news-pci-3.1_update.png

PCI 3.1 kommt – Außerplanmäßiges Update

Das PCI Security Standards Council (PCI SSC) hat für diesen Monat (April 2015) ein außerplanmäßiges Update des PCI DSS Standards auf eine Zwischenversion PCI 3.1 angekündigt. Hintergrund sind kürzlich im sogenannten SSL-Protokoll (Version 3.0) aufgedeckte Schwachstellen. Das Protokoll wird unter anderem genutzt, um die Übertragung von sensiblen Zahlungsdaten zu verschlüsseln. Die Schwachstellen beeinflussen die Integrität des SSL-Protokolls sowie von TLS.

In der Regel wird PCI DSS alle drei Jahre aktualisiert. Das nächste Update war für Herbst 2016 geplant. PCI DSS 3.0 wurde ursprünglich im November 2013 veröffentlicht. Update 3.1 ist nun eine Reaktion auf die kürzlich aufgetauchten Schwachstellen, die die Integrität des SSL-Protokolls sowie von TLS beeinflussen. Dazu gehören unter anderem die Heartbleed-Lücke in einigen OpenSSL-Implementierungen.

Laut PCI Council werden die Änderungen in PCI DSS 3.1 alle Anforderungen beeinflussen, die auf SSL als ein Beispiel für sogenannte starke Kryptografie referenzieren. Im Glossar wird starke Kryptografie wie folgt definiert: Kryptografie, die auf von der Branche getesteten und akzeptierten Algorithmen basiert. Dazu gehört eine adäquate Schlüssellänge, wobei das Minimum 112 Bit beträgt. Außerdem ist ein angemessenes Schlüsselmanagement anzuwenden.

In seiner Stellungnahme schreibt das PCI SSC: „Das National Institute of Standards and Technology (NIST) hat das Protokoll SSL (Secure Sockets Layer) 3.0 (ein Protokoll, das zu sicheren Kommunikation von Computern via Netzwerk designt wurde) als ungeeignet für den Schutz der Daten identifiziert, da es Schwachstellen innerhalb dieses Protokolls gibt. Aufgrund dieser Schwachstellen erfüllt keine Version des SSL-Protokolls die Definition starke Kryptografie, die vom PCI Security Standards Council (SSC) ausgegeben wurde.“

Von den Änderungen in PCI DSS sind in erster Linie die Anforderungen 2.2.3 (Verschlüsselung von VPNs, NetBIOS, File Sharing, Telnet, FTP und ähnliche Services), 2.3 (Verschlüsselung für webbasiertes Management und andere administrative Nicht-Konsolen-Zugriffe) und 4.1 (Verschlüsselung von Kreditkartendaten bei der Übertragung in offenen und öffentlichen Netzwerken) betroffen.

Weiterhin schreibt das PCI SSC in seiner Stellungnahme „Das Upgrade auf eine aktuelle und sichere Version von TLS, dem Nachfolger-Protokoll zu SSL, ist die einzige effektive Methode, um die SSL-Schwachstellen zu beseitigen.“

Konkrete Vorgaben sowie Übergangsfristen werden bislang noch erwartet. Wir informieren, sobald Näheres bekannt wird. Sollten Sie Fragen haben, sprechen Sie uns gerne an.

Related Posts