Cyber-Ark: Admin-Passwort-Management ist Grundbedingung für PCI-Zertifizierung
ID: 101204
Heilbronn, 8. Juli 2009 - Die Datenschutz-Richtlinien der Kreditkartenindustrie fordern von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Sicherheitsexperte Cyber-Ark sieht bei vielen Firmen aber einen erheblichen Nachholbedarf: Sie vernachlässigen wesentliche Vorschriften sträflich
Besonders privilegierte Accounts, wie sie IT-Administratoren besitzen, stellen in jedem Unternehmen ein erhebliches Sicherheitsrisiko dar. Die Passwörter der administrativen Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen. Ein verantwortungsvoller Umgang mit den Kennwörtern ist jedoch die Ausnahme. Kernproblem ist dabei, dass sich auf den IT-Systemen teilweise identische und oft leicht zu entschlüsselnde Passwörter finden. Sie werden zudem meistens nur selten oder sogar nie geändert. Der Grund ist klar: Die Passwörter werden in der Regel manuell verwaltet und eine Änderung ist mit einem erheblichen zeitlichen Aufwand verbunden.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Hier werden eindeutig PCI-Vorschriften missachtet. Eine Lösung der Problematik ist nur mit der Implementierung einer Applikation möglich, mit der alle privilegierten administrativen Accounts automatisch verwaltet und überwacht werden können."
Cyber-Ark bietet hier die Lösung Enterprise Password Vault an, die eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Die Passwörter befinden sich dabei verschlüsselt in einem "digitalen Tresor", dem Vault. Durch eine vollständige Zugriffskontrolle und Protokollierung kann die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden.
Ralph Wörn ergänzt: "Eine Feststellung bei unseren Audits ist der unbedarfte Umgang mit in Software-Code eingebetteten Passwörtern. Die Änderungsintervalle werden oftmals nicht eingehalten. Und zudem sind die Passwörter meistens einem größeren Personenkreis zugänglich. Das verletzt die Anforderungen des PCI-Standards."
Die Cyber-Ark-Lösung in diesem Bereich lautet Application Identity Manager. Er ermöglicht die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files - den sogenannten Hardcoded Software Accounts. Mit der Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im digitalen Datentresor von Cyber-Ark abgelegt, überprüft und verwaltet werden.
Cyber-Ark-Lösungen für ausgewählte PCI-Vorschriften im Überblick:
* In Punkt 2 der PCI-Regelungen wird die Änderung von Kennwörtern gefordert. Mit dem Enterprise Password Vault erfolgt eine periodische Veränderung von Passwörtern auf Servern und Appliances.
* Punkt 3 regelt den Schutz der gespeicherten Daten von Kreditkarteninhabern detailliert. Cyber-Ark bietet hier PCI-konforme Lösungen von einer Verschlüsselung mit AES 256-Bit und SHA-1 bis zur Sicherung und regelmäßigen Änderung der Encryption Keys.
* In Punkt 10 wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern gefordert. Cyber-Ark erfüllt diese Anforderungen mit einer detaillierten, revisionssicheren Protokollierung der Passwortnutzung - alle Aktivitäten werden in einem AuditLog aufgezeichnet.
* Im Unterpunkt 10.1 wird sogar konkret gefordert, dass ein Prozess zu implementieren ist, der es ermöglicht, den Zugriff auf Systemkomponenten - insbesondere auch von administrativen Accounts - einem individuellen User zuzuordnen. Bei der Cyber-Ark-Lösung erfolgt eine Personalisierung von Shared-Accounts auf Administratorenebene. Damit ist eine Nachvollziehbarkeit der Verwendung eines generischen Accounts bis auf die Personenebene gewährleistet.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Ãœber Cyber-Ark
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich "Privileged Identity Management". Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler(at)cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber(at)pr-com.de
www.pr-com.de
Amtsgericht München, HRB-Nummer 114932
Geschäftsführer: Alain Blaes
Datum: 08.07.2009 - 11:53 Uhr
Sprache: Deutsch
News-ID 101204
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Natascha Müller
Stadt:
München
Telefon: 08959997808
Kategorie:
New Media & Software
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 08.07.2009
Diese Pressemitteilung wurde bisher 437 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Cyber-Ark: Admin-Passwort-Management ist Grundbedingung für PCI-Zertifizierung"
steht unter der journalistisch-redaktionellen Verantwortung von
PR-COM GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
