Optimierung der Sicherheitsstandards im Konzernumfeld

Ziel Sicherheitslücken in der Systemlandschaft eines großen Konzernunternehmens identifizieren und Optimierungsmaßnahmen definieren.
Ergebnis
Durch einfache organische Maßnahmen konnte die Compliance in den Bereichen Kreditkartenzahlungen (PCI/DSS), Business Continuity-Management (BCM) und Identity and Access-Management (IAM) wiederhergestellt werden. Ein Katalog mit weiteren sicherheits­relevanten Mängeln wurde erstellt.

Ohne größere technische Maßnahmen, sondern allein durch die Verbesserung der Prozessabläufe konnte die Compliance mit den Anforderungen der Kreditkartenherausgeber Mastercard und Visa erzielt werden. Dies stellte sicher, dass der Kunde auch weiterhin Kreditkarten als Zahlungsmittel akzeptieren kann. Die von den Technikern vorgeschlagenen Lösungsmöglichkeiten hätten im Vergleich dazu mehrere Millionen EUR Aufwand bedeutet.

Ausgangssituation und Problemfelder

PCI/DSS ist ein Anforderungskatalog der großen Kreditkartenherausgeber (Mastercard/VISA). Kreditkarten dürfen von einem Händler nur als Zahlungsmittel akzeptiert werden, wenn die von ihm eingesetzten Systeme und die entsprechenden Prozesse diesen Anforderungen genügen. Der Projektauftrag bestand darin zu prüfen, ob die Systemlandschaft des Kunden den Anforderungen genügt und ggf. Maßnahmen zur Herstellung von Compliance zu definieren.

Außerdem waren durch die interne Revision beim Kunden SOX-Non-Compliances in den Bereichen Identity- und Access-Management (IAM) und Business-Continuity-Management (BCM) festgestellt worden, die es im Projekt zu beheben galt.

Da das Projekt schnell erste Ergebnisse lieferte, wurde der Projektauftrag vom Kunden um eine Security-Analyse der gesamten Applikationslandschaft (Kernapplikationen) erweitert.

Vorgehensweise und Lösungen

In einem ersten Schritt wurde die Systemlandschaft des Kunden gegen die Anforderungen von PCI/DSS geprüft. Es zeigte sich, dass Maßnahmen in folgenden Bereichen erforderlich waren:

  • Verkürzte Speicherung von Kreditkarten-Nummern
  • Durchführen regelmäßiger Penetrationstests
  • Monitoringmechanismen für die kritischen Systeme implementieren, um alle Zugriffe auf die Systeme nachvollziehen zu können

Zur Behebung der Probleme im IAM wurden die Prozesse zum Anlegen und zur Pflege von Accounts neu gestaltet. Besondere Bedeutung kam hierbei den Accounts mit erweiterten Berechtigungen zu. Für letztere wurde das 4-Augen-Prinzip eingeführt. Zur Lösung der Probleme im BCM-Bereich wurden regelmäßige Tests der System-Recovery-Prozeduren eingeführt.

In einem weiteren Schritt wurden die Kernapplikationen des Kunden gegen die architektonischen Sicherheitsvorgaben im Konzern geprüft. Ergebnis war ein Risikoportfolio mit priorisierten Maßnahmenempfehlungen (Härtung der Systeme, usw.)

Die Security-Analyse nach PCI/DSS und die Behebung der erkannten Sicherheitsprobleme (SOX und PCI/DSS) sowie die Erstellung des Risikoportfolios für die Kernapplikationen erfolgten in einem Zeitraum von 6 Monaten.

In einer zweiten Projektphase (Dauer: 12 Monate) steuerten wir die Umsetzung der im Risikoportfolio definierten Maßnahmen. Da der Systembetrieb vollständig fremdvergeben worden war, stellte dies eine weitere Herausforderung dar.