Sie sind hier: Home » Markt » Hintergrund

Problem: Verwaltung privilegierter Benutzerkonten


PCI-Compliance: Admin-Passwort-Management ist Grundbedingung für PCI-Zertifizierung
Besonders privilegierte Accounts, wie sie IT-Administratoren besitzen, stellen in jedem Unternehmen ein erhebliches Sicherheitsrisiko

(09.07.09) - Die Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Sicherheitsexperte Cyber-Ark sieht bei vielen Firmen aber einen erheblichen Nachholbedarf: Sie vernachlässigen wesentliche Vorschriften sträflich.

Das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS) umfasst eine Liste von zwölf Sicherheitsanforderungen an die Rechnernetze von Handelsunternehmen und Dienstleistern, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln.

Ralph Wörn, CEO der Acertigo AG, die auf Compliance-Services für die Payment-Card-Industrie wie Validierung und Zertifizierung nach dem PCI-Standard spezialisiert ist, betont: "Bei vielen Auditierungen müssen wir die Verwaltung der privilegierten Benutzerkonten bemängeln. Auch wenn die Unternehmen dazu hinreichend organisatorische Prozesse definiert haben, gibt es bei der laufenden Einhaltung der Vorgaben zum Teil noch sehr große Lücken."

Besonders privilegierte Accounts, wie sie IT-Administratoren besitzen, stellen in jedem Unternehmen ein erhebliches Sicherheitsrisiko dar. Die Passwörter der administrativen Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen.

Ein verantwortungsvoller Umgang mit den Kennwörtern ist jedoch die Ausnahme. Kernproblem ist dabei, dass sich auf den IT-Systemen teilweise identische und oft leicht zu entschlüsselnde Passwörter finden. Sie werden zudem meistens nur selten oder sogar nie geändert. Der Grund ist klar: Die Passwörter werden in der Regel manuell verwaltet und eine Änderung ist mit einem erheblichen zeitlichen Aufwand verbunden.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Hier werden eindeutig PCI-Vorschriften missachtet. Eine Lösung der Problematik ist nur mit der Implementierung einer Applikation möglich, mit der alle privilegierten administrativen Accounts automatisch verwaltet und überwacht werden können."

Ralph Wörn ergänzt: "Eine Feststellung bei unseren Audits ist der unbedarfte Umgang mit in Software-Code eingebetteten Passwörtern. Die Änderungsintervalle werden oftmals nicht eingehalten. Und zudem sind die Passwörter meistens einem größeren Personenkreis zugänglich. Das verletzt die Anforderungen des PCI-Standards." (Cyber-Ark: Acertigo: ra)

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Acertigo: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hintergrund

  • Datenkontrolle im Zeitalter der KI

    Keepit veröffentlichte ihren Berichts "Intelligent Data Governance: Why taking control of your data is key for operational continuity and innovation" (Intelligente Data-Governance: Warum die Kontrolle über Ihre Daten entscheidend für betriebliche Kontinuität und Innovation ist). Der Bericht befasst sich mit der grundlegenden Bedeutung der Datenkontrolle im Zeitalter der KI, wobei der Schwerpunkt auf der Sicherstellung der Cyber-Resilienz und Compliance moderner Unternehmen liegt.

  • Vorbereitung wird zum Wettbewerbsfaktor

    Zwischen dem 14. und dem 28. April 2025 mussten Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) geraten damit viele IT-Dienstleister ohne unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck.

  • Investitionen in Photovoltaikprojekte

    Vor 25 Jahren schuf das Erneuerbare-Energie-Gesetz (EEG) die Grundlage für den erfolgreichen Ausbau der Photovoltaik in Deutschland. Feste Einspeisevergütungen, garantierte Laufzeiten und unbürokratische Abwicklung sorgten für Vertrauen - nicht nur bei Projektierern, sondern auch bei Banken und institutionellen Investoren. "Diese Planbarkeit ermöglichte umfangreiche Investitionen in Photovoltaikprojekte", weiß Thomas Schoy, Mitinhaber und Geschäftsführer der Unternehmensgruppe Privates Institut. "Die damals garantierten Erlöse deckten Finanzierungskosten, Betriebsausgaben und Risikozuschläge gleichermaßen zuverlässig ab."

  • Bayern verstärkt Kampf gegen Geldwäsche

    Allein in Deutschland ist nach Schätzungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Geldwäsche bis zu 100 Milliarden Euro im Jahr auszugehen. Bayern verstärkt im Kampf gegen Geldwäsche seine Strukturen erneut und erweitert die Kompetenzen der bei der Generalstaatsanwaltschaft München angesiedelten Zentral- und Koordinierungsstelle Vermögensabschöpfung (ZKV) auf Geldwäsche.

  • Von Steuerreform bis Deutschlandfonds

    Benjamin Bhatti, Geschäftsführer der bhatti.pro Steuerberatungsgesellschaft mbH, durchforstet die Wahlprogramme der möglichen Koalitionspartner und betrachtet ihre Steuervorhaben aus wirtschaftlicher und politischer Sicht.

Neuer Anlegerschutz: Banken müssen IT aufrüsten Ganzheitliche Lösung für Compliance-Organisation

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen