Best Practices zur Compliance mit PCI DSS v4.0 im Bereich API-Sicherheit

Die Anforderungen der ursprünglichen Version decken Sicherheitsgrundlagen ab, die heute genauso wichtig sind wie bei ihrer Veröffentlichung im Jahr 2006. Zum Beispiel:

• Überwachung und Kontrolle des Zugriffs auf alle Verwaltungskonten in allen IT-Systemen, die Karteninhaberdaten verarbeiten oder speichern

• Zuweisung des Zugriffs auf System- und Karteninhaberdaten auf Need-to-know-Basis und Definieren der Zugriffsanforderungen nach Rolle

Das Problem besteht darin, dass die heutige Bedrohungslandschaft komplexer ist als noch 2006.

Unternehmen müssen zwar immer noch berücksichtigen, dass Angreifer Bereiche wie privilegierte Konten und Nutzer mit übermäßigen Berechtigungen angreifen, aber heutzutage müssen sie auch darauf achten, ihre Compliance-Programme anzupassen, um auf Angreifer reagieren zu können, die häufig die Tausenden von APIs innerhalb von Zahlungstechnologien ins Visier nehmen. Diese Angreifer wissen, dass APIs leicht ausgenutzt werden können und eine effiziente Möglichkeit zum Diebstahl von Karteninhaberdaten darstellen.

Daher muss Ihr Unternehmen, um die Vorgaben von PCI DSS v4.0 zu erfüllen, API-Bedrohungen verstehen und abwehren. In diesem Blogbeitrag geben wir Einblicke in die Risiken, Anforderungen und Möglichkeiten zur Einhaltung dieser Vorschriften.

Insgesamt konzentriert sich PCI DSS v4.0 auf vier Hauptziele:

1. Weiterhin die Sicherheitsanforderungen der Zahlungsbranche erfüllen

2. Sicherheit als kontinuierlichen Prozess verstehen

3. Unternehmen Flexibilität bei der Erfüllung der Anforderungen ermöglichen (z. B durch neue Tools oder Kontrollen)

4. Validierungsmethoden und -prozesse optimieren

PCI DSS v4.0 nennt APIs explizit als einen Schlüsselbereich, der Transparenz und Schutz erfordert. Hier kommen alle vier Ziele ins Spiel. Das dritte Ziel allerdings (die Flexibilität bei der Verwendung neuer Tools und Kontrollen) ist angesichts der einzigartigen Risiken von APIs besonders wichtig. Zum Beispiel:

• APIs bilden den Kern Ihrer kundenorientierten digitalen Produkte und Dienste. Ein durchschnittliches Unternehmen verfügt je nach Größe über 15.000 bis 25.000 APIs, die alle einen ununterbrochenen Austausch von Daten gewährleisten sollen. 

• Zu diesen Daten gehören auch vertrauliche Kundendaten. Für jede digitale Zahlung gibt es eine API im Hintergrund, die Daten zwischen Anwendungen, Systemen, Drittanbietern usw. überträgt.

• Eine einzige kompromittierte API kann dazu führen, dass Millionen von Datensätzen gestohlen und veröffentlicht werden können, oder Angreifer sie sperren und erst gegen ein Lösegeld wieder freigeben. Und exponierte oder falsch konfigurierte APIs sind weit verbreitet und leicht zu missbrauchen – sie sind häufig ungeschützt, unentdeckt und werden nicht verwaltet.

Regulierungsbehörden sind sich des Risikos für APIs bewusst, und Ihr Unternehmen muss nachweisen, dass es über die Transparenz und Kontrollmechanismen verfügt, um eine Gefährdung von Daten zu verhindern.

Laut dem Verizon Data Breach Investigations Report 2023 werden in mehr als einem Drittel der Sicherheitsvorfälle (37 %) Zahlungskartendaten kompromittiert. PCI DSS v4.0 enthält neue Anforderungen in den Bereichen Multi-Faktor-Authentifizierung und Passwortlänge, um das menschliche Element in der Angriffsfläche der Zahlungsbranche abzusichern.

Man darf jedoch nicht vergessen, dass Datendiebstahl nicht immer die bekannten, menschenorientierte Angriffsmethoden wie das Phishing nach Mitarbeiterpasswörtern umfasst.

Beispielsweise werden 18 % der Angriffe auf E-Commerce-Unternehmen mit schädlichem Code durchgeführt, der in Webseiten zur Kartenverarbeitung eingebettet ist. Die heutigen Angreifer werden immer raffinierter und suchen sich automatisierte, nicht menschliche Komponenten der IT-Umgebung, die oft nicht ordnungsgemäß gesichert sind, als Ziele aus – wie APIs.

78 Prozent der Unternehmen haben laut unserer Recherche bereits einen API-bezogenen Sicherheitsvorfall erlebt. Aufgrund der Dringlichkeit des Problems von API-Bedrohungen enthält PCI DSS v4.0 neue Sicherheitsregeln, Richtlinien und Best Practices für APIs. Lassen Sie uns tiefer in die Materie eintauchen, indem wir Anforderung 6.2.3 untersuchen.

Anforderung 6.2.3 konzentriert sich auf die Notwendigkeit, dass Unternehmen ihren maßgeschneiderten Anwendungscode (d. h. Anwendungen, die von einem Drittanbieter entwickelt wurden, keine handelsüblichen Standardanwendungen) prüfen müssen, um sicherzustellen, dass keine Schwachstellen in die Produktion gelangen.

Die Anleitungen in dieser Anforderung dienen dazu, zu bestätigen, dass die Software eines Unternehmens die Funktionen externer Komponenten (Bibliotheken, Frameworks, APIs usw.) sicher nutzt – was die Bedeutung von APIs in der allgemeinen Software-Lieferkette unterstreicht – und definieren, was zu ihrem Schutz erforderlich ist.

APIs sind in modernen Anwendungsumgebungen zur Standardmethode für Konnektivität und Datenaustausch geworden. Vor diesem Hintergrund ist ihr Schutz mit einem Ansatz sowohl für die Zeit vor der Produktion („Shift Left“) als auch nach der Produktion („Shield Right“) unerlässlich, um Ihr digitales Unternehmen gegen Angriffe zu rüsten.

Im Folgenden finden Sie sechs Best Practices für die API-Sicherheit, die Sie bei der Einhaltung von Anforderung 6.2.3 unterstützen.

1. Überprüfen Sie die Verwendung von API-basierten Komponenten und deren Sicherheitsstatus (z. B. durch das Finden von Fehlkonfigurationen, die zu Schwachstellen führen. Dazu zählt auch die Verwendung schwacher Verschlüsselungscodes, wie im Standard beschrieben).

2. Überprüfen Sie das normale und erwartete Verhalten von APIs und implementieren Sie Kontrollmechanismen, um Cyberkriminelle daran zu hindern, Ihre Systeme zu missbrauchen (überprüfen Sie beispielsweise das Verhalten der Anwendung, um Logikschwachstellen zu erkennen).

3. Erkennen Sie Frameworks von Drittanbietern, die für die Stromversorgung Ihrer APIs verwendet werden, und ermitteln Sie, ob diese veraltet und anfällig sind.

4. Erstellen Sie ein vollständiges Inventar all Ihrer APIs, einschließlich der verschiedenen Versionen der ausgeführten APIs. So erhalten Sie einen Einblick in potenzielle nicht dokumentierte Funktionen und Backdoors, um die Sie sich kümmern müssen.

5. Überprüfen Sie die Sicherheit Ihres API-Codes und achten Sie darauf, dass keine API-bezogenen Schwachstellen in die Produktion gelangen.

6. Implementieren Sie Best Practices für die sichere Codierung von APIs, mit denen Sie einen programmatischen Ansatz zur kontinuierlichen sicheren Bereitstellung von Code verfolgen können.

Der PCI SSC hat PCI DSS v4.0 auch zwei weitere Abschnitte hinzugefügt, in denen es um API-Sicherheit geht. Im Folgenden finden Sie eine Zusammenfassung der beiden zusätzlichen Anforderungen, die Sie erfüllen müssen.

• Anforderung 6.3.2 fordert das Führen eines Inventars von maßgeschneiderter und nutzerdefinierter Software sowie von Softwarekomponenten von Drittanbietern, die in maßgeschneiderte und nutzerdefinierte Software integriert sind, um die Verwaltung von Schwachstellen und Patches zu erleichtern.

• Anforderung 6.2.2 behandelt Schulungen für Softwareentwickler, die an maßgeschneiderter und nutzerdefinierter Software arbeiten. Darin ist festgelegt, dass Entwickler mindestens einmal alle zwölf Monate in Bezug auf die Sicherheit, die für ihre Tätigkeit relevant ist, geschult werden müssen. Das umfasst auch das sichere Softwaredesign und sichere Codierungstechniken. Diese Schulungen umfassen Tools für Sicherheitstests und die Verwendung dieser Tools zur Erkennung von Schwachstellen in Software.