Share
Beitragsbild zu Wie erstellt man ein Zertifikatsinventar für die PCI DSS 4.0-Anforderung 4.2.1.1?

Wie erstellt man ein Zertifikatsinventar für die PCI DSS 4.0-Anforderung 4.2.1.1?

Wir sprechen täglich mit Unternehmen, die sich auf die Anforderungen von PCI DSS 4.0 vorbereiten. Der 31. März 2025 markiert das Ende der Übergangsfrist, und an diesem Datum müssen Unternehmen vollständig mit PCI DSS v4.0.1 konform sein.

PCI 4.0.1 unterscheidet sich von PCI 3.2 unter anderem durch eine aktualisierte Anforderung 4, die die Verschlüsselung der Übertragung von Karteninhaberdaten über öffentliche Netzwerke betrifft, um sensible Informationen vor unbefugtem Zugriff und Abfangen zu schützen. Das PCI Security Standards Council beschreibt diese Änderung als eine Möglichkeit, „den Fokus auf ‚starke Kryptographie‘ zum Schutz der Übertragungen von Karteninhaberdaten zu reflektieren“.

Im Folgenden erfahren Sie, was sich genau geändert hat und wie Sie am besten einen Bestand an Zertifikaten aufbauen, um mit möglichst wenig Aufwand PCI DSS 4.0-konform zu sein

Die neue Anforderung an den Zertifikatsbestand für PCI DSS 4.0

In Version 4.0.1 wurden die PCI-Sicherheitsstandards um die Anforderung 4 erweitert. Dieser Blog ist der Anforderung 4.2.1.1 gewidmet, die lautet:

„Es wird ein Inventar der vertrauenswürdigen Schlüssel und Zertifikate des Unternehmens geführt, die zum Schutz von PAN während der Übertragung verwendet werden“.

Diese Anforderung ist eine Best Practice bis zum 31. März 2025, danach wird sie verpflichtend und muss bei einer PCI DSS-Bewertung vollständig berücksichtigt werden.

Mit Hilfe eines Inventars kann ein Unternehmen die wichtigsten kryptografischen Ressourcen und die Ablaufdaten der Schlüssel überwachen. Diese proaktive Verfolgung ermöglicht es dem Unternehmen, Schwachstellen in Verschlüsselungssoftware, Zertifikaten und kryptografischen Algorithmen zu beheben.

Der PCI Security Standards Council weist außerdem darauf hin, dass es eine gute Praxis ist, im Zertifikatsinventar die ausstellende Zertifizierungsstelle und das Ablaufdatum der Zertifizierung anzugeben.

Verschiedene Ansätze zur Erstellung eines Zertifikatsbestands für die Anforderung 4.2.1.1

Im Folgenden werden wir verschiedene Möglichkeiten zur Erstellung Ihres Zertifikatsbestands erläutern. Alle Methoden, die wir hier besprechen, konzentrieren sich auf fünf Kernschritte:

  1. Priorisierung der Anlagen, die in den Geltungsbereich fallen, auf der Grundlage der PCI-Anforderungen. Dazu gehören auch Zertifikate für Anlagen, die sich im Besitz Dritter befinden, wie z. B. Zahlungsgateways auf Ihrer Website.
  2. Verwendung von Identifikatoren zur Verfolgung von Zertifikaten im Geltungsbereich.
  3. Sobald Sie wissen, was in den Geltungsbereich fällt, können Sie die Berichte über die Anlagen exportieren, um ein vollständiges Inventar der Zertifikate zu erstellen.

Welcher Ansatz sich für Sie am besten eignet, hängt vom aktuellen Stand Ihres Zertifikatsbestands, der Komplexität Ihres Bestands und den Ressourcen ab, die Sie für die Verwaltung des Bestands und die Einhaltung von PCI 4.0.1 bereitstellen.

Tabellenkalkulationen

Tabellenkalkulationen werden von Unternehmen häufig zur Verfolgung und Verwaltung des Zertifikatsbestands verwendet und können für eine Bestandsaufnahme gemäß Anforderung 4.2.1.1 genutzt werden.

Für wen ist sie geeignet

Wenn eine Organisation heute Tabellenkalkulationen zur Verfolgung von Zertifikaten verwendet, kann die Erstellung einer ähnlichen Version zur Verfolgung von Zertifikaten, die zum Schutz von PAN während der Übertragung verwendet werden, eine akzeptable Möglichkeit sein, die PCI 4.0-Anforderung zu erfüllen.

Es ist zwar nicht der ausgefeilteste Ansatz, aber er kann funktionieren, vorausgesetzt, es gibt eine strenge Pflege und spezielle Ressourcen für die manuelle Verfolgung. Wenn ein Team überfordert ist und nicht über genügend Personal verfügt, um die Tabellenkalkulation auf dem neuesten Stand zu halten, ist dies der falsche Ansatz.

Dies ist auch der falsche Ansatz, wenn Sie derzeit eine Tabellenkalkulation verwenden, die jedoch veraltet oder unvollständig ist. Sie wollen etwas Automatisches, das Ihnen hilft, mit einem aktuellen Bestand zu beginnen. Mehr dazu weiter unten.

Wie man es macht

  1. Definieren Sie die erforderlichen Datenfelder. Bestimmen Sie alle erforderlichen Datenpunkte, die für jedes Zertifikat verfolgt werden müssen. Dazu gehören Dinge wie:
    • Zertifikatsname/ID: Ein eindeutiger Bezeichner für jedes Zertifikat.
    • Aussteller: Die Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat.
    • Betreff: Die Entität, für die das Zertifikat ausgestellt wurde (z. B. der Domänenname).
    • Typ des Zertifikats: SSL/TLS, Code Signing, Client-Zertifikat, usw.
    • Schlüsselstärke: Die kryptografische Stärke des Zertifikats (z. B. 2048-Bit RSA).
    • Verwendeter Algorithmus: Der verwendete kryptografische Algorithmus (z. B. RSA, ECC).
    • Gültigkeitsdauer: Anfangs- und Enddatum des Zertifikats.
    • Ablaufdatum: Datum, an dem das Zertifikat ablaufen soll.
    • Schlüsselverwahrer: Die Person oder das Team, das für die Verwaltung des Zertifikats verantwortlich ist.
    • Verwendungszweck: Die spezifische Anwendung oder das System, in dem das Zertifikat verwendet wird.
    • Widerrufsstatus: Angabe, ob das Zertifikat widerrufen wurde.
    • Erneuerungsstatus: Hinweise darauf, ob das Zertifikat zur Erneuerung ansteht.
    • Hinweise auf Schwachstellen: Alle bekannten Schwachstellen im Zusammenhang mit dem Zertifikat oder den zugehörigen Algorithmen.
    • Kommentare/Hinweise: Zusätzliche Bemerkungen oder Maßnahmen im Zusammenhang mit dem Zertifikat.
  2. Füllen Sie das Arbeitsblatt aus. Geben Sie die Informationen für jedes Zertifikat in die entsprechende Zeile und Spalte ein.
  3. Implementieren Sie die bedingte Formatierung. Richten Sie eine bedingte Formatierung ein, um Zertifikate zu kennzeichnen, die in Kürze ablaufen (z. B. Zertifikate, die in den nächsten 30 oder 60 Tagen ablaufen, rot oder gelb markieren).
  4. Erstellen Sie Mahnungen und Warnungen. Verwenden Sie Tabellenkalkulationsfunktionen, um die Anzahl der Tage bis zum Ablauf zu berechnen und automatische Warnungen oder Erinnerungen für zu erneuernde Zertifikate zu erstellen.
  5. Regelmäßige Überprüfung und Aktualisierung. Planen Sie regelmäßige Überprüfungen des Arbeitsblatts, um sicherzustellen, dass alle Informationen aktuell sind. Aktualisieren Sie die Tabelle, wenn ein Zertifikat ausgestellt, erneuert oder widerrufen wird.
  6. Sichern Sie die Tabelle. Stellen Sie sicher, dass die Tabelle sicher aufbewahrt wird und nur autorisiertes Personal Zugriff darauf hat. Wenn die Tabelle sensible Daten enthält, sollten Sie sie verschlüsseln oder in einer sicheren, PCI-konformen Umgebung speichern.

Verwendung eines Zertifikats-Lebenszyklus-Management-Tools (CLM)

Certificate Lifecycle Management Tools (wie AppviewX und Venafi) wurden entwickelt, um die Ausstellung, Erneuerung und Bereitstellung von Zertifikaten zu automatisieren. Angesichts der vielen Schritte in diesem Prozess – und der Fehler, die dabei passieren können – wurde CLM zu einer Möglichkeit für Sicherheits- und IT-Experten, ihre Zertifikatsbestände in den Griff zu bekommen.

Für wen ist es gut?

CLMs müssen von ihrer Konzeption her so umfassend sein, dass sie ein Zertifikat signieren, validieren, ausstellen, bereitstellen, widerrufen und darüber berichten können. Für bestehende CLM-Anwender bieten diese Tools Funktionen, die zur Erfüllung der PCI-Anforderung 4.2.1.1 beitragen.

Einige CLMs helfen auch bei der Inventarisierung vertrauenswürdiger Schlüssel, was ein weiterer Teil der Anforderung 4.2.1.1 ist.

Für diejenigen, die derzeit kein CLM haben, kann die Einführung eines CLM mühsam und ressourcenintensiv sein (mit Benutzerhandbüchern, die 2.761 Seiten lang sind).

Ein weiteres Szenario, in dem CLMs schlecht geeignet sind, sind komplexe Zertifikatsbestände, die komplexe Erkennungsszenarien erfordern. CLMs bieten zwar eine automatische Erkennung, aber die Konfiguration der Seeding-, Integrations- und Erkennungsmethoden kann viel Zeit in Anspruch nehmen und kritische Zertifikate übersehen.

Wie man es macht

Die genaue Vorgehensweise hängt von dem von Ihnen verwendeten CLM-Tool ab. Im Folgenden werden die Schritte, die Sie unabhängig vom verwendeten Tool durchführen müssen, in groben Zügen beschrieben.

  1. Beginnen Sie mit der Zertifikatsermittlung. Je nachdem, welches CLM-Tool Sie verwenden und wie weit Sie in der Zertifikatsverwaltung sind, kann dieser Prozess mehr oder weniger ressourcenintensiv sein. Lesen Sie in den Unterlagen Ihres CLM-Anbieters nach, wie Sie sich in die Zertifizierungsstellen integrieren und Ihre Infrastruktur scannen, um sicherzustellen, dass alle Zertifikate, die in den Anwendungsbereich von PCI 4.0 fallen, erkannt werden.
  2. Beginnen Sie mit dem CLM-Inventar. Diese Tools bieten ein zentrales Repository, in dem Zertifikate in Ihrem Unternehmen erkannt, inventarisiert und verwaltet werden können. Einige CLMs können mit verschiedenen Zertifizierungsstellen (CAs) integriert werden, um Zertifikatsdetails zu importieren.
  3. Nutzen Sie Audit-Protokolle und Compliance-Berichte. Die meisten CLM-Plattformen führen detaillierte Prüfprotokolle aller Aktionen, die mit Zertifikaten durchgeführt werden. Einige können auch Konformitätsberichte erstellen, die mit den PCI DSS-Anforderungen übereinstimmen, was den Nachweis der Konformität bei Audits erleichtert.
Verwendung einer App zur Zertifikatsüberwachung wie Red Sift Certificates

Wir sind natürlich voreingenommen, aber wir sind der Meinung, dass ein Tool zur Überwachung von Zertifikaten – wie Red Sift Certificates – eine der besten Möglichkeiten ist, Ihren Zertifikatsbestand aufzubauen, um die Anforderung 4.2.1.1 zu erfüllen.

Für wen ist es geeignet

Red Sift Certificates eignet sich für Unternehmen, die sich nicht sicher sind, ob sie einen vollständigen Überblick über ihren aktuellen Zertifikatsbestand haben. Denn Red Sift Certificates ist das einzige Tool auf dem Markt, dasCertificate Transparency (CT) Logs in Echtzeit überwacht, um jedes Zertifikat zu sehen, sobald es ausgestellt wird. Bis heute hat Red Sift Certificates über 7 Milliarden Zertifikate verarbeitet. Die Überwachung von Konfiguration und Bereitstellung erfolgt von 10 globalen Standorten aus.

Für diejenigen, die sich Sorgen über ablaufende Zertifikate machen, hält diese CT-Protokollüberwachung auch die Informationen über bereitgestellte Zertifikate ständig aktuell. Red Sift Certificates eignet sich für alle, die bereits eine Lösung für die Automatisierung der Zertifikatsrotation haben oder suchen.

Es ist jedoch wichtig zu beachten, dass Red Sift Certificates im Gegensatz zu CLMs den Erneuerungsprozess nicht automatisiert.

Wie man es macht

Die Erstellung eines Zertifikatsinventars für PCI 4.2.1.1 ist mit Red Sift Certificates einfach.

  1. Entdecken Sie alle Ihre Zertifikate. Geben Sie eine einzige Seed-Domain ein und Red Sift Certificates identifiziert alle Zertifikate Ihres Unternehmens. Wir wissen, das klingt zu schön, um wahr zu sein, aber mit einer einzigen Domain kann Red Sift Certificates ein vollständiges Inventar aller eigenen, fremden, selbstsignierten und privaten Zertifikate erstellen, die im Internet sichtbar sind. Dazu ermittelt die App alle Hostnamen und Netzwerkbereiche, die zu Ihrem Unternehmen gehören, und überwacht diese. Wir können sogar eine Verbindung zu Ihrer Cloud-Computing-Instanz herstellen. Und das Beste ist, dass dies in weniger als einer Stunde erledigt werden kann.
  2. Kennzeichnen Sie alle Zertifikate, die in den Geltungsbereich von PCI fallen. Mithilfe einfacher Gruppen oder Tags können Sie vermerken, welche Zertifikate in den Geltungsbereich der Anforderung 4.2.1.1 fallen, so dass Sie eine einfache Möglichkeit zur Berichterstattung haben.
  3. Exportieren Sie nach Bedarf. Exportieren Sie Ihr Inventar als .csv-, .xls- oder JSON-Datei, um das Inventar zu dokumentieren. Dies kann auf der Grundlage des Zeitraums seit dem letzten Export oder immer dann erfolgen, wenn sich je nach Benutzerpräferenz und Bedarf etwas ändert.
Handeln Sie vor dem 31. März 2025

Wenn Sie ein Zertifikatsinventar aufbauen möchten und denken, dass Red Sift Certificates der richtige Ansatz für Ihr Unternehmen sein könnte, schreiben Sie uns oder buchen Sie eine Demo. Unsere Teammitglieder helfen Ihnen gerne dabei, Ihr Inventar vor dem Stichtag PCI 4.0.1 aufzubauen.

Source: Red Sift-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

Red Sift bei LinkedIn

 

red sift

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden