzichtbare Sicherheitsmaßnahmen, doch wenn es um den umfassenderen Geltungsbereich der regulatorischen Anforderungen geht, reichen herkömmliche Sicherheitskontrollen möglicherweise nicht aus.
PCI DSS 4.0.1 regelt ausdrücklich einen Punkt, der in früheren Versionen Interpretationsspielraum ließ: Der Schutz vor Malware erstreckt sich auf alle Kanäle, über die Dateien in die CDE, innerhalb der CDE und aus der CDE übertragen werden. Zero-Day-Angriffe. Web-Datenverkehr. E-Mail. Cloud . Verwaltete Dateiübertragung. Wechselmedien. Software .
Endgeräte sind nur einer von vielen Bereichen, die geprüft werden. Wenn die anderen Bereiche nicht bewertet wurden, besteht ein Risiko, und die Prüfer wissen, wo sie nachsehen müssen.
Dieser Beitrag gibt einen Überblick über den gesamten Umfang der Anforderungen der Norm, sodass Sie Ihre eigene Umsetzung ehrlich einschätzen können. Für eine detailliertere, anforderungsbezogene Übersicht werden im „PCI DSS Mapping Guide“ und in der „Starter’s Checklist“ die einzelnen Kontrollmaßnahmen mit konkreten Empfehlungen aufgeschlüsselt.
Wichtigste Erkenntnisse
PCI DSS 4.0.1 betrachtet die Dateisicherheit als einen bereichsübergreifenden Ansatz. Der Schutz vor Malware muss sich nicht nur auf Endgeräte beschränken, sondern auch auf das Web, E-Mail, die Cloud, den verwalteten Dateitransfer, Wechseldatenträger und Softwareabhängigkeiten erstrecken.
Der Schutzeinzelner Endgeräteerfolgt nach allen anderen Kanälen. Bis eine Datei einen Endgeräte-Agenten erreicht, hat sie bereits sechs weitere Prüfpunkte durchlaufen, die entweder erfolgreich waren oder fehlgeschlagen sind.
Die Erkennung anhand von Signaturen allein reicht nicht aus, um die Norm zu erfüllen. Anforderung 5 sieht die Abdeckung aller Arten von Malware sowie die verhaltensbasierte Erkennung von Zero-Day-Bedrohungen vor.
Für Wechseldatenträger gilt eine ausdrückliche Verpflichtung. Anforderung 5.3.3 schreibt vor, dass Wechseldatenträger beim Einlegen automatisch gescannt werden müssen; manuelle Verfahren sind nicht zulässig.
Software fallen in den Geltungsbereich. Anforderung 6.3.2 schreibt vor, dass maßgeschneiderte und kundenspezifische Software sicher entwickelt und ein Verzeichnis der Komponenten von Drittanbietern geführt werden muss.
Was schreibt PCI DSS 4.0.1 hinsichtlich der Dateisicherheit vor?
Bevor man sich mit den verschiedenen Kanälen befasst, lohnt es sich, die Argumentation anhand der Spezifikation selbst zu untermauern.
Anforderung 5 beschreibt die Angriffsfläche klar und deutlich: „Malware kann im Rahmen vieler geschäftlich genehmigter Aktivitäten in das Netzwerk gelangen, darunter E-Mails von Mitarbeitern (beispielsweise durch Phishing) sowie die Nutzung des Internets, mobile und Speichergeräte, was zur Ausnutzung von Systemschwachstellen führt.“ Dies ist das primäre Bedrohungsmodell für dateibasierte Angriffe in Zahlungsumgebungen.
Der Standard legt zudem fest, dass die Erkennung von Signaturen allein nicht ausreicht: „Der Einsatz von Anti-Malware-Lösungen, die alle Arten von Malware abdecken, trägt dazu bei, Systeme vor aktuellen und sich weiterentwickelnden Malware-Bedrohungen zu schützen.“ Die entscheidenden Begriffe sind „alle Arten“ sowie „aktuelle und sich weiterentwickelnde“. Eine Erkennung, die nur bekannte Bedrohungen identifiziert, hinterlässt eine Lücke, auf die der Standard ausdrücklich hinweist.
Anforderung 5.2.1 geht noch einen Schritt weiter – in den Leitlinien zur bewährten Praxis heißt es, dass es „für Organisationen von Vorteil ist, sich der ‚Zero-Day‘-Angriffe (die eine bisher unbekannte Schwachstelle ausnutzen) bewusst zu sein und Lösungen in Betracht zu ziehen, die sich auf Verhaltensmerkmale konzentrieren und bei unerwartetem Verhalten Warnungen ausgeben sowie darauf reagieren“. Damit räumt der Standard selbst ein, dass verhaltensbasierte und heuristische Erkennung für eine lückenlose Abdeckung von Bedeutung sind.
Die Anforderungen 6 und 11 erweitern den Geltungsbereich noch weiter. Anforderung 6.3.2 schreibt vor, dass Sicherheitslücken in maßgeschneiderter und kundenspezifischer Software identifiziert werden müssen, womit direkt auf Risiken in der Software-Lieferkette eingegangen wird. Anforderung 11.3.1.2 schreibt authentifizierte interne Scans vor. Zusammen legen sie fest, dass Dateisicherheit in einer PCI-DSS-konformen Umgebung keine einzelne Kontrollmaßnahme ist, sondern eine Disziplin, die über die gesamte Architektur hinweg angewendet wird.
Welche sieben Kanäle zur Dateiübernahme müssen Sie gemäß PCI DSS Secure?
Genau hier weisen viele Compliance-Programme eine Lücke auf, die sie bisher noch nicht erfasst haben.
Aufnahmekanal | PCI-DSS-Anforderung | Warum Endpoint das übersehen | Was die Lücke schließt |
Web-Traffic | Anforderung 5, 6 | Dateien, die über einen Web-Proxy übertragen werden, kommen niemals mit einem Endpunkt-Agenten in Berührung | Scannen mehrerer Motoren am Gateway |
E-Mail und Anhänge | Anforderung 1, 5 | Beim Scannen mit einer einzigen Signatur werden Makros, Archive und eingebettete Exploits übersehen | Multiscanning, Dateibereinigung, Schutz vor Datenverlust |
Cloud | Anforderung 5, 6 | Direkte Uploads auf SharePoint, OneDrive oder S3 umgehen die Endpunktprüfung | Überprüfung ruhender Dateien + Schutz vor Datenverlust |
Verwaltete Dateiübertragung | Anforderung 5, 6 | Dateien von vertrauenswürdigen Partnern werden bereits im Workflow bereitgestellt | Dateien während der Übertragung scannen + Dateibereinigung |
Wechselmedien | Anforderung 1, 5, 9 | Manuelle Scan-Richtlinien entsprechen nicht der Vorgabe zum automatischen Scannen | Automatischer Scan beim Einstecken (Kiosk), um Malware von externen Geräten zu verhindern |
Software | Anforderung 6 | Bekannte CVEs in Komponenten von Drittanbietern sind keine Malware-Signaturen | vulnerability detection in Dateien (Software-Artefakten) vulnerability detection der verschiedenen Phasen des Softwareentwicklungszyklus (SDLC) |
Endpunkte | Anforderung 5 | Nach allen anderen Kanälen; fängt Bedrohungen als Letztes ab | EDR / Endpunkt-Virenschutz |
- Webverkehr: Dateien, die über HTTPS von einem Webportal heruntergeladen oder hochgeladen werden, durchlaufen das Netzwerk, bevor sie einen Endpunkt erreichen.
- E-Mail und Anhänge: E-Mail ist nach wie vor der häufigste Übertragungsweg für dateibasierte Bedrohungen. Die Überprüfung von Anhängen muss über den reinen Signaturabgleich hinausgehen. Komprimierte Archive, Dokumente mit Makros und Dateien mit eingebetteten Exploits sind alle darauf ausgelegt, diese Überprüfung zu umgehen.
- Lokaler und Cloud : Dateien werden ständig mit SharePoint, OneDrive, S3 und ähnlichen Plattformen synchronisiert.
- Gesteuerte Dateiübertragung: Der Austausch mit Lieferanten, die Integration von Partnern und die Übermittlung von Dateien durch Kunden führen zu eingehenden Dateiströmen, die jeweils mit einem eigenen Risikoprofil verbunden sind.
- Wechselmedien: Die Anforderung 5.3.3 ist eine der konkreteren Verpflichtungen der Norm: Die Anti-Malware-Software muss Wechselmedien automatisch scannen, sobald sie eingesteckt werden. USB stellen in Zahlungsumgebungen einen aktiven Angriffsvektor dar, auch in Air-Gapped-Systemen, in denen sie oft den einzigen externen Datenpfad darstellen.
- Software und Abhängigkeiten. Die Anforderung 6.3.2 wurde eingeführt, da Bibliotheken von Drittanbietern und eingebettete Komponenten eine bedeutende Quelle für CDE-Risiken darstellen. Eine Binärdatei, die mit einer bekannten CVE (Common Vulnerability and Exposure) in einer Abhängigkeit ausgeliefert wird, birgt das Risiko, dass die signaturbasierte Malware-Erkennung diese nicht erkennt. Es handelt sich dabei um eine Schwachstelle, die nur darauf wartet, ausgenutzt zu werden, und nicht um Malware im herkömmlichen Sinne.
- Endpunkte. Dies ist der Kanal, den die meisten Teams bereits abdecken. Endpoint scannen alles, was auf einem Gerät eintrifft, ausgeführt wird oder dort verbleibt. Diese Abdeckung ist zwar notwendig, erfolgt jedoch erst nach allen anderen Kanälen auf dieser Liste. Bis eine Datei einen Endpunkt erreicht, hat sie bereits sechs andere Prüfstellen durchlaufen – mit positivem oder negativem Ergebnis.
Warum ein einzelnes Antivirenprogramm für Endpoint nicht ausreicht
EDR und Antivirenprogramme für einzelne Endgeräte sind hervorragende Tools, doch ihr Anwendungsbereich ist von Natur aus begrenzt.
Endpoint schützen Geräte, indem sie überwachen, was auf dem Rechner geschieht: Dateien, die auf die Festplatte geschrieben werden, ausgeführte Prozesse, initiierte Netzwerkverbindungen. Sie überprüfen keine Dateien, die über einen Web-Proxy, ein E-Mail-Gateway, eine API oder einen USB übertragen werden. Dies ist eine Frage des Anwendungsbereichs und kein Produktmangel.
PCI DSS 4.0.1 gibt eine eindeutige Antwort auf diese Frage zum Anwendungsbereich. Der Standard definiert die Angriffsfläche als jeden Kanal, über den Dateien in das Netzwerk gelangen. Endpoint sichert das, was sich bereits innerhalb der CDE befindet. Die Dateisicherheit schützt den Datenaustausch.
Die Lücke ist kein theoretisches Problem. Ein Angreifer, der eine Schadlast über einen Phishing-Anhang übermittelt, der nur von einem Single-Engine-Gateway gescannt wird, oder über eine bösartige Abhängigkeit in einem vom Hersteller bereitgestellten Softwarepaket, oder über ein USB , das während eines Wartungsfensters angeschlossen wird – keiner dieser Wege berührt einen Endpunkt-Agenten, bis es bereits zu spät ist. Das sind die Kanäle, die Sie gemäß dem Standard schließen sollen.
Wie sieht umfassende Dateisicherheit gemäß PCI DSS 4.0.1 aus?
Unternehmen, deren Audits zur Dateisicherheit nach Clean 4.0.1 positiv ausgefallen sind, weisen eine gemeinsame Architektur auf: Überprüfung an jedem Erfassungspunkt mit mehreren Verteidigungsebenen.
Das bedeutet ein Scannen mit mehreren Antiviren-Engines auf Gateway-Ebene. Die gleichzeitige Überprüfung von Dateien durch mehrere Antiviren-Engines erhöht die Erkennungsraten erheblich und bietet die von der Formulierung „alle Typen“ im Standard geforderte Abdeckungstiefe. Es bedeutet eine Dateibereinigung, die das neutralisiert, was Antivirenprogramme nicht erkennen können: Die Deep CDR™-Technologie rekonstruiert Dateien in sichere, nutzbare Formate, indem sie potenziell schädliche Inhalte entfernt, einschließlich Zero-Day-Exploits, die noch nicht katalogisiert wurden. Es bedeutet eine Schwachstellenbewertung auf Dateiebene anhand bekannter CVEs für Softwarepakete und Binärdateien, bevor diese in Produktionssysteme gelangen. Und es bedeutet eine zentralisierte Protokollierung über alle Kanäle hinweg, nicht nur Endpunkt-Telemetrie, sodass die Audit-Anforderungen von Anforderung 11 tatsächlich erfüllt werden können.
MetaDefender™ ist die Dateisicherheitsplattform OPSWAT, die dafür entwickelt wurde, Dateien über alle Erfassungskanäle hinweg zu scannen, zu bereinigen und zu bewerten, bevor sie das CDE erreichen.
Wie im Compliance-Leitfaden OPSWAT heißt es:OPSWAT MetaDefender einige der branchenweit leistungsstärksten Funktionen für Anforderung 5. Metascan™ Multiscanning mehr als 30 kommerzielle Antiviren-Engines, um bekannte Malware mit außergewöhnlicher Genauigkeit zu erkennen, während die Deep CDR™-Technologie Zero-Day- und eingebettete Bedrohungen proaktiv neutralisiert, indem sie Dateien in sichere, nutzbare Formate umwandelt.“
Diese Lücke besteht nicht, weil die Sicherheitsteams nachlässig waren, sondern weil PCI DSS 4.0.1 umfassendere Anforderungen stellt. Die Teams, die diese Lücke vor einem Audit schließen, tun nicht mehr, als der Standard verlangt. Sie erfüllen lediglich alle Anforderungen.
Nächste Schritte
Sind Sie bereit, Ihren aktuellen Versicherungsschutz anhand der vollständigen Anforderungen der Version 4.0.1 zu überprüfen?
Laden Sie den PCI DSS-Zuordnungsleitfaden + die PCI DSS-Checkliste für Einsteiger herunter , um Ihre bestehenden Kontrollmaßnahmen den sieben Kanälen zur Dateieingabe abzugleichen und Lücken zu identifizieren.
Häufig gestellte Fragen
Reicht der Schutz einzelner Endgeräte für die Einhaltung der PCI DSS 4.0.1-Vorgaben aus?
Nein. PCI DSS 4.0.1 erweitert den Schutz vor Malware auf alle Kanäle, über die Dateien in die CDE gelangen. Herkömmliche Endpunktschutzlösungen sichern zwar die Geräte, überprüfen jedoch keine Dateien, die über Web-Proxys, E-Mail-Gateways, Cloud-Synchronisierung oder Wechseldatenträger übertragen werden. OPSWAT MetaDefender lässt sich in mehrschichtige Technologien integrieren, um diese Lücke zu schließen.
Schreibt PCI DSS eine Malware-Prüfung auf Wechseldatenträgern vor?
Ja. Wenn Wechseldatenträger eingelegt, angeschlossen oder logisch eingebunden werden, schreibt Anforderung 5.3.3 entweder automatische Scans oder eine kontinuierliche Verhaltensanalyse von Systemen oder Prozessen vor. Richtlinien für manuelle Scans erfüllen diese Anforderung nicht.
Welche Kanäle gibt es für die Dateiübernahmeim Zusammenhang mit PCI DSS 4.0.1?
Webverkehr, E-Mails und Anhänge, Cloud-Speicher, verwalteter Dateitransfer, Wechseldatenträger, Software-Abhängigkeiten und Endgeräte.
Behandelt PCI DSS 4.0.1 Risiken in der Software-Lieferkette?
Ja. Anforderung 6.3.2 schreibt vor, dass maßgeschneiderte und kundenspezifische Software sicher entwickelt wird, Sicherheitslücken identifiziert und behoben werden und ein Verzeichnis der Softwarekomponenten von Drittanbietern geführt wird, um das Schwachstellen- und Patch-Management zu erleichtern.
Was ist die „Cardholder Data Environment“ (CDE)?
Die CDE umfasst die Personen, Prozesse und Technologien, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alle damit verbundenen Systeme. Die PCI-DSS-Sicherheitsmaßnahmen für Dateien gelten für Dateien, die in die CDE hinein-, innerhalb der CDE und aus der CDE heraus übertragen werden.
