Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan kennt über 5000. Er hilft Ihnen, Sicherheitslücken zu sehen und relevante Schwachstellen zu beseitigen. Bei einem positiven Gesamtergebnis ist er ein anerkannter Nachweis dafür, dass Ihre Systeme keine kritischen Sicherheitslücken aufweisen und selbst den strengen Sicherheitsstandards der Kreditkartenindustrie genügen. Automatisierter Security Scan pro IP-Adresse Dokumentation aller gefundenen Schwachstellen und Anleitungen zur Beseitigung Ihre Vorteile auf einen Blick: Sie überprüfen Ihre Systeme mit einer von der Kreditkartenindustrie entwickelten, international anerkannten Methode. Bewertung des Risikopotenzials 1 minimal 2 medium 3 serious 4 critical 5 urgent Der Scan ist schnell und preiswert und kann jederzeit wiederholt werden. Das Risikopotenzial gefundener Schwachstellen wird erläutert und bewertet. Gesamturteil nach standardisierten Sicherheitskriterien Sicherheitslücken können dank detaillierter Anleitungen sofort geschlossen werden. Sie benötigen keine Software oder andere Hilfsmittel für einen PCI Security Scan. Die objektive und standardisierte Vorgehensweise garantiert vergleichbare Ergebnisse. Der Executive Report mit dem Gesamtergebnis ist ein Sicherheitsnachweis für das Management und Geschäftspartner. Ihre Ansprechpartner bei der Dunkel GmbH sind versierte Experten in allen Fragen der Netzwerk- und Systemsicherheit und können Sie bei der Umsetzung der Sicherheitsempfehlungen unterstützen. PASSED 2
Was ist ein PCI Security Scan? ein von der Kreditkartenindustrie standardisiertes Verfahren zur Prüfung Ihrer Systeme auf bekannte Schwachstellen und Sicherheitslücken. Das Besondere am PCI Scan ist, dass die gefundenen Sicherheitsmängel nicht nur benannt, sondern auch entsprechend ihres Risikopotenzials bewertet und zu einem Gesamtergebnis zusammengefasst werden. Ein System bekommt die Bewertung BESTANDEN, wenn keine gravierenden Sicherheitsprobleme gefunden wurden. Die Scan Ergebnisse werden in einem englischsprachigen Scan Bericht dokumentiert. Severity Level 0 Severity 5 1 Severity 4 5 Severity 3 Vulnerabilities 3 Severity 2 4 Severity 1 13 Total Severity Im Executive Report steht u.a. wie viele Sicherheitslücken in jeder Risikokategorie gefunden wurden. 3
Was wird überprüft? alle aus dem Internet erreichbaren Systeme, wie Webserver und Applikationen, Mailserver, DNS-Server, Netzwerkkomponenten, Firewalls und andere Sicherheitssysteme. Der Scan identifiziert Betriebssysteme, Applikationen und Services, überprüft Ports und sucht systematisch nach Schwachstellen, die für Angriffe ausgenutzt werden könnten. Der PCI Security Scan kann bei Bedarf auch on-site für interne, aus dem Internet nicht erreichbare Systeme durchgeführt werden. Results: 5 Microsoft IIS CGI Filename Decode Error Vulnerability port 80/tcp 5 Microsoft Index Server and Indexing Service ISAPI Extension Buffer Overflow Vulnerability port 80/tcp 5 Microsoft IIS 4.0/5.0 Extended UNICODE Remote Execution Vulnerability port 80/tcp 4 Microsoft IIS HTR ISAP Extension Heap Overflow Vulnerability port 80/tcp 4 Microsoft IIS Administrative Pages Cross-Site Scripting Vulnerability port 80/tcp 4 Windows TCP/IP Remote Code Execution and Denial of Service Vulnerabilities (MS05-019) 3 Microsoft SQL Server Patch Not Installed (MS00-092) port 1433/tcp 3 Microsoft SQL Server Cumulative Patch not Installed (MS02-034) port 1433/tcp 2 MMicrosoft SQL Server Text Format Functions Contain Unchecked Buffer port 1433/tcp 2 WebDAV HTTP Method PROPFIND Enabled port 80/tcp Potential Vulnerabilities: 5 Microsoft IIS 5.0 In-Process Table Privilege Elevation Vulnerability port 80/tcp 4 Microsoft IIS 4.0 ISAPI Buffer Overflow Vulnerability port 80/tcp 4 Microsoft IIS Indexed Directory Disclosure Vulnerability port 80/tcp 3 Microsoft IIS 4.0/5.0Session ID Cookie Marking Vulnerability port 80/tcp 2 Microsoft IIS Failure To Log Undocumented TRACK Requests Vulnerability port 80/tcp Information Gathered: 3 NetBIOS Bindings Information port 80/tcp 2 Microsoft IIS ISAPI Application Filters Mapped To Home Directory port 80/tcp 1 Default Web Page port 80/tcp 1 Web Server Version port 80/tcp Wie wird überprüft? automatisiert und über das Internet gemäß den PCI Security Scanning Procedures. Für jede IP-Adresse wird ein eigenständiger Scan durchgeführt. Es handelt sich um non-intrusive Scans, d.h. gefundene Schwachstellen werden nicht ausgenutzt. Die Scans haben deshalb in der Regel keine Auswirkungen auf den ordnungsgemäßen Betrieb der Systeme. Da Netzwerke und Internetsysteme immer wieder Veränderungen unterworfen sind und ständig neue Sicherheitslücken beschrieben werden, empfehlen wir, den PCI Security Scan in regelmäßigen Abständen zu wiederholen. Auszug aus einem Scan Report mit Schwachstellen in einem Windows System. Jeder Punkt wird im Bericht ausführlich erläutert und mit Empfehlungen ergänzt. 4
Overall PCI Status: Live IP Addresses Scanned Security Risk Rating PCI Status PCI Sicherheit nach Kreditkartenstandard PCI steht für Payment Card Industry. Diese hat 2004 international verbindliche Sicherheitsstandards beschlossen, um die Daten von Kreditkartenhalter besser zu schützen. Der PCI Security Scan ist Pflicht für Händler und Unternehmen, die auf ihren Systemen Kreditkartendaten ab einer bestimmten Menge verarbeiten, speichern oder übertragen. Da wir die geforderten Security Scans durch einen zugelassenen ASV (Approved Scanning Vendor) durchführen lassen, sind diese auch für zertifizierungspflichtige Unternehmen geeignet und werden anerkannt. 10.71.209.026 3 10.71.209.027 4 10.71.209.029 2 PASSED Nur wenn keine ernsthaften Schwachstellen gefunden werden konnten, erfüllen die Systeme die PCI Sicherheitsstandards. Relevanz auch ohne Kreditkartendaten Sie meinen, ein Security Scan nach Kreditkartenstandard ist zu übertrieben für Ihr Unternehmen? Ganz und gar nicht. Der PCI Security Scan konzentriert sich auf gängige Schwachstellen, die jedem Unternehmen zum Verhängnis werden können, insbesondere wenn geschäftskritische Systeme betroffen sind. Eine korrekt konfigurierte Firewall, aktuelle Security Patches, sauber konfigurierte Webserver und Services ohne leicht ausnutzbare Sicherheitslücken sind allgemeingültiger Standard. Der Scan Bericht ist ein hervorragendes Hilfsmittel, um relevante Schwachstellen und Konfigurationsmängel erkennen und systematisch beseitigen zu können. Darüber hinaus ist ein Gesamturteil: Bestanden nach PCI Data Security Standard ein überzeugendes Argument für Lieferanten, Geschäftspartner und Kunden und ein gutes Gefühl für IT-Verantwortliche und das Management. 5