Im Durchschnitt erfüllten weltweit nur 68,8 % der Organisationen die Anforderungen des PCI DSS Requirement 11.3, das besagt, dass Organisationen jährlich Penetrationstests durchführen müssen.

Penetrationstests sind simulierte Cyberangriffe, die dazu dienen, Schwachstellen zu identifizieren und auszunutzen, die Cyberkriminellen unbefugten Zugang zu Informationen ermöglichen könnten.

Diese Übung, auch als Pen-Test bezeichnet, könnte aufdecken, ob Ihre Karteninhaberdatenumgebung anfällig für eine Vielzahl von Schwachstellen ist, die Ihre Karteninhaberdaten gefährden könnten. Es könnte auch aufzeigen, welche Verbesserungen notwendig sind, um diese Informationen sicher zu halten.

In diesem Artikel erklären wir, was genau PCI-Penetrationstests sind, wie sie sich von regulären Penetrationstests unterscheiden und welche Testkomponenten und -prozesse Sie kennen müssen. Außerdem stellen wir eine Checkliste für Penetrationstestberichte zur Verfügung, um bei der Bewertung der Qualität eines Berichts zu helfen.

Was ist ein PCI DSS Penetrationstest?

Ein Penetrationstest ist eine Übung, bei der eine beauftragte Drittpartei einen simulierten Angriff auf Ihre Systeme durchführt, um Bereiche zu entdecken, in denen Ihre Organisation ihre Informationssicherheit verbessern kann.

Ein PCI-Penetrationstest bewertet speziell die Sicherheit Ihrer Karteninhaberdatenumgebung, alle Netzwerke oder Systeme, die mit Ihrer Karteninhaberdatenumgebung verbunden sind, und sogar isolierte Systeme oder Netzwerke von Ihrer internen Infrastruktur und Anwendungen bis hin zu externen Systemen, die mit öffentlichen Netzwerken verbunden sind.

PCI-Penetrationstests sind eine Voraussetzung für die Aufrechterhaltung derPCI DSS-Konformität, und die Nicht-Einhaltung kann zu rechtlichen Strafen oder dem Verlust der Zahlungsabwicklungserlaubnis führen.

Wie unterscheidet sich ein Penetrationstest von einem Schwachstellenscan?

Obwohl PCI-Penetrationstests Schwachstellenscans enthalten können, sind sie nicht dasselbe.

Ein Schwachstellenscan konzentriert sich darauf, Schwachstellen in einem System zu finden, zu priorisieren und zu berichten, indem ausschließlich ein automatisiertes Werkzeug verwendet wird. Ein PCI-Penetrationstest könnte einen Schwachstellenscan nutzen, aber auch einen echten White-Hat-Hacker einbeziehen, dessen Hauptziel es ist, diese Schwachstellen auszunutzen und möglicherweise durch Ihre Umgebung zu navigieren, um tiefere Bedrohungen zu entdecken.

Siehe die Tabelle unten für eine Aufschlüsselung der Hauptunterschiede zwischen einem Schwachstellenscan und einem Penetrationstest.

Was ist der Unterschied zwischen einem PCI-Penetrationstest und einem Standard-Penetrationstest?

Im Vergleich zu einem Standard-Penetrationstest haben PCI-Penetrationstests spezifischere Anleitungen bezüglich des Umfangs und der Häufigkeit des Tests. Die Testmethodik erfordert außerdem spezifisch Tests gegen die Applikationsschicht und alle kritischen Systeme oder mit der Karteninhaberdatenumgebung verbundenen Systeme.

PCI-Anforderungen an Penetrationstests

PCI DSS Anforderung 11 enthält Kontrollen im Zusammenhang mit der Einrichtung eines Schwachstellenmanagementprozesses. Die Kontrollen umfassen vierteljährliche interne und externe Schwachstellen-Scans und einen jährlichen Penetrationstest.

PCI DSS Anforderung 11.3 behandelt Penetrationstests und legt Anforderungen für Folgendes fest.

• Wer führt Penetrationstests durch: Eine qualifizierte interne Ressource oder ein Dritter.
• Umfang: Kritische Systeme und alle Netzwerke oder Systeme, die mit der Karteninhaber-Datenumgebung verbunden sind.
• Häufigkeit: Sollte mindestens einmal im Jahr oder nach wesentlichen Änderungen durchgeführt werden. Dienstanbieter müssen halbjährlich Segmentierungstests durchführen.
• Methode: Es muss eine Methode definiert werden, einschließlich Umfang, Dokumentation und Regeln für das Engagement. Die tatsächliche Testmethodik sollte auf Industriestandards und PCI-definierter Testanleitung basieren.
• Komponenten: Umfang, Segmentierungstests, Netzwerk- und Anwendungsschichttests.
• Berichterstattung und Dokumentation: Die Penetrationstest-Methodik muss dokumentiert werden, und der Penetrationstest-Bericht muss Schwachstellen mit einer zugehörigen Bewertung und Beschreibung enthalten.
• Behebung: Alle externen Schwachstellen mit hoher und mittlerer Priorität müssen behoben werden sowie alle internen Schwachstellen mit hoher Priorität. Alle Netzwerke, die als segmentiert definiert, aber als verbunden gefunden wurden, würden in den Geltungsbereich des PCI DSS aufgenommen, sofern nicht anderweitig behoben.

Wer führt typischerweise einen PCI DSS-Penetrationstest durch?

Secureframe empfiehlt, ein Drittanbieter-Penetrationstestunternehmen mit der Durchführung des Penetrationstests zu beauftragen.

PCI DSS erlaubt es auch, dass eine interne Ressource den Penetrationstest durchführt. Diese Person muss organisatorisch unabhängig sein – das heißt, sie darf nicht für die Verwaltung, Unterstützung oder Wartung der Zielsysteme oder -umgebung verantwortlich sein. Diese Person muss auch qualifiziert sein, was bedeutet, dass sie über Erfahrungen als Penetrationstester verfügt oder eine Penetrationstest-Zertifizierung besitzt, wie beispielsweise einen Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH) oder Global Information Assurance Certification (GIAC).

PCI-Penetrationstest-Methodik

Es gibt mehrere Methoden, die für Penetrationstests verwendet werden können. Diese beziehen sich auf Aktivitäten und Prozesse, die neben den Tests selbst durchgeführt werden, um den Erfolg eines Penetrationstests zu gewährleisten.

Die verwendeten Methodologien hängen von dem Unternehmen ab, das Penetrationstest-Dienstleistungen anbietet sowie von den Bedrohungen und Schwachstellen der Karteninhaber-Datenumgebung und der Komplexität und Größe der getesteten Organisation.

Es gibt auch verschiedene Methoden, die vor, während und nach einem Pen-Test verwendet werden können. Beispielsweise kann ein Pen-Tester während des Tests Social-Engineering-Techniken einsetzen, um Server, Netzwerkomponenten und andere Ziele in der CDE zu identifizieren und Zugriff darauf zu erlangen. Andere hingegen integrieren diese Techniken möglicherweise nicht in ihre Penetrationstestmethodik.

Bei der Überlegung, welche Aktivitäten und Prozesse integriert werden sollen, können sich Pen-Tester auf mehrere branchenanerkannte Methoden stützen, darunter:

• Open Source Security Testing Methodology Manual („OSSTMM“)
• The National Institute of Standards and Technology („NIST“) Special Publication 800-115
• OWASP Testing Guide
• Penetration Testing Execution Standard (PTES)
• Penetration Testing Framework

PCI-Penetrationstestkomponenten

Nachfolgend finden Sie weitere Informationen zu Scoping, Segmentierungstests, Netzwerk- und Anwendungsschichttests.

Umfang

Bei der Durchführung eines PCI-Pen-Tests werden kritische Systeme der Karteninhaber-Datenumgebung (CDE), der externe Perimeter und alle mit der Karteninhaber-Datenumgebung verbundenen Systeme in den Testumfang einbezogen. Es liegt in der Verantwortung der Organisation, die den Penetrationstest durchführt, den Umfang festzulegen und sicherzustellen, dass er alle folgenden Komponenten umfasst:

• Kritische Systeme: Alle Systeme, Netzwerke oder Geräte, die Karteninhaberdaten speichern, verarbeiten oder übertragen oder als äußerst einflussreich für Ihre Dienstleistung gelten.
• Verbundene Systeme: Alle Netzwerke, Systeme oder Geräte, die mit Ihrer Karteninhaber-Datenumgebung verbunden sind.
• Externer CDE-Perimeter: Alle öffentlich zugänglichen Dienste, Fernzugriffspunkte und kritischen Systemkomponenten, die mit der öffentlichen Netzwerkinfrastruktur verbunden sind (z. B. Webanwendungen).

Anwendungs- und Netzwerkschichttests

Ein Sicherheits- und Netzwerkschicht-Penetrationstest identifiziert alle Sicherheitslücken, die aus unsicherem Anwendungsdesign und unsicherer Programmierung entstehen. Penetrationstester prüfen auch auf Cybersecurity-Mängel, die durch unsichere Konfiguration, Implementierung, Verwendung oder Wartung von organisationsspezifischer Software entstehen.

Die Tests der Anwendungs- und Netzwerkschicht beginnen, sobald der Umfang definiert, die Einsatzregeln festgelegt und alle Zugriffsrechte erteilt wurden.

Das Penetrationstestteam wird wahrscheinlich die Termine festlegen, an denen der Penetrationstest stattfinden wird, einschließlich der Zeit, in der die Tests durchgeführt werden.

Penetrationstester führen dann die eigentliche Bewertung der Anwendungen und Netzwerke durch und entdecken dabei möglicherweise vorhandene Schwachstellen in Ihrer Umgebung.

Segmentierungstests

Segmentierungstests sind jährlich für Händler und halbjährlich für Dienstleister erforderlich.

Wenn Sie Segmentierungskontrollen wie Firewalls oder VLANs verwenden, um Netzwerke außerhalb Ihres Karteninhaber-Datenumfelds zu segmentieren, müssen Segmentierungstests durchgeführt werden.

Ein Segmentierungstest überprüft, ob diese Kontrollen funktionsfähig sind und die CDE wirksam von anderen Systemen isolieren. Diese Überprüfung ist wichtig, da sie verhindert, dass Hacker, die ein anderes isoliertes Netzwerk kontrollieren, in die CDE eindringen können.

Social Engineering

Social Engineering, wie Phishing, ist die beliebteste und effektivste Methode, mit der Hacker in Ihre Umgebung eindringen können. Social-Engineering-Tests zielen darauf ab, Risiken zu identifizieren, die durch die Unfähigkeit der Benutzer entstehen, eine bösartige Anfrage von einer echten Anfrage zu unterscheiden.

PCI DSS verlangt keinen Social-Engineering-Test, erfordert jedoch Schulungen zur Sicherheitsbewusstsein, die Phishing-Module enthalten sollten.

Methoden von Penetrationstests

Es gibt drei Methoden für Penetrationstests: Black-Box, White-Box und Grey-Box. Typischerweise umfassen PCI DSS Penetrationstests alle drei dieser Testmethoden.

• Black-Box-Tests werden ohne vorherige Authentifizierung oder spezifische Umgebungsinformationen durchgeführt, die dem Penetrationstester von der Organisation zur Verfügung gestellt werden. Dies könnte bedeuten, dass dem Penetrationstester nur der IP-Bereich des Tests zur Verfügung gestellt wird.
• White-Box-Tests erfolgen, wenn die Organisation vor dem Test Zugang und vollständige, detaillierte Informationen über das Netzwerk und alle Webanwendungen bereitstellt. Dazu könnten mehrere Zugriffsrollen, alle von einer Anwendung ausgeführten Funktionen und jede IP-Adresse jedes Geräts im Testbereich gehören.
• Grey-Box-Tests sind der Mittelweg zwischen Black-Box und White-Box. Die Organisation könnte begrenzten Zugang zu Systemen und Anwendungen gewähren und verlangen, dass der Penetrationstester zusätzliche Dienste selbst entdeckt.

Der PCI-Penetrationstestprozess

Ein erfolgreicher PCI Penetrationstest besteht aus drei Schritten: Vorbereitungsphase, Durchführung und Nachbereitung. Die Vorbereitungsphase umfasst die Bereichsbestimmung und Informationssammlung, die Durchführung umfasst die Bewertungsschritte und die Nachbereitung besteht aus Berichterstattung und Nachtests. Eine Übersicht über jeden Schritt finden Sie unten.

1. Vorbereitungsphase

Vor dem Test identifizieren der Penetrationstester und die Organisation den Bereich des Tests basierend auf den PCI DSS Anforderungen und den Netzwerken, Anwendungen, Systemen und Benutzern im Geltungsbereich. Der PCI DSS spezifiziert, dass der Bereich eines PCI Penetrationstests alle kritischen Systeme, verbundenen Systeme oder Netzwerke, extern zugänglichen oder öffentlich zugänglichen Systeme und isolierte Umgebungen für Segmentierungstests umfassen sollte.

Der Penetrationstester wird dann die Autorisierung für den Test erhalten, wobei die spezifischen Daten und Zeiten angegeben werden, zu denen der Test stattfinden wird, möglicherweise einschließlich der IP-Adressen, von denen der Penetrationstest ausgeht.

Vor dem Penetrationstest werden alle Anmeldeinformationen und Authentifizierungen geprüft, um sicherzustellen, dass der Zugang ordnungsgemäß gewährt wird.

2. Durchführung

In dieser Phase beginnt der Penetrationstester mit dem Sammeln von Informationen über die Zielsysteme, wie offene Ports, Dienste und die Netzwerktopologie.

Anschließend führt der Penetrationstester Scans durch, um Schwachstellen und Angriffsvektoren gegen die im Geltungsbereich befindlichen Systeme zu entdecken. Sobald Schwachstellen entdeckt werden, beginnt der Angreifer, die Schwachstellen auszunutzen, um Zugang zu den Zielsystemen oder Netzwerken zu erlangen oder Daten wie Karteninhaberdaten zu exfiltrieren. Der Tester versucht dann, seine Privilegien zu eskalieren, um tieferen administrativen Zugang zu erlangen, indem er weitere Schwachstellen innerhalb der Systeme ausnutzt.

Während eines Segmentierungstests wird der Tester innerhalb der isolierten Systeme und Umgebung platziert und versucht, Zugang zu der Umgebung mit Karteninhaberdaten zu erlangen. Dies kann durch Scantechniken geschehen, um Dienste zu nutzen, die gefunden wurden, um Zugang zu erlangen, oder indem versucht wird, entdeckte Schwachstellen auszunutzen oder gefundene Anmeldeinformationen zu verwenden, um Zugang zu erlangen.

3. Nachbereitung

Nach Abschluss der Durchführung dokumentiert der Tester in einem Bericht den Bereich des Tests, die angewandte Methodik und die entdeckten Schwachstellen. Der Bericht sollte alle entdeckten Schwachstellen, die Bewertung hinsichtlich der Schwere der Schwachstelle, eine Beschreibung und ein Proof of Concept enthalten. Der Penetrationstestbericht sollte auch die Details der Segmentierungstests enthalten, einschließlich der Ursprungsnetzwerke, der Umgebung mit Karteninhaberdaten und ob Zugang entdeckt wurde.

Die Organisation hat nun die Möglichkeit, gefundene Schwachstellen zu beheben und den Penetrationstester zu bitten, einen erneuten Test der Schwachstellen durchzuführen, um sicherzustellen, dass sie behoben wurden. Beachten Sie, dass es normalerweise eine Anforderung des PCI DSS ist, dass kritische und hohe Schwachstellen im internen Netzwerk und kritische, hohe und mittlere Schwachstellen in jedem externen System behoben werden müssen.

Richtlinien für das Berichtswesen bei Penetrationstests

Penetrationstestberichte können zwischen verschiedenen Penetrationstestfirmen sehr unterschiedlich aussehen. Der PCI SCC skizziert jedoch gemeinsame Inhalte eines branchenüblichen Penetrationstests. Diese Inhalte sind nachfolgend aufgeführt.

• Zusammenfassung: Ein Überblick über den Umfang und die Ergebnisse des Penetrationstests
• Umfangserklärung: Eine detaillierte Definition aller in den Umfang fallenden Systeme und Netzwerke
• Methodologieerklärung: Details zu den für die Tests verwendeten Methoden
• Erklärung der Einschränkungen: Dokumentation aller Beschränkungen für die Tests, wie z. B. festgelegte Testzeiten
• Testverlauf: Details dazu, wie die Tests durchgeführt wurden und auf welche Probleme man gestoßen ist
• Segmentierungstestergebnisse: Eine Zusammenfassung der durchgeführten Tests zur Validierung der Segmentierungskontrollen
• Ergebnisse: Eine Beschreibung der gefundenen Schwachstellen, die Schwere basierend auf einem branchenweit anerkannten Bewertungssystem und welche Ziele betroffen wären
• Verwendete Werkzeuge: Details zu den während der Tests verwendeten Werkzeugen
• Anweisungen zur Bereinigung: Anweisungen, wie die angegriffene Umgebung bereinigt und die Sicherheitskontrollen nach den Tests wiederhergestellt werden können
• Belege zur Behebung: Die Ergebnisse, die zeigen, welche Schwachstellen behoben wurden, wenn Behebungstests durchgeführt wurden

Zusätzlich zu diesem Inhaltsverzeichnis können Sie die Checkliste unten verwenden, um zu überprüfen, ob die notwendigen Inhalte in Ihrem Penetrationstestbericht enthalten sind.

Bewertungstool für Penetrationstestberichte

Laut Verizons Payment Security Report 2022 hielten nur 68,8 % der Organisationen weltweit die PCI DSS-Anforderung für jährliche Penetrationstests ein. Bei der Untersuchung, was zu dieser schlechten Leistung beigetragen hat, stellte sich heraus, dass Organisationen zwar tatsächlich einen Penetrationstest durchgeführt hatten, dann jedoch versäumten, die Ergebnisse zu beheben. In einigen Fällen lag dies daran, dass die Organisationen nicht verstanden oder unsicher waren, wo sie mit der Behebung beginnen sollten.

Deshalb ist es wichtig, einige Anleitungen zu haben, wie ein Penetrationstestbericht zu interpretieren ist und welche Qualität er haben sollte. Verwenden Sie die Checkliste zur Bewertung des Penetrationstestberichts unten, um die Vollständigkeit und Tiefe Ihres Berichts zu bewerten.

Wie Secureframe helfen kann

Die Aufrechterhaltung der PCI DSS-Konformität ist entscheidend, wenn Sie die Sicherheit der Karteninhaberdaten beeinträchtigen. Die Erfüllung der jährlichen und halbjährlichen PCI DSS-Penetrationstests ist ein wesentlicher Bestandteil der kontinuierlichen Konformität, aber Sie müssen die Erreichung und Aufrechterhaltung der PCI DSS-Zertifizierung nicht alleine tragen.

Secureframe vereinfacht den PCI DSS-Konformitätsprozess, indem es Ihren Tech-Stack integriert und technische Kontrollen automatisiert. Wir arbeiten auch mit externen Penetrationstest-Anbietern zusammen, die von unserem internen Team von Sicherheitsexperten überprüft wurden. Möchten Sie Ihre PCI DSS-Konformität beschleunigen? Vereinbaren Sie noch heute eine personalisierte PCI DSS-Demo.