Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
On This Page
.gif){kind=icon}
Einführung
Erfüllen der PCI DSS-Anforderungen
Anhänge
Einführung
Das Planungshandbuch zur Einhaltung des Payment Card Industry Data Security Standard soll Unternehmen helfen, die Anforderungen des Payment Card Industry Data Security Standard (Datensicherheitsstandard der Zahlungskartenbranche; PCI DSS) zu erfüllen. Es richtet sich speziell an Einzelhändler, die Zahlungskarten akzeptieren, Finanzinstitute, die Zahlungskartentransaktionen verarbeiten und Dienstanbieter, d. h. Drittunternehmen, die Dienste zum Verarbeiten von Zahlungskartentransaktionen oder zum Speichern von Daten anbieten. IT-Lösungen für jede dieser Gruppen müssen sämtliche PCI DSS-Anforderungen erfüllen. Dieses Handbuch dient als Ergänzung zum Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen, in dem ein Framework-basierter Ansatz zum Erstellen von IT-Steuerelementen vorgestellt wird, der Ihnen helfen soll, verschiedene Vorschriften und Standards zu erfüllen. In diesem Handbuch werden zudem Microsoft-Produkte und Technologielösungen beschrieben, mit denen Sie eine Reihe von IT-Steuerelementen integrieren können, um die PCI DSS-Anforderungen sowie alle weiteren für das Unternehmen geltenden gesetzlichen Vorschriften zu erfüllen.
Hinweis Falls das Dienstleistungsangebot des Unternehmens die Nutzung von Geldautomaten beinhaltet, bietet Microsoft Tipps zur Architektur und Sicherheit der Geldautomaten unterstützen-den Software, Systeme und Netzwerke. Weitere Informationen finden Sie auf der MSDN-Website von Microsoft unter Banking Services – Downloads (Bankdienste – Downloads; möglicherweise in englischer Sprache).
Dieses Handbuch geht nicht näher auf die Maßnahmen jedes einzelnen Unternehmens zur Einhaltung des PCI DSS ein. Für spezielle Fragen bezüglich der Einhaltung durch Ihr Unternehmen wenden Sie sich an Ihren Rechtsberater oder Auditor.
Die Einführung dieses Handbuchs ist in folgende Abschnitte untergliedert:
Zusammenfassende Darstellung. Dieser Abschnitt bietet einen breiten Überblick über die PCI DSS-Anforderungen und die primären Ziele des Planungshandbuchs. Darin wird das Wissen behandelt, das IT-Manager zur Einhaltung der PCI DSS-Anforderungen ihres Unternehmens benötigen.
Zielgruppe dieses Leitfadens. In diesem Abschnitt werden die Zielgruppe des Handbuchs, der Zweck, der Themenbereich sowie die Vorsichtsmaßnahmen und Haftungsausschlüsse bezüglich der Einschränkungen dieser Tipps behandelt.
Was ist der Payment Card Industry Data Security Standard (PCI DSS)? Dieser Abschnitt bietet einen Überblick über den PCI DSS und dessen Anforderungen.
Planen der Einhaltung des PCI DSS. In diesem Abschnitt wird die Verwendung eines Frameworks zur Einhaltung der PCI DSS-Anforderungen vorgestellt. Dieser Ansatz umfasst das Erstellen verschiedener Arten von IT-Steuerelementen und deren Zusammenspiel. Zudem wird die Bedeutung dieser Komponenten in Bezug auf die Einhaltung der PCI DSS-Anforderungen und andere gesetzliche Regelungen für Ihr Unternehmen erläutert.
PCI DSS-Überwachungsprozess. Dieser Abschnitt bietet einen Überblick über den PCI DSS-Überwachungsprozess, mit dem Auditoren die Einhaltung der PCI DSS-Anforderungen durch ein Unternehmen bewerten.
Da dieses Whitepaper als Ergänzung zum Handbuch Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen gedacht ist, sollten Sie dieses Handbuch zur Planung einer Komplettlösung ebenfalls zu Rate ziehen, um alle für Ihr Unternehmen geltenden gesetzlichen Vorschriften zu erfüllen.
Zusammenfassende Darstellung
Wenn Ihr Unternehmen Daten der Inhaber von Zahlungskarten verarbeitet, speichert oder überträgt, müssen Ihre Unternehmensanforderungen den Payment Card Industry Data Security Standard (PCI DSS) erfüllen. Die vom PCI Security Standards Council festgelegten Anforderungen an diesen Standard definieren das akzeptable Mindestmaß an Sicherheit für Karteninhaber, die die Dienste des Unternehmens nutzen.
Drei Aspekte machen die Situation besonders komplex. Erstens kann sich die Einhaltung der PCI DSS-Anforderungen auf das gesamte Unternehmen auswirken. Dabei ist wichtig, dass die Maßnahmen aller Abteilungen koordiniert werden und Sie das gesamte Unternehmen in Ihre Strategie zur Einhaltung des PCI DSS einbeziehen Zweitens muss das Unternehmen möglicherweise verschiedene Vorschriftensätze erfüllen, für die jeweils eigene Anforderungen gelten. Es überrascht nicht, dass es viele Unternehmen schwierig finden, auf diese unterschiedlichen gesetzlichen Vorschriften richtig zu reagieren und gleichzeitig durch kostengünstige Prozesse und Verfahren die Vorschriften zu erfüllen. Drittens besteht das Problem, dass der PCI DSS ebenso wie zahlreiche andere Vorschriften IT-Steuerelemente nur am Rande anspricht. IT-Manager müssen daher mit spärlicher Anleitung selbst herausfinden, was genau zur Einhaltung der gesetzlichen Vorschriften erforderlich ist.
Das Planungshandbuch zur Einhaltung des Payment Card Industry Data Security Standards ist für IT-Manager gedacht, die für die Einhaltung der PCI DSS-Anforderungen ihres Unternehmens verantwortlich sind. Es soll ihnen bei der Erfüllung zahlreicher an das Unternehmen gestellter Anforderungen hinsichtlich IT-Steuerelementen helfen, einschließlich der Einhaltung der PCI DSS-Anforderungen. Zu diesem Zweck bietet das Handbuch Informationen zu geeigneten Lösungen für diesen Prozess.
Eine ausführlichere Erläuterung zur Einhaltung verschiedener gesetzlicher Vorschriften finden Sie im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen.
Wichtig Das vorliegende Planungshandbuch enthält keine rechtlichen Ratschläge. Es bietet lediglich Fakten und technische Informationen zur Einhaltung gesetzlicher Vorschriften. Ziehen Sie bezüglich der Erfüllung Ihrer gesetzlichen Vorschriften neben diesem Handbuch unbedingt auch andere Quellen zu Rate. Bei speziellen Fragen wenden Sie sich an Ihren Rechtsberater oder Auditor.
Zielgruppe dieses Dokuments
Das Planungshandbuch zur Einhaltung des Payment Card Industry Data Security Standards richtet sich primär an Personen, die dafür verantwortlich sind, dass ihr Unternehmen Karteninhaberdaten gemäß den Datenschutzrichtlinien sicher und zuverlässig erfasst, verarbeitet, überträgt und speichert. Zur Zielgruppe dieses Handbuchs zählen unter anderem IT-Manager in folgenden Positionen:
Chief Information Officers (CIOs), die für die Bereitstellung und den Betrieb von Systemen und IT-Prozessen zuständig sind.
Chief Information Security Officers (CISOs), die für das allgemeine Datensicherheitsprogramm und die Einhaltung von Richtlinien für die Informations-sicherheit verantwortlich sind.
Chief Financial Officers (CFOs), denen die allgemeine Steuerumgebung ihres Unternehmens unterliegt.
Chief Privacy Officers (CPOs), die für die Umsetzung von Verwaltungsrichtlinien für persönliche Informationen zuständig sind. Dazu zählen auch Richtlinien zur Einhaltung von Datenschutzgesetzen.
Entscheidungsträger im technischen Bereich, die Technologielösungen zur Behebung bestimmter Unternehmensprobleme ermitteln.
IT-Betriebsmanager, die die Systeme und Prozesse des PCI DSS-Kompatibilitäts-programms ausführen.
IT-Sicherheitsarchitekten, die IT-Steuerelemente und Sicherheitssysteme entwickeln, um eine entsprechende Sicherheitsstufe zur Erfüllung der Unterneh-mensanforderungen zu bieten.
IT-Infrastrukturarchitekten, die Infrastrukturen für die von IT-Sicherheitsarchitekten entworfenen IT-Sicherheitslösungen und -Steuerelemente entwickeln.
Berater und Partner, die bewährte Datenschutz- und Sicherheitsmethoden empfehlen oder umsetzen, um PCI DSS-Anforderungen für ihre Kunden zu erfüllen.
Neben diesen Zielgruppen kann das Handbuch auch für folgende Personen hilfreich sein:
Risikobeauftragte, die für das allgemeine Risikomanagement zur Einhaltung von PCI DSS-Anforderungen innerhalb des Unternehmens verantwortlich sind.
IT-Überwachungsmanager, die für die Überwachung von IT-Systemen und die Reduzierung der Arbeitslast interner und externer IT-Auditoren zuständig sind.
Was ist der Payment Card Industry Data Security Standard (PCI DSS)?
Der Payment Card Industry (PCI) Data Security Standard (DSS) besteht aus einer Reihe umfassender Anforderungen zur Gewährleistung der Datensicherheit von Kredit- und Debitkarteninhabern, ungeachtet dessen, wie und wo diese Daten erfasst, verarbeitet, übertragen und gespeichert werden. Der von den Gründungsmitgliedern des PCI Security Standards Council (einschließlich American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International) entwickelte PCI DSS soll die internationale Einführung konsistenter Datenschutzmaßnahmen fördern.
Der PCI DSS richtet sich an Unternehmen und Organisationen, die in ihren täglichen Geschäften Karteninhaberdaten verarbeiten. Dies gilt insbesondere für Finanzinstitute, Händler und Dienstanbieter. Der PCI DSS besteht aus einer Liste von Anforderungen im Bereich Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwareentwurf und anderer Maßnahmen zum Schutz von Karteninhaberdaten.
PCI DSS Version 1.1 ist die neueste Version des Standards, die im September 2006 veröffentlicht wurde. Sie ist in sechs Prinzipien und zwölf zugehörige Anforderungen unterteilt. Jede Anforderung enthält Unteranforderungen, für deren Einhaltung Sie Prozesse, Richtlinien oder Technologielösungen implementieren müssen. Die PCI DSS-Richtlinien und -Anforderungen umfassen Folgendes:
Einrichten und Verwalten eines sicheren Netzwerks
Anforderung 1: Zum Schutz von Karteninhaberdaten muss eine Firewallkonfiguration installiert und verwaltet werden.
Anforderung 2: Es dürfen keine von Händlern bereitgestellten Standardkennwörter oder anderen Standardsicherheitsparameter verwendet werden.
Schützen der Karteninhaberdaten
Anforderung 3: Gespeicherte Karteninhaberdaten müssen geschützt werden.
Anforderung 4: Karteninhaberdaten müssen bei der Übertragung in öffentlich zugänglichen Netzwerken verschlüsselt werden.
Verwalten eines Programms für Sicherheitsrisikomanagement
Anforderung 5: Es muss eine regelmäßig aktualisierte Antivirensoftware verwendet werden.
Anforderung 6: Es müssen Sicherheitssysteme und -anwendungen entwickelt und verwaltet werden.
Umsetzen sicherer Maßnahmen für die Zugriffssteuerung
Anforderung 7: Der Zugriff auf Karteninhaberdaten muss auf die erforderlichen Personen innerhalb des Unternehmens eingeschränkt werden.
Anforderung 8: Jeder Person mit Computerzugriff muss eine eindeutige ID zugewiesen werden.
Anforderung 9: Der physische Zugriff auf Karteninhaberdaten muss eingeschränkt werden.
Regelmäßigens Überwachen und Testen von Netzwerken
Anforderung 10: Der gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten muss verfolgt und überwacht werden.
Anforderung 11: Sicherheitssysteme und -prozesse müssen regelmäßig getestet werden.
Verwalten einer Informationssicherheitsrichtlinie
- Anforderung 12: Es muss eine Richtlinie für Informationssicherheit verwaltet werden.
Für die Anforderungen 9 und 12 sind keine Technologielösungen erforderlich. Anforderung 9 behandelt die Gewährleistung der physischen Sicherheit der Orte, an denen Karteninhaberdaten gespeichert und verarbeitet werden. Dazu zählen der sichere Zugang zu Gebäuden, das Installieren und Verwalten von Überwachungssystemen sowie die Identitätsprüfungen aller Personen, die in Ihrer Einrichtung arbeiten oder dort zu Besuch sind. Anforderung 12 beinhaltet das Erstellen einer Richtlinie für Informations-sicherheit und deren Verteilung an Mitarbeiter, Händler und alle weiteren Parteien innerhalb des Unternehmens, die mit Karteninhaberdaten arbeiten.
Planen der Einhaltung des PCI DSS
Das Erstellen separater Lösungen zur Einhaltung des PCI DSS ist weder effizient noch kostengünstig. Bei der Planung sind neben den PCI DSS-Anforderungen eine Reihe weiterer Vorschriften zu berücksichtigen. Dazu zählen unter anderem:
Sarbanes-Oxley-Act (SOX)
Gramm-Leach-Bliley-Act
Health Insurance Portability and Accountability Act (HIPAA)
Europäische Datenschutzrichtlinien
ISO 17799:2005 zum Management von Informationssicherheit (ISO 17799)
Hinweis Wenn Ihr Unternehmen international angesiedelt ist, müssen Sie sicherstellen, dass Sie die gesetzlichen Vorschriften aller Standorte erfüllen, an denen Sie Geschäfte tätigen. Es wird empfohlen, Rechtsberatung für jeden der Standorte einzuholen.
Weitere Informationen zum Planen von Einhaltungsmaßnahmen für jede dieser Vorschriften finden Sie im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen.
Beim Erstellen der Lösungen zum Einhalten des PCI DSS sind unbedingt die folgenden beiden Aspekte zu berücksichtigen:
Die bestehenden Lösungen zur Erfüllung anderer gesetzlicher Vorschriften
Die besten Möglichkeiten zum Erstellen neuer Lösungen, die alle gesetzlichen Vorschriften erfüllen
Für eine effiziente und effektive Einhaltung der für Ihr Unternehmen geltenden gesetzlichen Vorschriften wird die Verwendung eines Steuerungsframeworks empfohlen. Diesem Framework können Sie dann die geltenden Vorschriften und Standards zuordnen. Dies bietet Ihrem Unternehmen die Möglichkeit, seine IT-Steuerungsmaßnahmen effizient auf alle im Framework definierten Anforderungen auszurichten, anstatt sich auf einzelne Vorschriften zu konzentrieren.
Zudem können Sie dem Framework später neue für das Unternehmen geltende Vorschriften und Standards zuordnen und sich anschließend auf die Bereiche des Frameworks konzentrieren, in denen sich die Anforderungen geändert haben. Darüber hinaus haben Sie die Möglichkeit, dem Framework eine Vielzahl von IT-Steuerungsanforderungen zuzuordnen, einschließlich branchenspezifischer Anforderungen wie Sicherheitsanforderungen der Zahlungskartenindustrie, interne Richtlinien usw.
Ein Framework bietet Unternehmen, die bestrebt sind, die gesetzlichen Vorschriften zu erfüllen, zahlreiche wesentliche Vorteile. Die Framework-Lösung hat für Unternehmen folgende Vorteile:
Kombinieren von IT-Steuerelementen zur Erfüllung verschiedener Vorschriften und Standards wie PCI DSS und EUDPD, um separate Überwachungsprozesse zu vermeiden
Schnelles Umsetzen neuer Vorschriften
Festlegen von Prioritäten bei Investitionen durch Auswahl der wirkungsvollsten IT-Steuerelemente
Vermeiden doppelter Arbeit zur Einhaltung der Anforderungen in verschiedenen Geschäftseinheiten innerhalb des Unternehmens
Effizientes Aktualisieren bestehender Vorschriften durch schrittweise Änderungen an den im Unternehmen vorhandenen IT-Steuerelementen
Schaffen einer gemeinsamen Basis für die IT-Abteilung und Auditoren
Befassen Sie sich mit dem PCI DSS an sich, wenn Sie mit der Planung für die Einhaltung der Anforderungen beginnen. Der PCI DSS steht unter https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf zum Herunterladen zur Verfügung (möglicherweise in englischer Sprache). Zudem hat das PCI Security Standards Council einen Selbstbeurteilungsfragebogen erstellt, mit dem Sie ermitteln können, ob Ihr Unternehmen den PCI DSS erfüllt. Er bietet zudem eine hilfreiche Basis für die Planung der Maßnahmen zur Einhaltung des PCI DSS. Den PCI DSS-Selbstbeurteilungsfragebogen können Sie unter https://www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf herunterladen (möglicherweise in englischer Sprache).
Weitere Informationen zur Erfüllung von gesetzlichen Vorschriften mithilfe von IT-Steuerelementen in einem Steuerungsframework finden Sie im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen.
PCI DSS-Überwachungsprozess
Der Überwachungsprozess für die Einhaltung des PCI DSS ähnelt generell dem im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen beschriebenen Prozess. Es gibt jedoch ein paar spezifische Details für die PCI DSS-Überwachung, die Sie kennen sollten.
Die Prüfung der PCI DSS-Überwachung wird von zwei Arten von Drittanbietern vorgenommen, die als Qualified Security Assessors (QSAs) und Approved Scanning Vendors (ASVs) bezeichnet werden. QSAs sind für die Überwachung vor Ort zuständig, während ASVs die Internetseite des Unternehmens auf Sicherheitsrisiken untersuchen. QSA- und ASV-Unternehmen müssen einmal jährlich vom PCI Data Security Council (PCI DSC) überprüft und zertifiziert werden.
Der QSA muss nach der Überprüfung des Unternehmens einen Bericht erstellen, der bestimmte, durch den PCI DSC definierte Richtlinien erfüllen muss. Diese Richtlinien sind in einem Dokument mit PCI-Überwachungsverfahren enthalten, das unter https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf heruntergeladen werden kann (möglicherweise in englischer Sprache). Die Richtlinien legen fest, wie der vom QSA im Anschluss an die Überprüfung zu erstellende Bericht aufgebaut sein muss. Dieser Bericht beinhaltet die Kontaktinformationen des Unternehmens, das Überprüfungsdatum, eine Kurzzusammenfassung, eine Beschreibung des Arbeitsumfangs und der vom QSA verwendeten Methode zur Überprüfung des Unternehmens, vierteljährliche Scanergebnisse und die Ergebnisse und Beobachtungen des QSA. Der letzte Abschnitt enthält den Großteil der Informationen über die Einhaltung des PCI DSS durch das Unternehmen. Der QSA verwendet darin eine Vorlage, in der die Einhaltung jeder PCI DSS-Anforderung und -Unteranforderung durch das Unternehmen aufgeführt wird.
Vor der Planung der PCI DSS-Überwachung im Unternehmen oder noch besser bei der Planung der Einhaltung des PCI DSS sollten sich wichtige Mitglieder des Unternehmens mit den PCI DSS-Prüfverfahren befassen. Auf diese Weise verstehen Sie besser, was durch den QSA überprüft wird.
Der ASV muss einen Bericht über die Untersuchungsergebnisse hinsichtlich des Sicherheitsrisikos im Bereich der Internetumgebung des Unternehmens abgeben. Die Richtlinien für diesen Bericht sind in einem Dokument mit PCI-Prüfverfahren enthalten, das Sie unter https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf (möglicherweise in englischer Sprache) herunterladen können. Dieses Dokument erläutert, welche Elemente der Unternehmensumgebung der ASV prüfen muss, und enthält einen Schlüssel zum leichteren Lesen und Interpretieren des ASV-Berichts.
Als Händler oder Dienstanbieter muss das Unternehmen den entsprechenden Anforderungen zum Erstellen von Kompatibilitätsberichten gerecht werden, um sicherzustellen, dass der Erfüllungsstatus des Unternehmens von jedem Zahlungskartenanbieter anerkannt wird. Mit anderen Worten: Wenn Ihr Unternehmen ein Dienstanbieter ist, der die Daten von Visa- und American Express-Kreditkarteninhabern verarbeitet, müssen Sie Ihre Kompatibilitätsberichte an Visa und American Express senden.
Bei den Einhaltungsregeln und -verfahren bestehen geringfügige Unterschiede zwischen den einzelnen Zahlungskartenanbietern. Weitere Informationen zu bestimmten PCI DSS-Anforderungen und den Unterstützungsprogrammen, die von jedem Unternehmen zur Einhaltung durch Händler und Dienstanbieter angeboten werden, erhalten Sie bei den Zahlungskartenanbietern, für die Ihr Unternehmen Karteninhaberdaten verarbeitet, überträgt oder speichert.
.gif){kind=icon}
Erfüllen der PCI DSS-Anforderungen
In diesem Abschnitt werden die Technologielösungen von Microsoft erläutert, die das Unternehmen bei der Planung der Einhaltung des PCI DSS berücksichtigen sollte. Es wird empfohlen, die gewählten Lösungen in die tägliche Arbeit des Unternehmens zu integrieren. Wie im Abschnitt über die Planung der Einhaltung des PCI DSS beschrieben, sollte bei den Richtlinien, Verfahren und Technologielösungen des Unternehmens die Einhaltung gesetzlicher Vorschriften innerhalb des gesamten Unternehmens berücksichtigt werden, und Sie sollten abwägen, wie sich die Einhaltung des PCI DSS auf jeden Bereich Ihres Unternehmens auswirkt.
Detaillierte Ausführungen zu den Überlegungen bezüglich der IT-Steuerelementzu-ordnung zu Technologielösungen finden Sie im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen.
Dokumentverwaltung
In Dokumentverwaltungslösungen werden Software und Verfahren kombiniert, um die Verwaltung nicht strukturierter Informationen im Unternehmen zu vereinfachen. Diese Informationen können in zahlreichen digitalen Formaten vorliegen, etwa als Dokumente, Bilder, Audio- und Videodateien oder XML-Dateien.
Erfüllte PCI DSS-Anforderungen
Die Implementierung von Dokumentverwaltungslösungen trägt auf zwei Arten zur Einhaltung des PCI DSS bei. Zum einen können mithilfe dieser Dokumentverwaltungs-lösungen für Karteninhaberdaten PCI DSS-Anforderungen erfüllt werden, die sich auf den Datenzugriff, die Verwaltung und den Schutz beziehen. Dokumentverwaltungslösungen eignen sich speziell zum Erfüllen von Anforderung 7 und Unteranforderung 10.2.1. Zum anderen können Sie mithilfe von Dokumentverwaltungs-systemen Richtlinien verwalten und veröffentlichen, die zum Beispiel zur Erfüllung der Abschnitte 3.6, 6.4, 9.2 und 12 erforderlich sind.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien, die Sie zusammen oder einzeln zum Erstellen von IT-Steuerelementen für die Dokumentverwaltung verwenden können. Beim Entwickeln dieser Steuerelemente sollten Sie darauf achten, dass Sie die PCI DSS-Anforderungen sowie alle anderen gesetzlichen Vorschriften erfüllen, die für das Unternehmen gelten.
Microsoft® Windows® Rights Management Services. Windows Rights Management Services (RMS) ist eine Softwareplattform zum Schutz digitaler Informationen vor dem unbefugtem Gebrauch innerhalb einer Anwendung sowohl online als auch offline, innerhalb und außerhalb der Firewall. RMS ist die grundlegende Technologie hinter den Information Rights Management (IRM)-Funktionen von Microsoft Office und Windows SharePoint® Services. Für die Verwendung dieser Funktionen ist ein RMS-Server erforderlich, der entweder intern oder über einen gehosteten Dienst bereitgestellt wird.
RMS kann die Sicherheitsstrategie des Unternehmens erweitern, indem Informationen durch beständige Verwendungsrichtlinien geschützt werden, die immer und überall auf die Informationen angewendet werden. RMS-fähige Anwendungen können zum Verwalten, Steuern und Überwachen des Zugriffs auf Dokumente mit Karteninhaberdaten verwendet werden. Der RMS-Client ist in das Betriebssystem Windows Vista™ integriert. Für andere Windows-Versionen kann der RMS-Client kostenlos heruntergeladen werden. Weitere Informationen finden Sie im Abschnitt Windows Rights Management Services unter https://www.microsoft.com/rms (möglicherweise in englischer Sprache).
Microsoft Office SharePoint Server. SharePoint Server ist ein Collaboration und Content Management Server, der eine integrierte Plattform bietet, um die Portal- und Dokumentverwaltungsanforderungen des Unternehmens zu erfüllen. Sie können darauf Intranet-, Extranet- und Webanwendungen des gesamten Unternehmens hosten. Gleichzeitig bieten Sie Ihren IT-Experten und -Entwicklern die erforderliche Plattform und Tools für die Serververwaltung, Anwendungserweiterung und Interoperabilität. SharePoint Server kann als zentrales Repository für Dokumente mit Karteninhaberdaten sowie für Dokumente mit Richtlinien und Verfahren verwendet werden. SharePoint Server 2007 ist in RMS integriert, sodass Richtlinien für die Zugriffssteuerung bei allen von SharePoint Server 2007 heruntergeladenen Inhalten durchgesetzt werden können. Mithilfe dieser Funktion können Websiteadministra-toren Downloads von einer Dokumentbibliothek mit IRM schützen. Versucht ein Benutzer, eine Datei aus der Bibliothek herunterzuladen, prüft Microsoft Windows SharePoint Services die Berechtigungen des Benutzers für diese Datei und gibt eine Lizenz an den Benutzer aus, mit der dieser entsprechend seiner Berechtigungsstufe auf die Datei zugreifen kann. Windows SharePoint Services lädt die Datei anschließend in einem verschlüsselten Dateiformat mit verwalteten Rechten auf den Computer des Benutzers herunter. Weitere Informationen finden Sie auf der Website für Produkte und Technologien für Microsoft SharePoint unter https://go.microsoft.com/fwlink/?linkid=12632 (möglicherweise in englischer Sprache).
Microsoft Exchange Server. Für die meisten Unternehmen ist E-Mail heute das unternehmenswichtige Kommunikationstool, das zur Erzielung optimaler Ergebnisse erforderlich ist. Mit der verstärkten Nutzung von E-Mail ist die Anzahl gesendeter und empfangener Nachrichten gestiegen, der Umfang und die Vielfalt der per E-Mail ausgeführten Arbeiten hat sich erweitert, und selbst Geschäfte werden schneller abgewickelt. Exchange Server bietet eine umfangreiche Messagingplattform zur Verwaltung des Informationsaustauschs innerhalb des Unternehmens und trägt gleichzeitig zur Einhaltung des PCI DSS bei. Exchange Server 2007 umfasst Unified Messaging, das für die an einen Benutzer gesendeten E-Mail-, Voicemail-, und Faxnachrichten einen gemeinsamen Posteingang verwendet. Außerdem bietet es Funktionen, mit deren Hilfe das Unternehmen Aufbewahrungsregeln anwenden und Nachrichten während der Übermittlung überprüfen und darauf reagieren kann. Des Weiteren sind Rich-Text-Suchvorgänge in allen bereitgestellten Postfächern möglich. Weitere Informationen finden Sie auf der Exchange Server-Website von Microsoft unter https://www.microsoft.com/exchange/default.mspx (möglicherweise in englischer Sprache).
Microsoft Office. Office ist die führende Suite von Produktivitätsanwendungen für Unternehmen. Dank der IRM-Funktion von Microsoft Office können Unternehmen den Zugriff auf vertrauliche Informationen wie Karteninhaberdaten steuern.
Die IRM-Funktion von Office bietet folgende Vorteile:
Schutz vertraulicher Informationen vor dem Weiterleiten, Kopieren, Ändern, Drucken, Faxen oder Ausschneiden und Einfügen durch unbefugte Empfänger
Schutz vertraulicher Informationen vor dem Kopieren mit der Windows-Funktion zum Drucken des Bildschirms
Bereitstellung von Informationen mit gleich bleibender Sicherheitsstufe an allen Speicherorten. Dies wird als beständiger Schutz bezeichnet.
Bereitstellung der gleichen Sicherheitsstufe für E-Mail-Anlagen, sofern diese ebenfalls mit Office-Programmen, beispielsweise Microsoft Excel® oder Microsoft Word erstellt wurden
Schutz von Informationen in E-Mail-Nachrichten oder Dokumenten mit Ablaufdatum, sodass die Informationen nach einem bestimmten Zeitraum nicht mehr angezeigt werden können
Durchsetzen von Unternehmensrichtlinien zur Verwendung und Verbreitung von Informationen innerhalb und außerhalb des Unternehmens
Weitere Informationen finden Sie auf der Microsoft Office-Website unter https://office.microsoft.com/en-us/default.aspx (möglicherweise in englischer Sprache).
Risikobewertung
Risikobewertung ist der Prozess, in dem das Unternehmen Geschäftsrisiken ermittelt und mit einer Priorität versieht. In der Regel werden die Ressourcen eines Informationsver-arbeitungssystems, die Bedrohungen dieser Ressourcen und das Sicherheitsrisiko für das System systematisch ermittelt. In Verbindung mit gesetzlichen Vorschriften bezeichnet Risikobewertung den Prozess, bei dem bewertet wird, inwieweit gesetzliche Vorschriften innerhalb des Unternehmens eingehalten werden. Bei der Planung der Einhaltung des PCI DSS ist es primär erforderlich, die Risiken für Karteninhaberdaten zu ermitteln und den Bedrohungen eine Priorität zuzuweisen.
Erfüllte PCI DSS-Anforderungen
Die Risikobewertung kann auf verschiedene Weise zur Erfüllung der PCI DSS-Anforderungen beitragen. Sie können damit die Bereiche Ihres Netzwerks ermitteln, die zur Einhaltung angepasst werden müssen. Selbst nachdem das Unternehmen alle anfänglichen Anforderungen erfüllt, spielt die Risikobewertung eine wichtige Rolle, um sicherzustellen, dass dies Kompatibilität aufrechterhalten bleibt. Mithilfe der Risikobewertung können Sie eine Reihe von potenziellen Problemen beheben und somit auch zahlreiche PCI DSS-Anforderungen einschließlich der Anforderungen 1, 3, 4, 5, 6, 7, 8 und 11 erfüllen.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien, die Sie zusammen oder einzeln zum Erstellen von IT-Steuerelementen für die Risikobewertung verwenden können. Beim Entwickeln dieser Steuerelemente sollten Sie darauf achten, dass Sie die PCI DSS-Anforderungen sowie alle anderen gesetzlichen Vorschriften erfüllen, die für das Unternehmen gelten.
-
Microsoft Baseline Security Analyzer (MBSA). MBSA ist eins der primären Tools zur Risikobewertung für Karteninhaberdaten in Ihrem Unternehmen. Das einfach anzuwendende Tool ermöglicht die Ermittlung gängiger fehlerhafte Sicherheitskonfi-gurationen in einigen Microsoft-Produkten. Zu den unterstützten Produkten zählen Microsoft Windows-Betriebssysteme, Internetinformationsdienste (Internet Information Services, IIS), SQL Server™, Microsoft Internet Explorer® und Microsoft Office. MBSA sucht außerdem nach fehlenden Sicherheitsupdates, Update-Rollups und Service Packs, die unter Microsoft Update veröffentlicht wurden. Sie können MBSA über die Eingabeaufforderung oder in der eigenen GUI ausführen und zusammen mit Microsoft Update und Microsoft Windows Server® Update Services verwenden. Da es extrem wichtig ist, Ihre Systeme auf dem aktuellen Stand zu halten, um Karteninhaberdaten so gut wie möglich zu schützen, kann MBSA bei der Bewertung von Sicherheitsrisiken im Unternehmen von unschätzbarem Wert sein.
- Weiterte Informationen zu MBSA finden Sie auf der Website von Microsoft Baseline Security Analyzer unter
-
Microsoft Systems Management Server. Wenn Ihr Unternehmen Clientcomputer und -server mit Microsoft Systems Management Server (SMS) verwaltet, besitzen Sie möglicherweise bereits einige der Tools zur Bewertung des Sicherheitsrisikos für Karteninhaberdaten. Mit SMS können Sie Sicherheitseinstellungen in verteilten Netzwerken auf Computern mit Windows-Betriebssystemen remote verwalten. Sie können feststellen, ob Computer in Ihrem Netzwerk erforderliche Softwareupdates installiert haben, und den Status von Update-Rollouts an diese Computer verfolgen. Mithilfe von SMS können Sie zudem Berichte über Ihren gesamten Hardware- und Softwarebestand, Konfigurationsdetails und den Status von Netzwerkcomputern, Softwarebereitstellungen und Bereitstellungsfehlern generieren. Diese SMS-Funktionen können bei der Ermittlung des Risikos für Karteninhaberdaten innerhalb des Unternehmens eine große Rolle spielen.
- Weitere Informationen zu SMS finden Sie auf der Homepage von Microsoft Systems Management Server unter
-
Microsoft System Center Operations Manager – Überwachungssammlung. Operations Manager 2007 kann Sicherheitsprotokolle sicher und effektiv aus Windows-Betriebssystemen extrahieren, sammeln und für spätere Analyse- und Berichtszwecke speichern. Die extrahierten Protokolle werden in einer separaten Überwachungssammlungsdatenbank gespeichert. Im Lieferumfang von Operations Manager sind Berichte für Überwachungssammlungsdaten enthalten. Mithilfe der Überwachungssammlung können verschiedene Kompatibilitätsberichte beispielsweise für Sarbanes-Oxley-Prüfungen erstellt werden. Zudem sind damit Sicherheitsanalysen wie die Angriffserkennung und unbefugte Zugriffsversuche möglich.
- Weitere Informationen finden Sie im Abschnitt über Überwachungssammlungs-dienste unter
-
Windows Server Update Services. Mithilfe von Windows Server Update Services (WSUS) mit Service Pack 1 kann Ihr Unternehmen viele der neuesten Microsoft-Produktupdates bereitstellen, die auf der Microsoft Update-Website veröffentlicht werden. WSUS ist eine Updatekomponente von Windows Server, die einen schnellen und effektiven Weg bietet, um Systeme auf dem aktuellen Stand zu halten. Sie erhalten damit eine Infrastruktur zur Risikobewertung mit folgenden Komponenten:
- Microsoft Update. Die Microsoft-Website, von der WSUS-Komponenten Microsoft-Produktupdates herunterladen.
- Windows Server Update Services-Server. Die Serverkomponente, die innerhalb der Unternehmensfirewall auf einem Computer mit Microsoft Windows 2000 Server mit Service Pack 4 (SP4) oder dem Betriebssystem Windows Server 2003 installiert wird. Der Windows Server Update Services-Server bietet Administratoren die erforderlichen Funktionen zum Verwalten und Verteilen von Updates mit einem webbasierten Tool, auf das von jedem Windows-Computer innerhalb des Unternehmensnetzwerks über Internet Explorer zugegriffen werden kann. Darüber hinaus kann ein Windows Server Update Services-Server als Updatequelle für andere Windows Server Update Services-Server dienen.
- Automatische Updates. Die Clientcomputerkomponente, die in die Microsoft-Betriebssysteme Windows Vista, Windows Server 2003, Windows XP und Windows 2000 mit Service Pack 3 integriert ist. Mithilfe von automatischen Updates können Server- und Clientcomputer Updates von Microsoft Update oder einem Windows Server Update Services-Server empfangen.
-
Gruppenrichtlinien. Gruppenrichtlinien bieten eine Infrastruktur, in die IT-Experten spezielle Konfigurationen für Benutzer und Computer implementieren können. Die Einstellungen der Gruppenrichtlinien sind in Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) enthalten, die mit den folgenden Microsoft Active Directory®-Verzeichnisdienstcontainern verknüpft sind: Websites, Domänen oder Organisations-einheiten. Gruppenrichtlinien bieten die Möglichkeit, Computer über ein verteiltes Netzwerk zentral zu verwalten. Da Ihre Administratoren mithilfe von Gruppenricht-linien Software in einer Website, Domäne oder einer Reihe von Organisationsein-heiten verteilen können, können die Gruppenrichtlinien ein wichtiges Tool zum Ermitteln der Risiken für die IT-Umgebung des Unternehmens darstellen.
Zum Verwalten der Einstellungen der Gruppenrichtlinien kann die Gruppenrichtlinien-Verwaltungskonsole von Microsoft (GPMC) verwendet werden. Die GPMC bietet einen Ort für die Verwaltung der Kernaspekte von Gruppenrichtlinien und vereinfacht damit den Prozess. Sie erfüllt gemäß den Kundenansprüchen die höchsten Anforderungen für die Bereitstellung von Gruppenrichtlinien und bietet Folgendes:
- Eine Benutzeroberfläche, die die Verwendung von Gruppenrichtlinien deutlich vereinfacht
- Die Fähigkeit zum Sichern und Wiederherstellen von GPOs
- Die Fähigkeit zum Importieren, Exportieren, Kopieren und Einfügen von GPOs und Filtern für die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)
- Eine vereinfachte Möglichkeit zum Verwalten der Sicherheit hinsichtlich Gruppenrichtlinien
- Die Fähigkeit, HTML-Berichte für GPO-Einstellungen und die Daten des Richtlinienergebnissatzes (Resultant Set of Policy, RSoP) zu generieren
- Die Fähigkeit zum Schreiben und Ausführen von Skripts für GPO-Operationen, die von der GPMC zur Verfügung gestellt werden (Einstellungen innerhalb eines GPO können jedoch nicht in ein Skript geschrieben werden)
Diese Dienste bieten Ihnen die Möglichkeit, allen Hostumgebungen in Ihrem Netzwerk den jeweils neuesten Sicherheitsfix von Microsoft für die auf dem gegebenen Host installierten Produkte bereitzustellen.
Weitere Informationen finden Sie auf der Homepage von Windows Server Update Services unter https://www.microsoft.com/windowsserversystem/updateservices/default.mspx (möglicherweise in englischer Sprache).
Weitere Informationen finden Sie in den Windows Server 2003-Gruppenrichtlinien unter https://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx und in der Einführung in die Gruppenrichtlinien-Verwaltungskonsole unter https://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx (möglicherweise in englischer Sprache).
Änderungsmanagement
Änderungsmanagement ist ein strukturierter Prozess, bei dem das Unternehmen Änderungen an einem Projektplan, einer IT-Infrastruktur, Softwarebereitstellungen oder anderen Prozessen oder Verfahren innerhalb des Unternehmens bewertet. Mithilfe eines Änderungsmanagement-Systems können Sie Änderungen definieren, deren Auswirkungen bewerten, die erforderlichen Aktionen zum Implementieren der Änderungen ermitteln und Änderungsinformationen innerhalb des Unternehmens verteilen. Sie können damit auch die innerhalb des gesamten Unternehmens vorgenommenen Änderungen verfolgen. Auf diese Weise halten Sie Ihre IT-Umgebung stets unter Kontrolle, während Sie Änderungen daran vornehmen.
Das System eines Unternehmens kann beispielsweise eine Datenbank mit historischen Daten zum Erfolg oder Misserfolg von Änderungen in der Vergangenheit beinhalten, anhand derer Mitarbeiter bessere Entscheidungen bezüglich ähnlicher zukünftiger Änderungen treffen können. Das Änderungsmanagement ist zudem ein strukturierter Prozess, mit dem Änderungen und deren Status an alle betroffenen Parteien übermittelt werden können. Es bietet die Möglichkeit, ein Bestandssystem zu erstellen, in dem angezeigt wird, welche Aktionen durchgeführt wurden und wann sie den Status wichtiger Ressourcen beeinflussen. Auf diese Weise lassen sich Probleme besser vorhersagen und vermeiden. Zudem lässt sich das Ressourcenmanagement vereinfachen.
Erfüllte PCI DSS-Anforderungen
Das Änderungsmanagement ist für die Einhaltung des PCI DSS ebenso wichtig wie für alle anderen Maßnahmen zur Erfüllung gesetzlicher Vorschriften. Wenn das Unternehmen nicht weiß, welche Änderungen an seiner IT-Umgebung vorgenommen wurden, kann nicht mit Gewissheit von einer sicheren Umgebung gesprochen werden. Indem Sie Änderungen in Ihrem Netzwerk, an Ihren Systemen, Richtlinien und Verfahren verfolgen, tragen Sie zur Erfüllung der PCI DSS-Anforderungen 6 und 11 bei.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet mehrere Technologien, die Sie beim Entwickeln Ihrer Änderungsmanagement-Lösungen berücksichtigen sollten.
Microsoft Office SharePoint Server. Neben einer Technologieoption für Ihre Dokumentverwaltungslösungen kann Microsoft Office SharePoint Server auch ein wichtiges Element im Änderungsmanagementsystem des Unternehmens darstellen. Die Fähigkeiten zur Versionsverfolgung bieten die Möglichkeit, Änderungen an Richtlinien- und Prozessdokumenten, Updates und andere Anwendungsänderungen sowie Änderungen an genehmigter Software zu überwachen.
Weitere Informationen finden Sie im Abschnitt über die Dokumentverwaltung auf der Website für Produkte und Technologien von Microsoft SharePoint unter https://go.microsoft.com/fwlink/?linkid=12632 (möglicherweise in englischer Sprache).
Microsoft Systems Management Server. Sie können SMS nicht nur zur Risikobewertung verwenden, sondern mithilfe der Verwaltungsfunktionen auch Änderungen an Computersystemen innerhalb des gesamten Unternehmens verfolgen. Dies gilt sowohl für Änderungen an Sicherheitseinstellungen, als auch für Anwendungen auf Servern und Clientcomputern innerhalb des Netzwerks. Dank der leistungsfähigen Berichterstellungsfunktion von SMS lassen sich auch Änderungen an Computern im Unternehmen überprüfen, und Sie können ermitteln, ob diese Änderungen die von Ihnen festgelegten Sicherheitsanforderungen erfüllen.
Weitere Informationen zu SMS finden Sie auf der Homepage von Microsoft Systems Management Server unter https://www.microsoft.com/smserver/default.mspx (möglicherweise in englischer Sprache).
Microsoft SMS 2003 Desired Configuration Monitoring 2.0. Sie können den SMS-Betrieb mit der Funktion SMS 2003 Desired Configuration Monitoring (DCM) erweitern. Sie erhalten damit die Möglichkeit, die Überwachung der Soll- und Ist-Konfigurationseinstellungen im Rahmen der Konfigurationsverwaltung zu automatisieren. DCM erlaubt Benutzern zu diesem Zweck, erwünschte Konfigurationseinstellungen für das Betriebssystem, Hardware und Anwendungen in mehreren Konfigurationsdatenquellen zu definieren. Anschließend vergleicht DCM mithilfe des bereitgestellten Prüfmoduls die Ist- und Soll-Einstellungen und erstellt einen entsprechenden Bericht über die Einhaltung der Anforderungen.
Mithilfe von DCM können Sie außerplanmäßige Ausfallzeiten verringern, Konfigura-tionsdaten korrelieren und Supportkosten senken. Sie erhalten damit ein einfach zu verwendendes XML-Bearbeitungstool und eine Anleitung zum Definieren von Hardware- und Softwarekonfigurationselementen. DCM bietet zudem detaillierte Kompatibilitätsberichte zum einfachen Erkennen und Beheben von Konfigurationsfehlern.
Microsoft Desktop Optimization Pack für Software Assurance. Das Microsoft Desktop Optimization Pack für Software Assurance ist ein Abonnementdienst, der die Kosten für die Anwendungsbereitstellung senkt, die Lieferung von Anwendungen als Dienste ermöglicht und die Verwaltung und Steuerung der Desktopumgebung von Unternehmen verbessert. Das Desktop Optimization Pack bietet Ihnen für Änderungsmanagementprozesse und Rollbacks folgende Vorteile:
Verbesserte Gruppenrichtlinienverwaltung
Geringere Ausfallzeiten
Zugriff autorisierter Benutzer auf Anwendungen nach Bedarf
Das Microsoft Desktop Optimization Pack ist nur für Kunden mit Software Assurance-Lizenzen verfügbar. Weitere Informationen finden Sie im Abschnitt über die Optimierung des Windows-Desktops unter https://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx (möglicherweise in englischer Sprache).
Netzwerksicherheit
Netzwerksicherheitslösungen stellen eine breite Lösungskategorie dar, die sich mit der Sicherheit aller Aspekte des Netzwerks für das Unternehmen befassen. Dazu zählen: Firewalls, Server, Clients, Router, Switches und Zugriffspunkte. Die Planung und Überwachung der Sicherheit der Unternehmensnetzwerke ist ein wichtiger Aspekt bei der Einhaltung des PCI DSS. Es gibt eine Vielzahl von Netzwerksicherheitslösungen, und das Unternehmen hat vermutlich im Lauf der Zeit einige der Elemente installiert. In der Regel ist es effizienter und kostengünstiger, auf bereits vorhandenen Netzwerksicher-heitslösungen aufzubauen, als von Grund auf neu zu beginnen.
Es kann jedoch von Vorteil sein, einige der bisher verwendeten Technologien zu ändern oder neue Lösungen in die Netzwerksicherheitsstrategie Ihres Unternehmens zu implementieren. Microsoft bietet mehrere Technologielösungen sowie Dokumentations-material zum Implementieren von Netwerksicherheitslösungen, die den Anforderungen des Unternehmens gerecht werden.
Erfüllte PCI DSS-Anforderungen
Der Payment Card Industry Data Security Standard definiert klar, dass sämtliche Netzwerke des Unternehmens sicher sein müssen, um die Anforderungen zu erfüllen. Richtlinie 1 besagt, dass Unternehmen zur Einhaltung der Anforderungen ein sicheres Netzwerk einrichten und aufrechterhalten müssen. Anforderung 1 besagt, dass Unternehmen eine Firewallkonfiguration installieren und verwalten müssen, um Karteninhaberdaten zu schützen. Anforderung 2 besagt, dass Unternehmen die von Händlern bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter ändern müssen. Netzwerksicherheitslösungen tragen auch zur Erfüllung der Anforderungen 4 und 10 bei, laut derer Karteninhaberdaten bei der Übertragung in Ihrem Netzwerk verschlüsselt werden und Sie den Netzwerkzugriff verfolgen bzw. überwachen müssen.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft stellt eine Reihe von Technologien zur Auswahl, um die ersten beiden PCI DSS-Anforderungen zu erfüllen.
Microsoft Windows-Firewall. Windows XP Service Pack 2 (SP2) enthält die Windows-Firewall, die die Internetverbindungsfirewall (Internet Connection Firewall, ICF) ersetzt. Die Windows-Firewall ist eine statusbehaftete Firewall. Sie verwirft unaufgefordert eingehenden Datenverkehr, der sich weder auf Datenverkehr bezieht, der als Antwort auf die Anforderung des Computers gesendet wurde (erwünschter Datenverkehr), noch auf unerwünschten Verkehr, der als zulässig festgelegt wurde (erwarteter Datenverkehr). Die Windows-Firewall bietet eine Sicherheitsstufe zum Schutz vor böswilligen Benutzern und schädlichen Programmen, die mit unerwünscht eingehendem Datenverkehr Computer in einem Netzwerk angreifen. Diese Funktionen wurden bei der Windows-Firewall durch erweiterte Sicherheitseinstellungen unter Windows Vista und Windows Server „Longhorn“ verbessert.
Windows-Firewall mit erweiterten Sicherheitseinstellungen ermöglicht das Sperren eingehender und ausgehender Verbindungen mithilfe von Einstellungen, die Sie über ein Snap-In von Microsoft Management Console (MMC) konfigurieren. Dieses Snap-In dient nicht nur als Schnittstelle für die lokale Konfiguration der Windows-Firewall, sondern auch zum Konfigurieren der Windows-Firewall auf Remotecomputern und unter Verwendung von Gruppenrichtlinien. Firewallfunktionen sind nun in die Einstellungen der Internetprotokollsicherheit (Internet Protocol Security, IPsec) integriert und verringern die Gefahr von Konflikten zwischen den beiden Schutzmechanismen. Die Windows-Firewall mit erweiterten Sicherheitseinstellungen unterstützt separate Profile für Computer, die mit einer Domäne verbunden sind, und solche, die an ein privates oder öffentliches Netzwerk angeschlossen sind. Sie unterstützt zudem das Erstellen von Regeln, um Richtlinien zur Server- und Domänenisolation durchzusetzen. Die Windows-Firewall mit erweiterten Sicherheitseinstellungen unterstützt weitere detaillierte Regeln, die sich unter anderem auf Benutzer und Benutzergruppen von Microsoft Active Directory, Quell- und Ziel-IP-Adressen, IP-Portnummern, ICMP- und IPsec-Einstellungen, bestimmte Schnittstellentypen und Dienste beziehen.
Weitere Informationen zur Windows-Firewall finden Sie unter https://www.microsoft.com/technet/network/wf/default.mspx (möglicherweise in englischer Sprache).
Microsoft Internet Security & Acceleration Server. Microsoft Internet Security & Acceleration (ISA) Server können auf verschiedene Weise zur Netzwerksicherheit beitragen. Zum einen können Sie Benutzern damit den Remotezugriff auf Unternehmensanwendungen über das Internet gewähren. Zu diesem Zweck können Sie ISA Server so konfigurieren, dass eingehende Benutzeranforderungen vorauthentifiziert und automatische Veröffentlichungstools bereitgestellt werden und der gesamte Datenverkehr (einschließlich verschlüsseltem Datenverkehr) auf der Anwendungsschicht überprüft wird. Wenn das Unternehmen über Zweigstellen verfügt, können Sie mit ISA Server zudem die HTTP-Komprimierung, Inhaltzwischen-speicherung und Funktionen des virtuellen privaten Netzwerks (VPN) verwenden, um Ihr Netzwerk auf einfache und sichere Weise zu erweitern. ISA Server bietet Ihnen die Möglichkeit, Ihr Netzwerk vor internen und externen internetbasierten Bedrohungen zu schützen. Zu diesem Zweck werden eine Proxyfirewall-Architektur, Funktionen zur Inhaltsüberprüfung, detaillierte Richtlinieneinstellungen und umfassende Alarm- und Überwachungsfähigkeiten verwendet.
Weitere Informationen finden Sie im Abschnitt über Microsoft Internet Security & Acceleration Server unter https://www.microsoft.com/isaserver/default.mspx (möglicherweise in englischer Sprache).
Server- und Domänenisolation mit Internetprotokollsicherheit (IPsec) und Active Directory-Gruppenrichtlinien. Die Server- und Domänenisolation erstellt einen Endpunktschutz, der das Risiko kostspieliger Angriffe und des unbefugten Zugriffs auf Ihre Netzwerkressourcen erheblich senkt. Die Lösung basiert auf Windows IPsec und Active Directory-Gruppenrichtlinien und ermöglicht Ihnen das dynamische Segmentieren Ihrer Windows-Umgebung in sichere und isolierte logische Netzwerke. Dank verschiedener Möglichkeiten zum Erstellen eines isolierten Netzwerks können Sie nach Wunsch eine komplette verwaltete Domäne logisch isolieren oder sichere virtuelle Netzwerke mit bestimmten Servern, vertraulichen Daten und Clients erstellen und auf diese Weise den Zugriff auf authentifizierte und autorisierte Benutzer beschränken oder festlegen, dass auf bestimmten Servern oder in bestimmten Netzwerken sämtliche Daten verschlüsselt werden. Indem Sie die Datenverschlüsselung für den Datenverkehr zwischen bestimmten Netzwerkhosts oder Subnetzen durchsetzen, können Sie die Anforderungen von Geschäftspartnern und gesetzliche Vorschriften bezüglich der verschlüsselten Datenübertragung in Netzwerken erfüllen.
Weitere Informationen finden Sie auf der Microsoft TechNet-Website im Abschnitt über Server- und Domänenisolation unter https://www.microsoft.com/technet/network/sdiso/default.mspx (möglicherweise in englischer Sprache).
Sicherheitskonfigurations-Assistent für Windows Server 2003. Mithilfe des Sicherheitskonfigurations-Assistenten können Sie Ihr Netzwerk schützen, indem Sie die Angriffsfläche auf Servern verringern, die Windows Server 2003 mit Service Pack 1 ausführen. Der Sicherheitskonfigurations-Assistent ermittelt die für die Rollen eines Servers erforderlichen Mindestfunktionen und deaktiviert nicht benötigte Funktionen. Aufgaben des Sicherheitskonfigurations-Assistenten:
Deaktivieren nicht benötigter Dienste
Sperren nicht verwendeter Anschlüsse
Zulassen weiterer Adress- oder Sicherheitseinschränkungen für geöffnete Anschlüsse
Verbieten nicht benötigter IIS-Weberweiterungen, sofern zutreffend
Reduzieren der Protokollgefährdung in Server Message Blocks (SMBs), LanMan und Lightweight Directory Access Protocol (LDAP)
Definieren einer Überwachungsrichtlinie für hohe Signal-Rausch-Verhältnisse
IT-Experten können den Sicherheitskonfigurations-Assistenten zum Erstellen, Bearbeiten, Anwenden und Zurücksetzen von Sicherheitsrichtlinien auf der Basis der ausgewählten Serverrollen verwenden. Die mit dem Sicherheitskonfigurations-Assistenten erstellten Sicherheitsrichtlinien sind XML-Dateien zum Konfigurieren der Netzwerksicherheit, spezieller Registrierungswerte, Überwachungsrichtlinien und IIS, sofern zutreffend.
Weitere Informationen finden Sie im Abschnitt über den Sicherheitskonfigurations-Assistenten für Windows Server 2003 unter https://www.microsoft.com/windowsserver2003/technologies/security/configwiz/defaul.mspx (möglicherweise in englischer Sprache).
Remotedesktopverbindung mit Serverauthentifizierung. Remotedesktopverbindungen bieten eine leistungsfähige Möglichkeit, Benutzern den Zugriff auf freigegebene Clientcomputer und Server zu gewähren. Diese Technologie eignet sich als kostengünstige Methode zum Konfigurieren freigegebener Entwicklungs- und Testcomputer. Zudem können Sie diese Computer als zentralen Zugriffspunkt für zahlreiche Projekttypen verwenden und Benutzern außerhalb des Netzwerks Zugriff auf diese Computer gewähren, um auf diese Weise die Risiken für die Netzwerksicherheit zu isolieren. Mithilfe des Clientupdates für Remotedesktop-verbindung 6.0 können IT-Experten eine Serverauthentifizierung konfigurieren. Die Serverauthentifizierung verhindert, dass Benutzer auf einen anderen Computer oder Server als vorgesehen zugreifen und möglicherweise vertrauliche Informationen gefährden. Microsoft hat diese Funktion in Windows Vista und Windows Server „Longhorn“ integriert. Der Client für Remotedesktopverbindung 6.0 kann auf Computern verwendet werden, die Windows Server 2003 mit Service Pack 1 oder Windows XP mit Service Pack 2 (SP2) ausführen. Wie bisher kann mithilfe des Clients eine Verbindung mit Legacy-Terminalservern oder Remotedesktops hergestellt werden, wobei die Serverauthentifizierung nur erfolgt, wenn auf dem Remotecomputer Windows Vista oder Windows Server „Longhorn“ ausgeführt wird.
Weitere Informationen finden Sie im Microsoft Download Center im Abschnitt über das zum Herunterladen verfügbare Clientupdate für Remotedesktopverbindung 6.0 unter https://support.microsoft.com/kb/925876 (möglicherweise in englischer Sprache).
Wi-Fi Protected Access 2. Wenn das Unternehmen ein drahtloses Netzwerk verwendet, sollten Sie eine Aktualisierung auf drahtlose Router, Zugriffspunkte und andere Geräte erwägen, die die Produktzertifizierung Wi-Fi Protected Access 2 (WPA2) unterstützen. WPA2 ist eine über die Wi-Fi Alliance erhältliche Produktzertifizierung für Geräte, die mit dem IEEE 802.11i-Standard kompatibel sind. Ziel der WPA2-Zertifizierung ist es, die zusätzlich erforderlichen Sicherheitsfunk-tionen des IEEE 802.11i-Standards zu unterstützen, die mit der WPA-Zertifizierung von Produkten nicht abgedeckt werden. WPA2 erfordert beispielsweise die Unterstützung der TKIP- und AES-Verschlüsselung. Die Zertifizierung ist in zwei verschiedenen Modi verfügbar:
WPA2-Enterprise verwendet die 802.1X-Authentifizierung und wurde für mittlere und große Netzwerke mit Infrastrukturmodus entwickelt.
WPA2-Personal verwendet zur Authentifizierung einen vorinstallierten Schlüssel (PSK) und wurde für SOHO-Netzwerke mit Infrastrukturmodus entwickelt.
WPA2 wird unter Windows XP Service Pack 2, Windows Vista und Windows Server „Longhorn“ unterstützt. Weitere Informationen finden Sie im Abschnitt über WLAN-Technologien und Microsoft Windows unter https://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/wrlsxp.mspx und in der Übersicht über Wi-Fi Protected Access 2 (WPA2) unter https://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx (möglicherweise in englischer Sprache).
Netzwerkzugriffsschutz. Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Plattform für Windows Server „Longhorn“ und Windows Vista. NAP bietet Komponenten zur Richtliniendurchsetzung, die sicherstellen, dass mit einem Netzwerk verbundene oder in einem Netzwerk kommunizierende Computer vom Administrator definierte Anforderungen für die Systemintegrität erfüllen. Das Unternehmen kann eine Kombination aus Komponenten zur Richtlinienüberprüfung und zur Einschränkung des Netzwerkzugriffs verwenden, um den Netzwerkzugriff und die Kommunikation in einem Netzwerk zu steuern. Sie können auch vorübergehend den Zugriff auf Computer beschränken, die nicht den Anforderungen für eingeschränkte Netzwerke entsprechen. Je nach gewählter Konfiguration kann das eingeschränkte Netzwerk Ressourcen enthalten, die ein Aktualisieren der Computer erfordern, um die Integritätsanforderungen für uneingeschränkten Netzwerkzugriff und eine normale Kommunikation zu erfüllen. NAP enthält einen Satz von Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs). Entwickler und Händler können damit Komplettlösungen zum Überprüfen von Integritätsrichtlinien, zum Einschränken des Netzwerkzugriffs und zur Gewährleistung der fortlaufenden Konformität des Systems erstellen. Zudem bietet NAP Komponenten, mit denen sich ein eingeschränkter Zugriff für IPsec, Netzwerkverbindungen mit IEEE 802.1X-Authentifizierung, VPNs und Dynamic Host Configuration Protocol (DHCP) durchsetzen lässt. Sie können diese Technologien zusammen oder separat verwenden. Dank dieser Fähigkeiten ist NAP ein leistungsfähiges Tool zur Gewährleistung der Integrität und Sicherheit Ihres Netzwerks.
Weitere Informationen finden Sie im Abschnitt über Netzwerkzugriffsschutz (Network Access Protection, NAP) unter https://www.microsoft.com/technet/network/nap/default.mspx (möglicherweise in englischer Sprache).
Microsoft Virtual Server. Microsoft Virtual Server 2005 R2 bietet eine Virtualisierungsplattform, auf der die meisten großen, auf x86 basierenden Betriebssysteme in einer Gastumgebung ausgeführt werden. Die Anwendung wird von Microsoft als Host für Windows Server-Betriebssysteme und Windows Server System-Anwendungen unterstützt. Die Integration in zahlreiche bestehende Verwaltungstools von Microsoft und Drittanbietern bietet Administratoren die Möglichkeit der nahtlosen Verwaltung einer Virtual Server 2005 R2-Umgebung mit den vorhandenen physischen Serververwaltungstools. Da Microsoft Virtual Server die gleichzeitige Ausführung mehrerer Betriebssysteme auf einem Computer zulässt, kann Ihr Unternehmen die PCI DSS-Anforderung 2.2.1 erfüllen, die die Ausführung von nur einer Hauptfunktion pro Server vorschreibt. Sie können mit Virtual Server zum Beispiel auf demselben Computer einen virtuellen Webserver, einen virtuellen Datenbankserver und einen virtuellen Dateiserver bereitstellen.
Microsoft Virtual Server ist als kostenloser Download von Microsoft verfügbar. Weitere Informationen finden Sie im Abschnitt über Microsoft Virtual Server unter https://www.microsoft.com/windowsserversystem/virtualserver/default.mspx (möglicherweise in englischer Sprache).
Hoststeuerelemente
Hoststeuerelementlösungen dienen zur Steuerung der Betriebssysteme auf Servern und Arbeitsstationen. Sie umfassen zudem das Umsetzen von Best Practices für die Sicherheit auf allen Ebenen des Betriebssystems auf jedem Host, das Verwalten der aktuellen Updates und Hotfixes und das Verwenden sicherer Methoden in täglichen Betriebsabläufen.
Erfüllte PCI DSS-Anforderungen
Hoststeuerelementlösungen tragen zum Erfüllen von PCI DSS-Anforderungen bei, indem Betriebssysteme stets auf dem aktuellen Stand und sicher konfiguriert bleiben. Speziell die Einhaltung der PCI DSS-Anforderungen 6 und 11 kann damit unterstützt werden.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien, die Sie zusammen oder einzeln zum Erstellen von Hoststeuerelementlösungen verwenden können. Ähnlich wie bei anderen Technologielösungen sollten Sie auch beim Entwickeln dieser Steuerelemente darauf achten, dass sie die PCI DSS-Anforderungen sowie alle anderen für das Unternehmen geltenden gesetzlichen Vorschriften erfüllen.
Microsoft Baseline Security Analyzer (MBSA). MBSA ist eins der primären Tools zur Risikobewertung für Karteninhaberdaten in Ihrem Unternehmen. MBSA ist ein einfach anzuwendendes Tool, mit dem Sie gängige fehlerhafte Sicherheitskonfigura-tionen in einer Reihe von Microsoft-Produkten ermitteln können. Zu den unterstützten Produkten zählen Windows-Betriebssysteme, Internetinformationsdienste (Internet Information Services, IIS), SQL Server, Internet Explorer und Microsoft Office. MBSA sucht außerdem nach fehlenden Sicherheitsupdates, Update-Rollups und Service Packs, die unter Microsoft Update veröffentlicht wurden. Sie können MBSA über die Eingabeaufforderung oder in einer GUI ausführen und zusammen mit Microsoft Update und Windows Server Update Services verwenden. Da es extrem wichtig ist, Ihre Systeme auf dem aktuellen Stand zu halten, um Karteninhaberdaten so gut wie möglich zu schützen, kann MBSA bei der Bewertung von Sicherheitsrisiken im Unternehmen von unschätzbarem Wert sein.
Microsoft Windows Server Update Services. Mithilfe von Windows Server Update Services (WSUS) mit Service Pack 1 kann Ihr Unternehmen viele der neuesten Microsoft-Produktupdates bereitstellen, die auf der Microsoft Update-Website veröffentlicht werden. WSUS ist eine Updatekomponente von Windows Server, die einen schnellen und effektiven Weg bietet, um Systeme auf dem aktuellen Stand zu halten. Sie erhalten damit eine Verwaltungsinfrastruktur mit folgenden Komponenten:
Microsoft Update. Die Microsoft-Website, von der WSUS-Komponenten Microsoft-Produktupdates herunterladen.
Windows Server Update Services-Server. Die Serverkomponente, die innerhalb der Unternehmensfirewall auf einem Computer mit Microsoft Windows 2000 Server mit Service Pack 4 (SP4) oder dem Betriebssystem Windows Server 2003 installiert wird. Der WSUS-Server bietet Administra-toren die erforderlichen Funktionen zum Verwalten und Verteilen von Updates mit einem webbasierten Tool, auf das von jedem Windows-Computer innerhalb des Unternehmensnetzwerks über Internet Explorer zugegriffen werden kann. Darüber hinaus kann ein WSUS-Server als Updatequelle für andere WSUS-Server dienen.
Automatische Updates. Die Clientcomputerkomponente, die in die Betriebssysteme Windows Vista, Windows Server 2003, Windows XP und Windows 2000 mit SP 3 integriert ist. Mithilfe von automatischen Updates können Server- und Clientcomputer Updates von Microsoft Update oder einem WSUS-Server empfangen.
Diese Dienste bieten Ihnen die Möglichkeit, allen Hostumgebungen in Ihrem Netzwerk den jeweils neuesten Sicherheitsfix von Microsoft für die auf einem bestimmten Host installierten Produkte bereitzustellen.
Weitere Informationen finden Sie auf der Homepage von Windows Server Update Services unter https://www.microsoft.com/windowsserversystem/updateservices/default.mspx (möglicherweise in englischer Sprache).
Microsoft Systems Management Server. Wenn Ihr Unternehmen Clientcomputer und -server mit SMS verwaltet, besitzen Sie möglicherweise bereits einige der Tools zur Bewertung des Sicherheitsrisikos für Karteninhaberdaten. Mit SMS können Sie Sicherheitseinstellungen in verteilten Netzwerken auf Computern mit Windows-Betriebssystemen remote verwalten. Sie können feststellen, ob Computer in Ihrem Netzwerk erforderliche Softwareupdates installiert haben, und den Status von Update-Rollouts an diese Computer verfolgen. Mithilfe von SMS können Sie zudem Berichte über Ihren gesamten Hardware- und Softwarebestand, Konfigurationsdetails und den Status von Netzwerkcomputern, Softwarebereitstellungen und Bereitstel-lungsfehlern generieren. Diese SMS-Funktionen können bei der Ermittlung des Risikos für Karteninhaberdaten innerhalb des Unternehmens eine große Rolle spielen.
Weitere Informationen zu SMS finden Sie auf der Homepage von Microsoft Systems Management Server unter https://www.microsoft.com/smserver/default.mspx (möglicherweise in englischer Sprache).
Microsoft Desktop Optimization Pack für Software Assurance. Das Microsoft Desktop Optimization Pack für Software Assurance ist ein Abonnementdienst, der die Kosten für die Anwendungsbereitstellung senkt, die Lieferung von Anwendungen als Dienste ermöglicht und die Verwaltung und Steuerung der Desktopumgebung von Unternehmen verbessert. Das Desktop Optimization Pack ist eine effektive Hoststeuerelementlösung, die folgende Vorteile bietet:
Optimierung und Beschleunigung des Anwendungsverwaltungszyklus von der Planung und vorhersagbaren Bereitstellung bis hin zur Verwendung, Instandhaltung und Migration
Verbesserte Verwaltung der Softwareressourcen des Unternehmens
Beschleunigung und Vereinfachung von Desktopbereitstellungen und Migrationen
Das Microsoft Desktop Optimization Pack ist nur für Kunden mit Software Assurance-Lizenzen verfügbar. Weitere Informationen finden Sie im Abschnitt über die Optimierung des Windows-Desktops unter https://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx (möglicherweise in englischer Sprache).
Links zu speziellen Hostsicherheitsrichtlinien und -verfahren für zahlreiche Microsoft-Produkte finden Sie im Abschnitt über die Hoststeuerelemente im Planungshandbuch zur Einhaltung gesetzlicher Bestimmungen.
Schutz vor schädlicher Software
Lösungen zum Schutz vor schädlicher Software sind wichtige Elemente für die Sicherheit von Karteninhaberdaten innerhalb Ihres Netzwerks. Sie verhindern Spam und halten Systeme im Netzwerk frei von Viren und Spyware. Auf diese Weise wird die Leistung der Systeme innerhalb des Netzwerks optimiert und vermieden, dass vertrauliche Daten unbeabsichtigt an unbefugte Parteien übertragen werden.
Erfüllte PCI DSS-Anforderungen
Die von Ihnen gewählten Lösungen zum Schutz vor schädlicher Software können dazu beitragen, die PCI DSS-Anforderungen 5 und 6 zu erfüllen.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien, die Sie zusammen oder einzeln zum Schutz vor schädlicher Software verwenden können. Betrachten Sie diese Technologien in Verbindung mit Ihren anderen Maßnahmen hinsichtlich der PCI DSS-Kompatibilität und in Bezug auf alle weiteren gesetzlichen Vorschriften des Unternehmens.
Microsoft Forefront™. Forefront ist eine Suite von Sicherheitsprodukten, die Schutz für Clientbetriebssysteme, Anwendungsserver und die Außenbereiche des Netzwerks bieten. Sie können Forefront mit Ihrer bestehenden IT-Infrastruktur verwenden, um Ihre Server und Clientcomputer vor Malware und anderen Angriffen innerhalb oder außerhalb des Unternehmens zu schützen.
Speziell Forefront Client Security bietet Schutz vor schädlicher Software für Clients innerhalb des gesamten Unternehmens. Die Forefront Client Security-Lösung besteht aus zwei Teilen. Der Sicherheitsmonitor, der auf Desktops, Laptops und Serverbetriebssystemen des Unternehmens installiert wird, bietet Echtzeitschutz vor Bedrohungen zum Beispiel vor Spyware, Viren und Rootkits und führt geplante Scans durch. Der zentrale Verwaltungsserver erleichtert Administratoren das Verwalten und Aktualisieren vorkonfigurierter oder benutzerdefinierter Malware-Schutzagenten und generiert Berichte und Warnmeldungen bezüglich des Sicherheitsstatus dieser Umgebungen.
Weitere Informationen finden Sie im Abschnitt über Microsoft Forefront unter https://www.microsoft.com/forefront/default.mspx (möglicherweise in englischer Sprache).
Tool zum Entfernen schädlicher Software. Das Microsoft Windows-Tool zum Entfernen schädlicher Software überprüft Computer, auf denen Windows XP, Windows 2000 und Windows Server 2003 ausgeführt wird, auf bestimmte, weit verbreitete schädliche Software und entfernt diese. Nach Abschluss des Überprüfungs- und Entfernungsprozesses wird ein Bericht mit den Ergebnissen einschließlich der gegebenenfalls ermittelten und entfernten schädlichen Software angezeigt. Microsoft gibt jeden zweiten Dienstag des Monats und erforderlichenfalls als Reaktion auf aktuelle Sicherheitsvorfälle auch dazwischen eine aktualisierte Version dieses Tools heraus.
Weitere Informationen finden Sie im Abschnitt über das Tool zum Entfernen schädlicher Software unter https://www.microsoft.com/security/malwareremove/default.mspx (möglicherweise in englischer Sprache).
Hinweis Mit Windows Defender und dem Tool zum Entfernen schädlicher Software können Sie auch ermitteln, ob ein schädliches Programm ein Rootkit verwendet. Rootkits sind Mechanismen, die von den Entwicklern schädlicher Software verwendet werden, um ihre Präsenz vor Spywareblockern sowie Antiviren- und Systemverwaltungsdienstprogrammen zu verbergen. Weitere Informationen zu Rootkits und deren Erkennung finden Sie unter https://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx.
Filter von Drittanbietern für Microsoft ISA Server. Neben der Bereitstellung von Netzwerksicherheitslösungen kann ISA Server auch zum Schutz Ihres Unternehmens vor Malware-Angriffen beitragen. Sie können zu diesem Zweck benutzerdefinierte Filter oder Filter von Drittanbietern verwenden, die Malware entfernen, bevor sie in Ihr Unternehmensnetzwerk gelangt.
Weitere Informationen finden Sie im Abschnitt über Microsoft Internet Security & Acceleration Server unter https://www.microsoft.com/isaserver/default.mspx (möglicherweise in englischer Sprache).
Anwendungssicherheit
Zur Erfüllung der PCI DSS-Anforderungen sollten Sie Ihre Anwendungssicherheitslösun-gen von zwei Seiten betrachten. Zum einen ist es wichtig, dass innerhalb Ihres Unterneh-mens Praktiken zur Entwicklung sicherer neuer Anwendungen verwendet werden. Zum anderen sollten Sie darauf achten, dass bei von Microsoft oder einem Drittanbieter erworbenen Softwareanwendungen die mitgelieferten Sicherheitsrichtlinien befolgt werden.
Erfüllte PCI DSS-Anforderungen
Das Entwickeln und Verwalten sicherer Anwendungen, egal, ob web- oder Windows-basiert, ist ein wichtiger Schritt hinsichtlich Ihrer Maßnahmen zur Einhaltung des PCI DSS. Mit diesen Technologielösungen können Sie speziell die Anforderung 6 erfüllen.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1.
Verfügbare Technologien
Microsoft bietet spezielle Anleitungen und Tools zum Entwickeln sicherer Anwendungen. Zudem stehen eigene Richtlinien für die sichere Verwendung der wichtigsten Microsoft-Serverprodukte zur Verfügung.
Microsoft Visual Studio® 2005. Visual Studio 2005 bietet eine Reihe von Tools, mit denen Entwickler während der Entwicklungsphase den Code für Sicherheitsverlet-zungen prüfen können:
FxCop überprüft verwalteten Code auf Defekte, darunter auch auf Sicherheitsdefekte.
PREfast ist ein statisches Analysetool für C- und C++-Code. Es kann Entwicklern helfen, eine Reihe von Sicherheitsaspekten aufzudecken.
Standard Annotation Language kann Entwicklern helfen, Sicherheitsfehler zu ermitteln, die von den C- oder C++-Codecompilern möglicherweise nicht erkannt werden.
Beim Kompilieren von nicht verwaltetem Code in C oder C++ sollten Entwickler stets die /GS-Funktion zur Stapelüberlauferkennung verwenden und den Code mit der Option /SafeESH verknüpfen.
RPC-Entwickler sollten Code mit dem MIDL-Flag /robust kompilieren.
Innerhalb des Sicherheitsentwicklungszyklus wird empfohlen, dass Sie mithilfe von Tools wie FxCop, PREfast und der C++-Compileroption GS prüfen, ob Code ohne Verletzung bekannter Sicherheitsaspekte ausgeführt wird.
Weitere Informationen finden Sie auf der Homepage von Visual Studio unter https://msdn2.microsoft.com/en-us/vstudio/default.aspx.
Microsoft Intelligent Application Gateway (IAG) 2007: IAG ist Teil von Microsoft Forefront Network Edge Security und ermöglicht dank SSL (Secure Socket Layer) VPN, einer Firewall für Webanwendungen und der Verwaltung von Endpunktsicher-heit die Zugriffssteuerung, Autorisierung und Inhaltsüberprüfung einer breiten Palette von Geschäftsbereichsanwendungen. Zusammen bieten diese Technologien mobilen Mitarbeitern den einfachen und flexiblen, sicheren Zugriff von zahlreichen Geräten und Standorten aus, unter anderem von Kiosken, Desktopcomputern und mobilen Geräten. IAG ermöglicht es IT-Administratoren zudem, die Einhaltung von Anwendungs- und Informationsnutzungsrichtlinien über benutzerdefinierte Remotezugriffsrichtlinien durchzusetzen, die auf Geräte-, Benutzer-, Anwendungs- oder anderen Unternehmenskriterien basieren. Dies bietet folgende wichtige Vorteile:
Eine einzigartige Kombination aus SSL VPN-basiertem Zugriff, integriertem Anwendungsschutz und Verwaltung der Endpunktsicherheit
Eine leistungsfähige Firewall für Webanwendungen, die schädlichen Datenverkehr abwehrt und vertrauliche Informationen schützt
Vereinfachte Verwaltung des sicheren Zugriffs und Schutz von Unternehmensressourcen auf einer umfassenden, bedienfreundlichen Plattform
Interoperabilität mit der Kernanwendungsinfrastruktur von Microsoft, Unternehmenssystemen von Drittanbietern und benutzerdefinierten betriebsinternen Tools
Weitere Informationen finden Sie der Produktübersicht für Intelligent Application Gateway 2007 unter https://www.microsoft.com/forefront/edgesecurity/iag/overview.mspx (möglicherweise in englischer Sprache).
Richtlinien
Sicherheitsentwicklungszyklus. Wenn Ihr Unternehmen eigene Lösungen zum Verwalten von Karteninhaberdaten entwickeln möchte, sollten Sie erwägen, den von Microsoft erstellten Sicherheitsentwicklungszyklus zu verwenden. Dies ist eine umfassende Lösung zum Entwickeln sicherer Web- und Desktopanwendungen für die Verwendung in Unternehmen, die vertrauliche Informationen wie Karteninhaberdaten verarbeiten und speichern. Der Sicherheitsentwicklungszyklus beginnt mit der Planung sicherer Anwendungen, gewährleistet, dass Sie sichere Codierungstechniken verwenden und bietet Anleitungen zum sicheren Testen und Bereitstellen von Anwendungen nach Abschluss der Entwicklung.
Weiter Informationen finden Sie im Abschnitt über den Sicherheitsentwicklungszyklus von Microsoft unter https://msdn.microsoft.com/msdnmag/issues/05/11/SDL/ (möglicherweise in englischer Sprache).
Einhalten von Produktsicherheitsrichtlinien. Microsoft bietet Sicherheitsrichtlinien für zahlreiche seiner Softwareprodukte. Besonders interessant für große und mittlere Unternehmen sind Sicherheitsrichtlinien für Exchange Server, Systems Management Server und SQL Server. Weitere Informationen zu Sicherheitsrichtlinien für diese Produkte finden Sie im Abschnitt „Anwendungssicherheit“ des Planungshandbuchs zur Einhaltung gesetzlicher Bestimmungen.
Messaging und Zusammenarbeit
Zum Erfüllen der PCI DSS-Anforderungen müssen Sie sicherstellen, dass sämtliche in Ihrem Unternehmen verwendete Messaging- und Zusammenarbeitssoftware sicher konfiguriert und eingerichtet ist. Da Messaging- und Zusammenarbeitsanwendungen zu wichtigen Tools in der Zahlungskartenbranche geworden sind, müssen Sie alle erforderlichen Maßnahmen ergreifen, um sämtliche Dokumente oder E-Mail-Nachrichten mit Karteninhaberdaten zu schützen.
Erfüllte PCI DSS-Anforderungen
Zu den gängigen Methoden für sicheres Messaging gehören Messaging-Gateways, sichere Messaging-Server und Messaging-Inhaltsfilterung. Sowohl bei Messaging-Gateways als auch bei der Messaging-Inhaltsfilterung werden Nachrichten an eine spezielle Softwareanwendung weitergeleitet. Diese Anwendung kann je nach Konstruktion der Lösung mithilfe verschiedener Methoden bestimmte Wort- oder Zahlenfolgen, Wortmuster oder andere Elemente isolieren. Nachrichten mit diesen Schlüsselwörtern oder -zeichenfolgen können dann bis zur Überprüfung verdächtiger Informationen unter Quarantäne gestellt werden. Eine weitere Lösung kann auch einfach das Löschen der Nachricht sein. Mit diesen Methoden können Sie Karteninhaberdaten schützen, wenn diese in einer E-Mail-Nachricht oder einem Dokument innerhalb einer Unternehmensumgebung versendet werden. Alle diese Techniken und Lösungen tragen zur Erfüllung von PCI DSS-Anforderung 4 bei.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1.
Verfügbare Technologien
Microsoft bietet eine Reihe von Lösungen für sichere Messaging- und Zusammenarbeits-software. Jede dieser Lösungen behandelt unterschiedliche Unternehmensaspekte. Sie sollten sie so einsetzen, dass am Ende möglichst alle Sicherheitsrisiken abgedeckt sind.
Microsoft Exchange Server. Ebenso wie bei der Dokumentverwaltung können Sie mit Exchange leistungsfähige Lösungen ermitteln, die den Messaging-Anforderungen Ihres Unternehmens entsprechen und gleichzeitig sämtliche Karteninhaberdaten in E-Mail-Nachrichten schützen. Exchange Server 2007 umfasst Unified Messaging, das für die an einen Benutzer gesendeten E-Mail-, Voicemail-, und Faxnachrichten einen gemeinsamen Posteingang verwendet. Außerdem bietet es Funktionen, mit deren Hilfe das Unternehmen Aufbewahrungsregeln anwenden und Nachrichten während der Übermittlung überprüfen und darauf reagieren kann. Des Weiteren sind Rich-Text-Suchvorgänge in allen bereitgestellten Postfächern möglich.
Weitere Informationen finden Sie auf der Exchange Server-Website von Microsoft unter https://www.microsoft.com/exchange/default.mspx (möglicherweise in englischer Sprache).Microsoft Forefront Security für Exchange Server. Microsoft Forefront Security für Exchange Server bietet zum Schutz Ihrer E-Mail-Infrastruktur vor Infektion und Ausfällen eine Lösung, die sich durch mehrere Schutzschichten, die Optimierung der Leistung und Verfügbarkeit von Exchange Server und eine einfache Verwaltungssteuerung auszeichnet.
Umfassender Schutz. Microsoft Forefront Security für Exchange Server umfasst mehrere Scanmodule von führenden Sicherheitsfirmen, die in eine einzige Lösung integriert sind, um Unternehmen zu helfen, ihre Exchange-Messaging-Umgebungen vor Viren, Würmern und Spam zu schützen.
Optimierte Leistung. Durch die enge Integration in Exchange Server, Innovationen bei Überprüfungen und Leistungssteuerelemente hilft Forefront Security für Exchange Server beim Schutz von Messaging-Umgebungen, hält gleichzeitig die Betriebszeit des Systems aufrecht und optimiert die Serverleistung.
Vereinfachte Verwaltung. Forefront Security für Exchange Server ermöglicht Administratoren auch eine einfache Verwaltung der Serverkonfiguration und des Serverbetriebs sowie automatisierte Aktualisierungen der Scanmodulsignatur und Berichterstellung auf Server- und Unternehmensebene.
Weitere Informationen finden Sie im Abschnitt über Microsoft Forefront unter https://www.microsoft.com/forefront/default.mspx (möglicherweise in englischer Sprache).
Microsoft Exchange Hosted Services. Microsoft Exchange Hosted Services für Messaging-Sicherheit und -Verwaltung besteht aus vier separaten Diensten, die einem Unternehmen helfen, sich vor E-Mail-gestützter Malware zu schützen, Aufbewahrungsbestimmungen zu erfüllen, Daten zur Wahrung der Vertraulichkeit zu verschlüsseln und auch während und nach Notsituationen E-Mail-Zugriff zu ermöglichen. Diese Dienste werden mithilfe eines SaaS-Modells (Software as a Service) über das Internet bereitgestellt, wodurch zusätzliche große Investitionen auf ein Minimum beschränkt, IT-Ressourcen für andere wertschöpfende Maßnahmen freigegeben und Messaging-Bedrohungen noch vor der Unternehmens-Firewall abgewehrt werden.
Weiter Informationen finden Sie im Abschnitt über Microsoft Exchange Hosted Services unter https://www.microsoft.com/exchange/services/default.mspx (möglicherweise in englischer Sprache).
Microsoft Office Information Rights Management (IRM). Office ist die führende Suite von Produktivitätsanwendungen für Unternehmen. Die IRM-Funktion von Microsoft Office ermöglicht die Zugriffssteuerung für vertrauliche Informationen wie Kartenhalterdaten.
Sie bietet insbesondere folgende Vorteile:
Schutz vertraulicher Informationen vor dem Weiterleiten, Kopieren, Ändern, Drucken, Faxen oder Ausschneiden und Einfügen durch unbefugte Empfänger
Schutz vertraulicher Informationen vor dem Kopieren mit der Windows-Funktion zum Drucken des Bildschirms
Bereitstellung von Informationen mit gleich bleibender Sicherheitsstufe an allen Speicherorten. Dies wird als „beständiger Schutz“ bezeichnet.
Bereitstellung der gleichen Sicherheitsstufe für E-Mail-Anlagen, sofern diese ebenfalls mit Office-Programmen (z. B. Excel oder Word) erstellt wurden
Schutz von Informationen in E-Mail-Nachrichten oder Dokumenten mit einem Ablaufdatum, sodass die Informationen nach einem bestimmten Zeitraum nicht mehr angezeigt werden können
Durchsetzen von Unternehmensrichtlinien zur Verwendung und Verbreitung von Informationen innerhalb und außerhalb des Unternehmens
Office IRM ist in die Microsoft Windows Rights Management Services-Plattform integriert. Um diese Funktion in Office zu aktivieren, müssen Sie eine RMS-Serverlizenz erwerben.
Weitere Informationen finden Sie auf der Microsoft Office-Website unter https://office.microsoft.com/en-us/default.aspx (möglicherweise in englischer Sprache).
Microsoft Windows SharePoint Services Information Rights Management (IRM). Ebenso wie Ihre Dokumentverwaltungslösungen können Sie auch Ihre Unterneh-menslösungen mit SharePoint Services IRM an die PCI DSS-Anforderungen anpassen. Mit dieser Technologie haben Sie die Möglichkeit, einen beständigen Satz von Zugriffssteuerelementen zu erstellen, die an den Inhalt angehängt und nicht an einem bestimmten Ort im Netzwerk verankert werden. Auf diese Weise können Sie den Zugriff auf Dateien selbst dann steuern, wenn diese nicht mehr Ihrer direkten Kontrolle unterliegen. IRM ist für Dateien verfügbar, die in Dokumentbibliotheken und als Anlagen von Listenelementen gespeichert sind. Websiteadministratoren haben die Wahl, Downloads von einer Dokumentbibliothek mit IRM zu schützen. Wenn ein Benutzer versucht, eine Datei aus der Bibliothek herunterzuladen, überprüft Windows SharePoint Services die Rechte des Benutzers für die Datei und stellt eine Lizenz aus, mit der der Benutzer entsprechend seiner Berechtigungsstufe auf die Datei zugreifen kann. Windows SharePoint Services lädt die Datei anschließend in einem verschlüsselten Dateiformat mit verwalteten Rechten auf den Computer des Benutzers herunter.
Office IRM ist in die Microsoft Windows Rights Management Services-Plattform integriert. Um diese Funktion in Office zu aktivieren, müssen Sie eine RMS-Serverlizenz erwerben.
Weitere Informationen finden Sie auf der Website für Produkte und Technologien für Microsoft SharePoint unter https://go.microsoft.com/fwlink/?linkid=12632 (möglicherweise in englischer Sprache).
Datenklassifizierung und Schutz
Datenklassifizierungs- und Schutzlösungen sind zentrale Elemente bei der Einhaltung von PCI DSS-Anforderungen und dem Schutz von Karteninhaberdaten. Sie bieten Möglichkeiten zum Anwenden von Sicherheitsklassifizierungsstufen auf Karteninhaber-daten auf einem System oder während der Übertragung. Diese Lösungskategorie gewährleistet zudem die Vertraulichkeit und Integrität gespeicherter oder übertragener Daten. Verschlüsselungslösungen sind für Unternehmen die gängigste Methode zur Gewährleistung von Datenschutz.
Erfüllte PCI DSS-Anforderungen
Mithilfe von Datenklassifizierung- und Schutzlösungen können Sie PCI DSS-Anforderungen erfüllen, indem Sie Karteninhaberdaten schützen, die bei Verwendung einer Zahlungskarte in einer Datenbank gespeichert oder zwischen Servern oder an Ihr Netzwerk übertragen werden. Diese Lösungen ermöglichen die Erfüllung der PCI DSS-Anforderungen 3 und 7.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien zur Klassifizierung und zum Schutz von Karteninhaberdaten, egal, ob diese über Ihr Netzwerk übertragen werden oder in einem Dokument auf dem Computer eines Mitarbeiters oder in einer Datenbank gespeichert sind. Dazu gehören:
BitLocker™-Laufwerkverschlüsselung. Mit der BitLocker-Laufwerkverschlüsse-lung können Sie Karteninhaberdaten durch Laufwerkverschlüsselung und Integritätsprüfungen auf Komponenten schützen, die früh in der Startsequenz gestartet werden. Die Laufwerkverschlüsselung schützt Daten unter Windows vor dem Zugriff unbefugter Benutzer, falls ein Computer gestohlen wird oder verloren geht. Dieser Schutz wird durch das Verschlüsseln des gesamten Windows-Volumes erreicht. Mit BitLocker werden sämtliche Benutzer- und Systemdateien einschließlich Auslagerungs- und Ruhezustanddateien verschlüsselt. Die Integritätsprüfungen der Komponenten, die früh in der Startsequenz gestartet werden, stellen sicher, dass die Datenentschlüsselung nur erfolgt, wenn diese Komponenten unverändert erscheinen und sich das verschlüsselte Laufwerk auf dem Originalcomputer befindet. BitLocker steht in den Windows Vista-Versionen Enterprise und Ultimate sowie unter Windows Server „Longhorn“ zur Verfügung.
Weitere Informationen finden Sie im Überblick über die BitLocker-Laufwerkverschlüs-selung unter https://technet.microsoft.com/en-us/windowsvista/aa906018.aspx (möglicherweise in englischer Sprache).
Verschlüsselndes Dateisystem (EFS) von Windows. Das verschlüsselnde Dateisystem (Encrypting File System, EFS) bietet die Kerntechnologie für Dateiverschlüsselung zum Speichern verschlüsselter Dateien auf NTFS-Dateisystemvolumes. Nachdem Sie eine Datei oder einen Ordner verschlüsselt haben, können Sie damit ebenso wie mit anderen Dateien und Ordnern arbeiten.
Die Verschlüsselung ist für den Benutzer, der die Datei verschlüsselt hat, transparent. Sie müssen eine verschlüsselte Datei also vor der Verwendung nicht manuell entschlüsseln. Die Datei lässt sich wie gewohnt öffnen.
Die Verwendung des EFS ähnelt der Verwendung von Berechtigungen für Dateien und Ordner. Beide Methoden eignen sich dazu, den Zugriff auf Daten einzuschränken. Ein Angreifer, der unbefugt physisch auf verschlüsselte Dateien oder Ordner zugreift, kann diese nicht lesen. Versucht ein Angreifer, Ihre verschlüsselten Dateien oder Ordner zu öffnen oder zu kopieren, wird eine Meldung angezeigt, dass der Zugriff verweigert ist. Berechtigungen für Dateien und Ordner schützen nicht vor unbefugten physischen Angriffen.
Weitere Informationen finden Sie im Überblick über das verschlüsselnde Dateisystem unter https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/encrypt_overview.mspx?mfr=true oder unter https://www.microsoft.com/windows/products/windowsvista/features/details/encryptingfilesystem.mspx (möglicherweise in englischer Sprache).
Microsoft Windows Rights Management Services. Microsoft Windows Rights Management Services (RMS) ist eine Softwareplattform zum Schutz von Karteninhaberdaten vor dem unbefugtem Gebrauch in Anwendungen sowohl online als auch offline, innerhalb und außerhalb der Firewall.
RMS erweitert die Sicherheitsstrategie eines Unternehmens, indem Informationen durch beständige Verwendungsrichtlinien geschützt werden, die immer und überall auf die Informationen angewendet werden. Mit RMS-fähigen Anwendungen können Sie den Zugriff auf Dokumente mit Karteninhaberdaten verwalten, steuern und überwachen. Der RMS-Client ist in das Windows Vista-Betriebssystem integriert. Für andere Windows-Versionen kann der RMS-Client kostenlos heruntergeladen werden. Weitere Informationen finden Sie im Abschnitt Windows Rights Management Services unter https://www.microsoft.com/rms (möglicherweise in englischer Sprache).
Microsoft SQL Server-Verschlüsselung. Wenn Sie Karteninhaberdaten in SQL Server speichern, werden die Daten mit einer hierarchischen Verschlüsselung und einer Schlüsselverwaltungsinfrastruktur verschlüsselt. Auf jeder Ebene wird die darunter liegende Ebene mit einer Kombination aus Zertifikaten, asymmetrischen und symmetrischen Schlüsseln gesichert. Es gibt einen Hauptschlüssel für die SQL Server-Instanz und einen separaten Schlüssel für jede Datenbank innerhalb dieser Instanz. Dies dient zum Schutz der gespeicherten Karteninhaberdaten Ihres Unternehmens.
Weitere Informationen finden Sie auf der Microsoft SQL Server-Website unter https://www.microsoft.com/sql/default.mspx (möglicherweise in englischer Sprache).
Verwalten von Identitäten
Die Identitätsverwaltung ist ein weiteres wichtiges Element bei der Einhaltung des PCI DSS. Mithilfe von Lösungen zur Identitätsverwaltung kann der Zugriff sowie das Verarbeiten und Übertragen von Karteninhaberdaten durch Benutzer eingeschränkt werden. Diese Lösungen bieten Ihrem Unternehmen die Möglichkeit, digitale Identitäten und Berechtigungen für Ihre Mitarbeiter, Kunden und Partner zu verwalten.
Erfüllte PCI DSS-Anforderungen
Mit Lösungen zur Identitätsverwaltung können Sie die PCI DSS-Anforderung 8 erfüllen, indem Sie für jeden Mitarbeiter Ihres Unternehmens mit Zugriff auf einen Computer eine eindeutige ID erstellen. Sie können auf der Basis dieser eindeutigen ID auch den Zugriff auf Karteninhaberdaten einschränken, dem Grundsatz von PCI DSS-Anforderung 7.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1.
Verfügbare Technologien
Microsoft bietet zahlreiche Technologien zur Erfüllung der Identitätsverwaltungsanforde-rungen Ihres Unternehmens.
-
Microsoft Active Directory. Active Directory unterstützt zahlreiche Technologien, mit denen Sie steuern können, welche Mitarbeiter auf Karteninhaberdaten innerhalb und außerhalb Ihres Netzwerks zugreifen können. Erstens unterstützt Active Directory die Kerberos-Authentifizierung, eine der Standard-Authentifizierungs-techniken von Windows. Kerberos bietet eine sichere Benutzerauthentifizierung mit einem Industriestandard, der Interoperabilität zulässt. Der Active Directory-Domänencontroller verwaltet Benutzerkonten- und Anmeldeinformationen, um den Kerberos-Dienst zu unterstützen. Zweitens unterstützt Active Directory die Smartcard-Authentifizierung. Sie können festlegen, dass Remotebenutzer oder Administratoren von Systemen mit Karteninhaberdaten nur mit einer Smartcard und einer PIN auf Ihr Netzwerk zugreifen können. Außerdem unterstützt Active Directory die Serverspeicherung von Anmeldeinformationen, einen Dienst, der es Benutzern ermöglicht, beim Zugriff auf mehrere Computer stets dieselben Anmeldeinformati-onen zu verwenden. Zudem können Sie mit Active Directory die Anmeldeinformati-onsanbieter anpassen, die zur Authentifizierung der Benutzer verwendet werden. Mit diesen Funktionen können Sie die Zugriffsweise von Active Directory-Konten auf Karteninhaberdaten bis ins Detail steuern und Zugriffsrechte für diese Daten gezielt an ausgewählte Konten vergeben.
-
Microsoft Identity Lifecycle Manager. Microsoft Identity Lifecycle Manager (ILM) vereinfacht das Zuordnen und Verwalten von Identitätsdatensätzen aus unterschiedlichen Datenrepositorys und verhindert Anomalien wie aktive Datensätze für Mitarbeiter, die aus dem Unternehmen ausgeschieden sind. ILM bietet Ihrem Unternehmen ein Richtlinienframework, mit dem Sie die Identität und den Datenzugriff kontrollieren und verfolgen können, um die Anforderungen zu erfüllen. Die Lösung umfasst zudem Selbsthilfetools für Endbenutzer, mit denen Sie die Effizienz Ihrer IT-Abteilung steigern können, da sich zahlreiche Aufgaben sicher an Endbenutzer übertragen lassen. Eine weitere wichtige Funktion von ILM ist die integrierte Windows-basierte Zertifikatverwaltungslösung, die sich in Windows Server 2003 und Active Directory integrieren lässt, um eine Komplettlösung zur Verwaltung des gesamten Lebenszyklus von Smartcards und digitalen Zertifikaten für die Zertifizierungsstelle von Windows Server 2003 zu bieten.
ILM bietet Ihrem Unternehmen folgende Vorteile:
- Synchronisieren von Identitätsdaten in verschiedenen heterogenen Identitätsspeichern mit und ohne Verzeichnissen. Auf diese Weise können Sie Identitätsinformationen auf unterschiedlichen Plattformen automatisch aktualisieren und gleichzeitig die Integrität und Besitzrechte an diesen Daten im gesamten Unternehmen aufrecht erhalten.
- System- und plattformübergreifendes Bereitstellen und Entfernen von Benutzerkonten und Identitätsinformationen beispielsweise für Verteilung, E-Mail-Konten und Sicherheitsgruppen. Neue Konten für Mitarbeiter können bei Ereignissen oder Änderungen schnell in autorisierenden Speichern wie dem Personalsystem erstellt werden. Außerdem können aus dem Unternehmen ausgeschiedene Mitarbeiter sofort aus diesen Systemen entfernt werden.
- Verwalten von Zertifikaten und Smartcards. ILM umfasst eine workflow- und richtlinienbasierte Lösung zur einfachen Verwaltung des Lebenszyklus digitaler Zertifikate und Smartcards durch Unternehmen. Dabei werden Active Directory-Dienste und Active Directory-Zertifikatdienste genutzt, um digitale Zertifikate und Smartcards bereitzustellen und mithilfe eines automatischen Workflows den gesamten Lebenszyklus von zertifikatbasier-ten Anmeldeinformationen zu verwalten. ILM senkt dank der effizienten Bereitstellung, Verwaltung und Pflege einer zertifikatbasierten Infrastruktur deutlich die mit digitalen Zertifikaten und Smartcards verbundenen Kosten eines Unternehmens. Zudem wird die Bereitstellung, Konfiguration und Verwaltung von digitalen Zertifikaten und Smartcards optimiert und gleichzeitig der Schutz durch eine sichere mehrstufige Authentifizierungstechnologie erhöht.
-
Microsoft SQL Server. Sie können SQL Server in Verbindung mit anderen Technologien verwenden, um Identitätsverwaltungslösungen zu erstellen. Nutzen Sie SQL Server-Datenbanken zum Speichern von Benutzernamen- und Kennwortinfor-mationen und zum Zuordnen von Zertifikaten zu Benutzerkonten und anderen Lösungen. SQL Server kann in Verbindung mit Microsoft ILM, Active Directory, Gruppenrichtlinien und ACLs verwendet werden, um den Benutzerzugriff auf Karteninhaberdaten in anderen Datenbanken, Dokumenten oder Verzeichnissen einzuschränken.
Weitere Informationen finden Sie auf der Microsoft SQL Server-Website unter
Weitere Informationen finden Sie im Technologiecenter für Server 2003 Active Directory unter
Microsoft Active Directory Federation Services. Mit Active Directory Federation Services (ADFS) können Sie Identitätsverwaltungslösungen erstellen, die über die traditionellen Grenzen Ihrer Active Directory-Struktur hinausgehen. ADFS ermöglicht es Ihrem Unternehmen, seine bestehende Active Directory-Infrastruktur zu erweitern und Zugriff auf Ressourcen zu bieten, die von vertrauenswürdigen Partnern über das Internet angeboten werden. Diese vertrauenswürdigen Partner können zum Beispiel Drittanbieter oder andere Abteilungen oder Niederlassungen innerhalb des gleichen Unternehmens sein.
ADFS ist eng in Active Directory integriert. Benutzerattribute werden von Active Directory abgerufen und Benutzer mit Active Directory authentifiziert. ADFS verwendet zudem die integrierte Windows-Authentifizierung. Die Anwendung ist unter den Betriebssystemen Windows Server 2003 R2 und Windows Server „Longhorn“ verfügbar.
Weitere Informationen finden Sie in der Übersicht über Active Directory Federation Services (ADFS) in Windows Server 2003 R2 unter https://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx (möglicherweise in englischer Sprache).
Weitere Informationen finden Sie auf der Homepage von Microsoft Identity Lifecycle Manager unter https://www.microsoft.com/windowsserver/ilm2007/default.mspx (möglicherweise in englischer Sprache).
Supportfunktionen für Betriebssysteme
Public Key-Infrastruktur. Eine Public Key-Infrastruktur (PKI) ist ein System von digitalen Zertifikaten, Zertifizierungsstellen und anderen Registrierungsstellen, die die Gültigkeit jeder an einer elektronischen Transaktion beteiligten Partei mithilfe der Kryptografie mit öffentlichen Schlüsseln überprüft und authentifiziert. Diese Infrastruktur ermöglicht es Ihnen, Karteninhaberdaten mit einer effektiven Sicher-heitsstrategie zu schützen und im Internet, in Extranets, Intranets und Anwendungen zu übertragen.
PKI-Support ist unter Windows Server 2000, Windows XP Professional, Windows Server 2003, Windows Vista und Windows Server „Longhorn“ verfügbar.
Weitere Informationen finden Sie im Abschnitt über die Public Key-Infrastruktur für Windows Server 2003 unter https://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (möglicherweise in englischer Sprache).
Authentifizierung, Autorisierung und Zugriffssteuerung
Authentifizierung ist der Prozess der Benutzeridentifizierung. In IT-Umgebungen ist für die Authentifizierung in der Regel ein Benutzername und ein Kennwort erforderlich, es können jedoch als Identitätsnachweis auch zusätzliche Optionen wie Smartcards, Irisscan, Spracherkennung oder Fingerabdrücke verwendet werden. Bei der Autorisierung wird ermittelt, ob die authentifizierte Identität zum Zugriff auf angeforderte Ressourcen berechtigt ist. Sie können den Zugriff anhand von verschiedenen Kriterien gewähren oder verweigern, zum Beispiel der Netzwerkadresse des Clients, der Tageszeit oder des von der Person verwendeten Browsers.
Bei der Planung der Authentifizierung, Autorisierung und Zugriffssteuerung sollten Sie gleichzeitig eine Strategie zum Erteilen von Benutzerkontoberechtigungen für alle Ressourcen innerhalb Ihres Netzwerks entwickeln. Weitere Informationen finden Sie im Abschnitt Windows XP – Anwenden des Prinzips der geringsten Rechte auf Benutzerkonten.
Erfüllte PCI DSS-Anforderungen
Die Authentifizierung, Autorisierung und Zugriffssteuerung sind wichtige Aspekte der Sicherheitsstrategie für Karteninhaberdaten, insbesondere in Verbindung mit Datenklassifizierungs-, Schutz- und Identitätsverwaltungslösungen. In diesem Kontext können Authentifizierungs-, Autorisierungs- und Zugriffssteuerungslösungen zur Erfüllung der PCI DSS-Anforderungen 6, 7 und 8 beitragen.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1 (möglicherweise in englischer Sprache).
Verfügbare Technologien
Microsoft bietet mehrere Technologien zum Erstellen und Integrieren von Authentifizie-rungs-, Autorisierungs- und Zugriffssteuerungsstrategien in Ihre gesamte PDI DSS-Kompatibilitätslösung.
Microsoft Active Directory. Der Active Directory-Dienst in Microsoft Windows 2000 Server, Windows Server 2003 und Windows Server „Longhorn“ befasst sich überwiegend mit der Authentifizierung, Autorisierung und Zugriffssteuerung. Active Directory unterstützt zum Beispiel die Kerberos-Authentifizierung, eine der Standard-Authentifizierungstechniken von Windows. Kerberos bietet eine sichere Benutzer-authentifizierung mit einem Industriestandard, der Interoperabilität zulässt. Der Active Directory-Domänencontroller verwaltet in Unterstützung des Kerberos-Diensts Benutzerkonten- und Anmeldeinformationen. Des Weiteren unterstützt Active Directory die Smartcard-Authentifizierung. Sie können festlegen, dass Remotebe-nutzer oder Administratoren von Systemen mit Karteninhaberdaten nur mit einer Smartcard und einer PIN auf Ihr Netzwerk zugreifen können. Active Directory unterstützt die Serverspeicherung von Anmeldeinformationen, einen Dienst, der es Benutzern ermöglicht, beim Zugriff auf mehrere Computer stets dieselben Anmeldeinformationen zu verwenden. Mit Active Directory können Sie zudem die Anmeldeinformationsanbieter anpassen, die zur Authentifizierung der Benutzer verwendet werden. Des Weiteren haben Sie die Möglichkeit, Verwaltungsaufgaben im gesamten Unternehmen zu verteilen. Mit diesen Funktionen können Sie die Zugriffsweise von Active Directory-Konten auf Karteninhaberdaten bis ins Detail steuern und Zugriffsrechte für diese Daten gezielt an ausgewählte Konten vergeben
Weitere Informationen finden Sie im Technologiecenter für Server 2003 Active Directory unter https://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx (möglicherweise in englischer Sprache).
Microsoft-Internetauthentifizierungsdienst. Der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ist die Microsoft-Implementierung eines RADIUS-Servers und -Proxys (Remote Authentication Dial-in User Service). Als RADIUS-Server führt IAS die zentralisierte Verbindungsauthentifizierung, Autorisierung und Kontoführung für zahlreiche Arten des Netzwerkzugriffs aus, darunter auch für drahtlose Verbindungen und VPN-Verbindungen. Als RADIUS-Proxy leitet IAS Authentifizierungs- und Kontoführungsnachrichten an andere RADIUS-Server weiter. Dabei werden Authentifizierungsschritte für Remoteverbin-dungen durchgeführt, bevor sie Ihr Unternehmensnetzwerk erreichen. Mit den vom Benutzer für die Remoteverbindung angegebenen Anmeldeinformationen können Sie den Zugriff wahlweise nur auf die Ressourcen Ihres Netzwerks freigeben, die der Benutzer für seine Arbeit benötigt.
Weitere Informationen finden Sie im Abschnitt über den Internetauthentifizierungs-dienst unter https://www.microsoft.com/technet/network/ias/default.mspx (möglicherweise in englischer Sprache).
Supportfunktionen für Betriebssysteme
Verwenden von Zugriffssteuerungslisten zum Erteilen von Ressourcenberech-tigungen. Eine Zugriffssteuerungsliste (Access Control List, ACL) ist ein Mechanismus, der seit Microsoft Windows NT von Betriebssystemen zum Schutz von Ressourcen wie Dateien und Ordnern verwendet wird. ACLs enthalten mehrere Einträge für die Zugriffssteuerung (Access Control Entries, ACEs), die einen Prinzipal (in der Regel ein Benutzerkonto oder eine Gruppe von Konten) mit einer Nutzungsregel für die Ressource verknüpfen. ACLs und ACEs ermöglichen es Ihrem Unternehmen, Rechte für Ressourcen anhand von Berechtigungen zu erteilen oder zu verweigern, die Sie mit Benutzerkonten verknüpfen können. Sie können zum Beispiel einen ACE erstellen und auf die ACL einer Datei anwenden, mit dem nur ein Administrator auf die Datei zugreifen kann. Sie müssen diese Technologie im Rahmen Ihrer gesamten Identitätsverwaltungslösung verwenden, aber sie eignet sich dennoch gut, um den Zugriff auf Karteninhaberdaten auf die Personen zu beschränken, die Sie zum Abwickeln von Geschäften benötigen.
Weitere Informationen finden Sie in der „Übersicht über die ACL-Technologie“ unter https://msdn2.microsoft.com/en-us/library/ms229742.aspx (möglicherweise in englischer Sprache).
Windows-Firewall in Microsoft Windows Vista und Windows Server „Longhorn“. Wie bereits erwähnt, können Sie mit der Windows-Firewall unter Windows Vista und Windows Server „Longhorn“ Ihre Systeme und Netzwerke vor Angriffen schützen. Sie können damit auch steuern, auf welche Ressourcen eines Computers oder einer Domäne Benutzer, Gruppen und andere Computer zugreifen können. Wenn Sie die Windows-Firewall mit erweiterten Sicherheitseinstellungen verwenden, können Sie Regeln zum Filtern von Verbindungen nach Active Directory-Benutzer, -Computer oder -Gruppe erstellen. Zum Erstellen dieser Arten von Regeln müssen Sie die Verbindung mit IPsec unter Verwendung von Anmeldeinformationen sichern, die Active Directory-Kontoinformationen enthalten, wie zum Beispiel das Kerberos-Protokoll, Version 5.
Weitere Informationen zur Windows-Firewall finden Sie unter https://www.microsoft.com/technet/network/wf/default.mspx (möglicherweise in englischer Sprache).
Links zu konzeptionellen Informationen und Planungshandbüchern über die Authentifizie-rung, Autorisierung und Zugriffssteuerung finden Sie im entsprechenden Abschnitt des Planungshandbuchs zur Einhaltung gesetzlicher Bestimmungen.
Identifizieren von Sicherheitsrisiken
Lösungen zum Identifizieren von Sicherheitsrisiken stellen Tools bereit, mit denen Ihr Unternehmen die Sicherheitsrisiken seiner Informationssysteme testen kann. Ihre IT-Mitarbeiter müssen die Sicherheitsrisiken der IT-Umgebung kennen, bevor sie effektive Lösungen entwickeln können. Das Identifizieren von Sicherheitsrisiken umfasst zudem die Fähigkeit, Daten wiederherzustellen, die unbeabsichtigt aufgrund eines Benutzerfehlers verloren gegangen sind.
Erfüllte PCI DSS-Anforderungen
Mithilfe von Lösungen zum Identifizieren der Sicherheitsrisiken kann Ihr Unternehmen die PCI DSS-Anforderung 11 erfüllen, die ein regelmäßiges Testen von Sicherheitssystemen und -verfahren umfasst.
Eine vollständige Beschreibung der einzelnen Anforderungen finden Sie unter Payment Card Industry Data Security Standard, Version 1.1.
Verfügbare Technologien
Microsoft ermöglicht das Entwickeln von Lösungen zum Identifizieren von Sicherheitsrisi-ken, mit denen Sie Ihre PCI DSS-Anforderungen erfüllen können.
Microsoft Baseline Security Analyzer (MBSA). Wie bei der Risikobewertung beim Entwickeln zahlreicher Steuerelemente zum Schutz von Karteninhaberdaten können Sie mit MBSA in regelmäßigen Abständen jedes Sicherheitsrisiko überprüfen, das die Sicherheit von Karteninhaberdaten gefährden könnte. Sie können mit MBSA gängige fehlerhafte Sicherheitskonfigurationen in zahlreichen Microsoft-Produkten suchen, etwa im Windows-Betriebssystem, in Internetinformationsdiensten, SQL Server, Internet Explorer und Microsoft Office. MBSA sucht außerdem nach fehlenden Sicherheitsupdates, Update-Rollups und Service Packs, die unter Microsoft Update veröffentlicht wurden. Sie können MBSA über die Eingabeaufforderung oder in einer GUI ausführen und zusammen mit Microsoft Update und Windows Server Update Services verwenden. Da es extrem wichtig ist, Ihre Systeme auf dem aktuellen Stand zu halten, um Karteninhaberdaten so gut wie möglich zu schützen, kann MBSA von unschätzbarem Wert sein, um zu ermitteln, ob Ihre Produktinstallationen im Lauf der Zeit Sicherheitsrisiken für Karteninhaberdaten verursacht haben.
Weiterte Informationen finden Sie im Abschnitt über Microsoft Baseline Security Analyzer unter https://www.microsoft.com/technet/security/tools/mbsahome.mspx (möglicherweise in englischer Sprache).
Überwachen, Überprüfen und Berichten
Überwachungs- und Berichterstellungslösungen sammeln und überwachen Protokolle, die bei der Authentifizierung und dem Zugriff auf Systeme erstellt werden. Sie können diese Lösungen so konstruieren, dass bestimmte Informationen auf der Basis des PCI DSS gesammelt oder vorhandene, in Betriebssysteme oder Softwarepakete integrierte Protokolle verwendet werden.
Eine Unterkategorie der Überwachung und Berichterstellung ist das Sammeln, Analysieren und Korrelieren aller protokollierten Daten Ihres Unternehmens. Diese erfolgt mitunter mithilfe einer Dashboardlösung, die eine einfache Analyse der verschiedenen Informationen ermöglicht, die innerhalb des gesamten Unternehmens gesammelt wurden. Dank dieser Art von Lösung kann die IT-Verwaltung besser ermitteln, ob ein Zusammenhang zwischen Ereignissen besteht.
Erfüllte PCI DSS-Anforderungen
Mit Überwachungs-, Überprüfungs- und Berichterstellungslösungen können Sie die PCI DSS-Anforderung 10 erfüllen, die das Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten beinhaltet.
Verfügbare Technologien
Microsoft bietet eine Reihe von Technologien, mit denen Sie den Netzwerkzugriff überwachen und auf Karteninhaberdaten zugreifen können.
Microsoft System Center Operations Manager – Überwachungssammlung. Operations Manager 2007 kann Sicherheitsprotokolle sicher und effektiv aus Windows-Betriebssystemen extrahieren, sammeln und für spätere Analyse- und Berichtszwecke speichern. Die extrahierten Protokolle werden in einer separaten Überwachungssammlungsdatenbank gespeichert. Im Lieferumfang von Operations Manager sind Berichte für Überwachungssammlungsdaten enthalten. Mithilfe der Überwachungssammlung können verschiedene Kompatibilitätsberichte beispiels-weise für Sarbanes-Oxley-Prüfungen erstellt werden. Zudem sind damit Sicherheits-analysen wie die Angriffserkennung und unbefugte Zugriffsversuche möglich.
Weitere Informationen finden Sie im Abschnitt über Überwachungssammlungs-dienste unter https://technet.microsoft.com/en-us/library/bb381258.aspx (möglicherweise in englischer Sprache).
Microsoft Windows Vista-Infrastruktur für Ereignisprotokollierung. Verbesserungen an der Windows-Infrastruktur für Ereignisprotokollierung haben zur einfacheren Verwaltung und Überwachung des Windows Vista-Desktops geführt und bieten jetzt noch hilfreichere Informationen zur Fehlerbehebung. Strenge Standards gewährleisten, dass Ereignisse sinnvoll, verarbeitbar und gut dokumentiert sind. Zahlreiche Komponenten, die in früheren Windows-Versionen Protokollinformationen in Textdateien gespeichert haben, fügen nun dem Ereignisprotokoll Ereignisse hinzu. Mithilfe der Ereignisweiterleitung können Administratoren Ereignisse zentral von beliebigen Computern im Netzwerk aus verwalten, wodurch Probleme leichter proaktiv erkannt und Zusammenhänge zwischen Problemen ermittelt werden können, die mehrere Computer betreffen. Außerdem wurde die Ereignisanzeige vollständig neu geschrieben, sodass Benutzer nun benutzerdefinierte Ansichten erstellen, Ereignisse einfach mit Aufgaben verknüpfen und Protokolle remote von anderen Computern aus anzeigen können. Dank dieser Neuerung ist das Ereignisprotokoll für Administratoren zu einem praktischen Tool zum Beheben von Benutzerproblemen geworden.
Weitere Informationen finden Sie im Abschnitt über Windows Vista-Verwaltungsfunk-tionen unter https://technet.microsoft.com/en-us/windowsvista/aa905069.aspx (möglicherweise in englischer Sprache).
Microsoft SQL Server. SQL Server Reporting Services ist eine umfassende, servergestützte Lösung, mit der sich sowohl herkömmliche, gedruckte Berichte als auch interaktive webgestützte Berichte erstellen, verwalten und bereitstellen lassen. Reporting Services als integraler Bestandteil des Microsoft Business Intelligence Framework vereint die Datenverwaltungsfunktionen von SQL Server und Microsoft Windows Server mit den vertrauten, leistungsfähigen Anwendungen aus dem Microsoft Office-System, sodass Daten in Echtzeit geliefert werden, die die täglichen Abläufe unterstützen und eine Grundlage für anstehende Entscheidungen bilden. Sie können mit diesen Diensten Berichte zum Analysieren von Karteninhaberdaten generieren und Änderungen an den Daten verfolgen. Zudem lassen sich mit Reporting Services Netzwerknutzungsmuster und der Informationsfluss auf einfache Weise überwachen.
Weitere Informationen finden Sie auf der Microsoft SQL Server-Website unter https://www.microsoft.com/sql/default.mspx (möglicherweise in englischer Sprache).
Supportfunktionen für Betriebssysteme
NTFS-Systemzugriffssteuerungslisten. Mithilfe von NTFS-Systemzugriffssteue-rungslisten (System Access Controls Lists, SACLs) können Sie Änderungen an Dateien und Verzeichnissen in einem System verfolgen. Wenn Sie eine SACL für eine Datei oder einen Ordner festlegen, wird jede an dieser Datei oder diesem Ordner ausgeführte Aktion sowie der Auslöser der Aktion vom Windows-Betriebs-system protokolliert. SACLs können nicht für Systeme festgelegt werden, die das FAT-Dateisystem verwenden. Aus diesem Grund sollte Ihr Unternehmen für alle Volumes, auf denen Benutzer- und Karteninhaberdaten gespeichert werden, das NTFS-Dateisystemformat verwenden.
Weitere Informationen finden Sie im Abschnitt über Benutzerdaten und Einstellungs-verwaltung unter https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpusrdat.mspx (möglicherweise in englischer Sprache).
Verwalten von PCI DSS-Technologielösungen
Das Verwenden von Verwaltungsprodukten dient zwar nicht zur Erfüllung bestimmter PCI DSS-Anforderungen, Sie können damit jedoch die für Kompatibilitätszwecke implementierten IT-Steuerelemente verfolgen. Beim Erstellen eines Frameworks für IT-Steuerelemente ist es wichtig, dass Administratoren diese Steuerelemente stets zentral auf so wenigen Computern wie möglich verwalten können.
Verfügbare Technologien
Microsoft bietet zwei primäre Tools zum Verwalten des Frameworks für IT-Steuerelemen-te, die zur Erfüllung des PCI DSS und anderer gesetzlicher Vorschriften dienen.
Microsoft Forefront. Microsoft Forefront ist eine Familie von Sicherheitsprodukten, die Schutz für Clientbetriebssysteme, Anwendungsserver und die Außenbereiche des Netzwerks bieten. Sie können Forefront mit Ihrer bestehenden IT-Infrastruktur verwenden, um Ihre Server und Clientcomputer vor Malware und anderen Angriffen zu schützen, indem Sie die Komponente einfach in Anwendungsserver wie Exchange, SharePoint und Instant Messaging integrieren. Forefront kann zudem in Active Directory integriert werden und nutzt dabei ISA Server, um RADIUS, DHCP und Smartcards zu unterstützen. Darüber hinaus bietet die Komponente ein Verwaltungstool für die zentralisierte Berichterstellung und einen zentralen Ort zum Festlegen von Maßnahmen zur Richtliniensteuerung.
Weitere Informationen finden Sie im Abschnitt über Microsoft Forefront unter https://www.microsoft.com/forefront/default.mspx (möglicherweise in englischer Sprache).
Microsoft System Center. Microsoft System Center ist eine Familie von Verwaltungsprodukten, die die erforderlichen Tools zum Automatisieren der Systemverwaltung innerhalb des gesamten Unternehmens bereitstellen. Sie beinhaltet Technologien zum Automatisieren der gängigsten Verwaltungsaufgaben sowie Tools, mit denen IT-Mitarbeiter Probleme in der Computerumgebung erkennen, diagnostizieren und beheben können. Die Produkte von System Center bieten die folgenden Funktionen:
Überwachen der Hardware und Software in einer verteilten Umgebung und Bereitstellen von Tools zum Beheben etwaiger Probleme
Automatisches Installieren, Aktualisieren und Patching von Software
Implementieren von Standardprozessen zur Systemverwaltung
Sichern und Wiederherstellen von Windows-Dateiserverdaten
Erfüllen der Überwachungs- und Konfigurationsanforderungen kleinerer Unternehmen
Verwalten virtueller Computer. Da aufgrund der Hardwareentwicklung immer mehr Anwendungen auf einem Computer ausgeführt werden können, isolieren Unternehmen diese Anwendungen zunehmend durch Virtualisierung.
Angemessenes Skalieren von Installationen durch Bereitstellung von Tools zur Einschätzung der Ressourcenanforderungen
Weitere Informationen finden Sie auf der Microsoft System Center-Website unter https://www.microsoft.com/systemcenter/default.aspx (möglicherweise in englischer Sprache).
Zusammenfassung
In diesem Abschnitt werden die Technologielösungen beschrieben, mit denen Ihr Unternehmen den PCI DSS erfüllen und aufrechterhalten kann. Sie finden darin einer Erläuterung, warum diese Lösungen wichtig sind, sowie Links zu Anleitungen und Technologien von Microsoft zur Einhaltung gesetzlicher Vorschriften durch Ihr Unterneh-men.
Mit diesen Lösungen können Sie nicht nur die Sicherheits- und Kompatibilitätsstandards für Ihre IT-Umgebung bereitstellen, sondern auch die Geschäftsprozesse Ihres Unternehmens positiv beeinflussen. Konsultieren Sie vor der Implementierung einer der angegebenen Lösungen in jedem Fall Ihre Rechtsberater und Prüfer bezüglich Ihrer individuellen PCI DSS-Kompatibilitätsanforderungen, und wägen Sie die Auswirkung dieser Lösungen sorgfältig hinsichtlich Ihres gesamten Unternehmens und nicht nur hinsichtlich der Kompatibilität ab. Microsoft hat es sich zum Ziel gesetzt, detaillierte Informationen und Lösungen zur Erfüllung des PCI DSS und anderer gesetzlicher Vorschriften bereitzustellen. Sie können jedoch auch andere Quellen für weitere Informationen zu diesem komplexen und wichtigen Thema konsultieren.
Anhänge
Dieser Abschnitt enthält häufig von Kunden gestellte Fragen zu den Technologielösun-gen von Microsoft und Informationen dazu, wie diese Lösungen zur Einhaltung von PCI DSS-Anforderungen beitragen. Sie finden darin zudem eine Übersicht darüber, mit welchen Technologielösungen Ihr Unternehmen diese Anforderungen erfüllen kann.
Häufig gestellte Fragen (FAQ)
F: Warum ist es wichtig, dass mein Unternehmen den Payment Card Industry Data Security Standard einhält? Ist dies nicht ein weiterer unnötiger und kostspieliger Standard?
A: Es gibt drei Gründe, warum Ihr Unternehmen den PCI DSS erfüllen sollte. Erstens haben es sich Kartenmarken wie Visa zur Regel gemacht, finanzielle Vorteile für die Einhaltung des PCI-Standards zu bieten und Strafen für die Nichteinhaltung aufzuerle-gen. Zweitens kann die Einhaltung des Standards im Fall von Datenverlust den Haftungsumfang verringern. Drittens kann der Prozess nach einer sorgfältigen Analyse und entsprechenden Konfiguration Ihrer Systeme dazu beitragen, dass Sie Kundendaten leichter verfolgen und damit den Kundendienst und die Kundenzufriedenheit weiter verbessern können.
F: Sind die Microsoft-Technologien zur Einhaltung der PCI DSS-Kompatibilität nicht übertrieben?
A: Die Situation jedes Unternehmens ist unterschiedlich und dieses Handbuch soll so umfassend wie möglich sein. Microsoft entwickelt möglicherweise spezielle Anleitungen für vertikale Branchen. Sie können auch Ihren Microsoft-Vertreter um Unterstützung bitten. Wie bereits erwähnt können Sie bessere Geschäftsergebnisse erzielen, wenn Sie dies nicht einfach als Kompatibilitätsprojekt sehen, sondern als Verbesserung zum Verfolgen und Verwalten von Kundeninformationen.
F: Dieses Whitepaper beschreibt zahlreiche Technologien zur Einhaltung des PCI DSS, aber nur wenige Kompatibilitätslösungen. Warum?
A: Jede Situation ist einzigartig, weshalb es nicht möglich ist, eine generelle Lösung für alle anzubieten. Microsoft hat es sich zum Ziel gesetzt, Ihrem Unternehmen, wie in der Zusammenfassung erwähnt, weitere Detailinformationen bereitzustellen.
F: Wie kann Microsoft dazu beitragen, dass mein Unternehmen eine PCI DSS-Zertifizierung erhält?
A: Microsoft kann Ihnen Software und Dienste zur Erfüllung der PCI DSS-Anforderungen anbieten, damit jedoch nicht die Kompatibilität Ihres Unternehmens gewährleisten. Als Händler liegt uns sehr daran, Ihrem Unternehmen zu helfen, diese Anforderungen zu erfüllen, die Kompatibilität Ihres Unternehmens wird jedoch von Ihren Prüfern und den Kartenmarken bestimmt, mit denen Sie arbeiten.
F: Besagt Abschnitt 3.4.1, dass Microsoft-Datenschutztechnologien nicht verwendet werden können?
A: Nein. Der vollständige Abschnitt lautet:
„Bei Verwendung von Datenträgerverschlüsselung (anstelle von Datenbankverschlüsselung auf Datei- oder Spaltenebene) muss der logische Zugriff von systemeigenen Zugriffssteuerungsmechanismen für Betriebssysteme verwaltet werden (z. B. durch den Ausschluss von lokalen System- oder Active Directory-Konten). Entschlüsselungsschlüssel dürfen nicht mit Benutzerkonten verknüpft sein.“
Microsoft-Datenschutztechnologien verknüpfen Entschlüsselungsschlüssel nicht mit Benutzerkonten. So verknüpft die BitLocker-Laufwerkverschlüsselung zum Beispiel Entschlüsselungsschlüssel (PINs oder Wiederherstellungskennwörter) nie mit Benutzerkonten in Active Directory. Auch das verschlüsselnde Dateisystem (Encrypting File System, EFS) verknüpft Entschlüsselungsschlüssel nicht mit Benutzerkonten. Ihr Unternehmen kann einer Person das Entschlüsseln eines Dokuments verweigern, ohne die Systemzugriffsrechte zu ändern. In bestimmten Konfigurationen versucht EFS, Prozesse für Benutzer zu vereinfachen, indem es einige Entschlüsselungsschlüssel in die Benutzerprofile bestimmter Benutzer einfügt. Dieses Verhalten kann jedoch durch eine entsprechende Konfiguration geändert werden.