Bußgeldbescheid des ICO gegen Marriott: PCI DSS und trotzdem nicht sicher?
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz im Fokus
Anna Cardillo und Manuel Atug
Bußgeldbescheid des ICO gegen Marriott: PCI DSS und
trotzdem nicht sicher?
Mit Bescheid vom 30.10.2020 verhängte die britische Datenschutzbehörde ICO gegen Marriott International Inc. ein
Bußgeld in Höhe von 18,4 Mio. britische Pfund wegen Verletzung der Pflichten aus Art. 5 Abs. 1 lit. f, 32 DSGVO. Mar-
riott habe personenbezogene Daten nicht in einer Weise verarbeitet, die eine angemessene Sicherheit der perso-
nenbezogenen Daten gewährleistet. Trotz Brexit lohnt sich ein Blick in den 91-seitigen Bescheid der Nachbarn, denn
die dort beschriebenen Versäumnisse sind auch in deutschen Unternehmen sowie Behörden häufig anzutreffen. Der
Schwerpunkt des Beitrags liegt dabei auf den technischen und organisatorischen Aspekten.
Was war passiert? ten, dass jeder Zugriff auf das CDE nur mittels MFA mög-
Im Jahr 2014 wurden die IT-Systeme der Hotelkette Star- lich sei.
wood durch unbekannte Angreifer kompromittiert. Die
Angreifer verschafften sich Zugang zum Cardholder Data Unzureichende Überwachung von Konten
Enviroment (CDE) und Zugriff auf dort gespeicherte per- Vorwerfbar sei Marriott jedoch, dass keine geeigneten
sonenbezogene Daten der Hotelgäste, einschließlich über- Maßnahmen ergriffen worden seien, um unbefugte Aktivi-
wiegend unverschlüsselter Passdaten und verschlüsselter täten von (legitimierten) Benutzern zu erkennen und zu
Kreditkarteninformationen. Im Jahr 2016 erwarb Marriott verhindern. Marriott habe versäumt, eine angemessene
die Hotelkette Starwood mit IT-Systemen inkl. der „einge- laufende Überwachung der Benutzeraktivitäten, insbeson-
nisteten Angreifer“. Die Angreifer weilten unbemerkt über dere der Aktivitäten privilegierter Konten, einzurichten.
Jahre bis in den Herbst 2018 hinein in den IT-Systemen und
hatten sich inzwischen Zugang zu personenbezogenen Da- Was sind privilegierte Konten?
ten von rund 339 Mio. Hotelgästen (weltweit) innerhalb Privilegierte Konten haben besondere oder erweiterte
des Starwood-Netzwerks verschafft. Dieser Zugang ermög- Rechte, so dass mit ihnen wesentliche Systemeinstellun-
lichte es den Angreifern, mehrfach personenbezogene Da- gen und -konfigurationen geändert werden können. Bei-
ten von Starwood-Gästen zu exportieren. Dazu erstellten spielsweise können damit weitere Dienste gestartet oder
die Angreifer zunächst Tabellen mit bestimmten Datenka- angepasst und umkonfiguriert werden, Software nachins-
tegorien. Als die Angreifer eine Tabelle mit Kreditkartenin- talliert oder auch Nutzer hinzugefügt oder bestehenden
haberdaten erstellten, wurde am 7. September 2018 ein Nutzerrechte erweitert und angepasst werden. Unter
Alarm ausgelöst und die Angreifer wurden entdeckt. Ande- Linux allgemein bekannt ist z. B. das privilegierte Konto
re von den Angreifern zuvor erstellte Tabellen mit Gäste- root und unter Windows das Konto Administrator.
daten enthielten keine Zahlungsinformationen, dafür aber
Reservierungsdaten sowie Passnummern und lösten kei- Wie überwacht man diese nach best practice?
nen Alarm aus. Marriott hatte offensichtlich Sicherheits- Idealer Weise ist sichergestellt, dass alle Administratoren
maßnahmen entsprechend dem Anforderungskatalog PCI mit ihrem Nutzerkonto arbeiten und nur die administrativ
DSS (Payment Card Industry Data Security Standard) um- relevanten Befehle und Tätigkeiten mit den privilegierten
gesetzt, von diesen Maßnahmen wurden allerdings nicht Rechten als Administrator ausführen. Dies kann z. B. unter
alle Daten der Gäste abgedeckt. Linux mit sudo und unter Windows mittels run as (oder
Ausführen als) sichergestellt werden. Ein „shared admin
Unzureichende Multi-Faktor-Authentifikation account“ entspricht darüber hinaus auch nicht mehr dem
Der ICO stellte fest, dass in tatsächlicher Hinsicht ganz of- Stand der Technik.
fensichtlich nicht alle Benutzerkonten und Systeme mit
Zugriffsmöglichkeit auf das CDE mittels Multi-Faktor-Au- Es muss eine eindeutige Zuordnung erfolgen können, un-
thentifizierung (MFA) gesichert waren. Dies führe indes ter welchem Nutzerkonto welche Befehle ausgeführt wur-
nicht zu einem Verstoß Marriotts gegen Art. 5 Abs. 1 lit. f, 32 den. So kann wesentlich besser nachvollzogen werden, an
DSGVO. Marriott habe sich von Starwood vertraglich zusi- welcher Stelle und vor allem was genau passiert ist, wenn
chern lassen, dass der Zugriff auf das CDE nur mittels MFA es einen Vorfall gab. Unter den verschiedenen Betriebssys-
möglich sei. Des Weiteren habe Marriott auf zwei Reports temen gibt es unterschiedliche Methoden, wie ein „Audit
of Compliance von unabhängigen PCI DSS-Auditoren am Trail“ erzeugt wird, mit dem nachvollzogen werden kann,
29.04.2016 (vor Übernahme) und am 23.05.2017 (nach welche Befehle der jeweilige privilegierte Nutzer zu wel-
Übernahme) vertrauen dürfen. Die Auditoren bescheinig- chem Zeitpunkt ausgeführt hat. Dabei sind aber auch die
104 www.datenschutz-berater.de | Nr. 04/2021 | DATENSCHUTZ-BERATER
Datenschutz im Fokus
Datenbanken zu berücksichtigen und dort ist ebenfalls Marriott hatte hierbei zwar Produkte wie IBM Guardium
ein Audit Trail zu aktivieren. Ebenso in den Middleware eingesetzt, um die Aktivitäten in der Datenbank innerhalb
Systemen und am Frontend, also in der Anwendung des CDE mit folgenden Funktionen zu überwachen: Ers-
selbst. tens protokollierte es alltägliche Aktivitäten wie das Erstel-
len Lesen, Aktualisieren oder Löschen von Daten innerhalb
Hierzu gibt es gängige Anhaltspunkte und Merkmale, die einer Datenbank. Zweitens gab es unter bestimmten Um-
dabei aufgezeichnet werden sollten, beispielweise: ständen Warnmeldungen aus. Ungewöhnliche, eben nicht
• Alle Aktionen, die als Nutzer mit erweiterten Rechten alltägliche, Aktivitäten legitimer Benutzerkonten, wie z. B.
vorgenommen wurden; Durchführung eines kompletten „Dump“ der Datenbank
• Alle ungültigen Zugriffsversuche; (vollständige Kopie oder umfangreicher Auszug der Inhal-
• Änderungen an den Identifizierungs- und Authentifizie- te) wurden indes nicht überwacht oder protokolliert.
rungsmechanismen;
• Rechteanpassungen bei Nutzerkonten; Im Geschäftsbetrieb sollte solch eine Aktivität eher selten
• Veränderungen an Prüfprotokollen und Logdateien und vorkommen und damit auch auffallen. Warnmeldungen
Zugriffsversuche auf die Audit Trails selbst. waren zudem nur für Auffälligkeiten bei Tabellen, die Zah-
lungskarteninformationen beinhalteten, aktiviert. Aber
Die Audit Trail Logeinträge sollten dabei die gängigen Pa- ohne Protokollierung – mittels geeigneter Use Cases –
rameter für die Nachvollziehbarkeit beinhalten wie Benut- können diese wesentlichen Auffälligkeiten wie ein Daten-
zeridentifizierung, Ereignistyp, Datum und Uhrzeit, Anga- bank-Dump eben nur schwerlich bemerkt werden. Marri-
be von Erfolgen oder Fehlschlägen, Ereignisursprung und ott verfügte über die Möglichkeiten, denn die geeignete
Identität oder Name der betroffenen Komponente (Daten, Anwendung war vorhanden und die entsprechende Konfi-
Systemkomponenten oder Ressourcen). Diese Audit Trails gurationsanpassung war recht einfach realisierbar.
werden dann vor unbefugten Zugriffen oder Veränderun-
gen geschützt und idealer Weise auf einem zentralen Pro- Marriott verteidigte sich in dem Zusammenhang damit,
tokollserver oder einem SIEM (Security Incident Event dass IBM Proventia und McAfee IntruShield, zwei Systeme,
Manager) abgelegt. die Protokolle erzeugen und aggregieren, eingesetzt wor-
den seien. Dieser Einwand überzeugte den ICO zu Recht
Eine Auswertung dieser Audit Trails und Protokolldaten nicht. Es gibt verschiedene Ziele, die man mit unterschied-
kann dann – durchaus auch automatisiert – mit geeigne- lichen Anwendungen, die Protokolle erzeugen, erreichen
ter Softwareunterstützung vorgenommen werden, indem kann und will. Proventia und IntruShield sind netzwerkba-
man sog. „Use Cases“ definiert und diese dann täglich sierte Intrusion Detection Systeme, welche Angreifer im
nach Anomalien und Auffälligkeiten auswertet und immer Netzwerk erkennen sollen. Sie sind daher von ihrer Grund-
wieder auf die gelebten Businessprozesse des Unterneh- funktion her nicht dafür vorgesehen, die Protokollierung
mens justiert. Auch hier handelt es sich wie so oft um ei- in der Datenbank vornehmen zu können oder diese auszu-
nen fortlaufenden Prozess und keine einmalige Konfigu- werten und dafür Alarm zu schlagen.
ration.
Mangelnde Serverhärtung
Die hier beschriebenen Maßnahmen werden im PCI DSS Der ICO wirft Marriott zudem das Fehlen einer Serverhär-
Standard für den administrativen und den Fernzugriff auf tung als Präventivmaßnahme vor. Diese hätte Angreifer
die CDE bereits seit vielen Jahren verbindlich vorgeschrie- daran hindern können, Zugang zu Administratorkonten zu
ben. erhalten. Darüber hinaus hätten etwaige Angreifer ent-
deckt werden können, bevor sie ein Netzwerk durchque-
Unzureichende Überwachung von Daten ren. Insbesondere die Implementierung von „Whitelisting“
banken sei eine Möglichkeit, mit der Marriott eine Serverhärtung
Neben der unzureichenden Überwachung der Benutzer- hätte durchführen können. Unter Serverhärtung versteht
konten und der mit diesen verbundenen Benutzeraktivitä- man unter anderem:
ten unterließ es Marriott laut ICO auch, die Datenbanken • die Deinstallation von unnötigen Diensten oder Soft-
innerhalb des CDE angemessen zu überwachen. Die Auf- wareteilen, Treibern, Features und Subsystemen;
sichtsbehörde wirft dem Unternehmen vor: (a) Unzuläng- • das Löschen aller unnötigen Standardkonten und die
lichkeiten bei der Einrichtung von Sicherheitswarnungen Änderung sämtlicher Standardeinstellungen auf sichere
für Datenbanken innerhalb des CDE, (b) das Versäumnis, Parameter;
die Protokolle zu aggregieren und (c) das Versäumnis, die • Aktivierung nur von den Diensten, Protokollen, Dae-
im System des CDE stattfindenden Aktivitäten zu proto- mons etc., welche unbedingt erforderliche sind;
kollieren, wie z. B. die Erstellung von Dateien und den Ex- • Implementieren von zusätzlichen Sicherheitsfunktionen
port ganzer Datenbanktabellen. für die benötigten und ggf. unsicheren Dienste, Proto-
DATENSCHUTZ-BERATER | Nr. 04/2021 | www.datenschutz-berater.de 105Datenschutz im Fokus
kolle, Daemons etc. (wie z. B. einen SSL Tunnel für die antwortlichen jedoch nicht davor, auch die übrigen perso-
Nutzung von Telnet); nenbezogenen Daten zu betrachten und angemessen zu
• Konfiguration der Sicherheitsparameter, um Missbrauch schützen. Besonders Passnummern dürften schutzbedürf-
zu vermeiden. tig sein. Die Einlassung, man habe einen risikobasierten
Ansatz gewählt, war darüber hinaus wenig glaubhaft, da es
Es werden also zur Serverhärtung Konfigurationsstan- ja durchaus Passnummern gab, die verschlüsselt waren. Es
dards für alle Systemkomponenten entwickelt. Diese ori- blieb unklar, weshalb nur ein Teil, ein anderer wiederum
entieren sich an den Herstellerempfehlungen oder auch an nicht verschlüsselt wurde.
anerkannten Standards zur Härtung von Systemen wie
z. B. den CIS Benchmarks, der ISO Normenreihe, dem Im Übrigen erläutert PCI DSS in der Einleitung zur An-
SANS Institut oder dem NIST, aber auch an den Bausteinen wendbarkeit: „Wenn der Name des Inhabers, der Service-
des BSI IT-Grundschutz. code und/oder das Ablaufdatum zusammen mit der PAN
gespeichert, verarbeitet oder weitergegeben werden oder
Whitelisting wiederum ist eine Schutzmethodik, die alles anderweitig innerhalb der Karteninhaberdaten-Umge-
verbietet, was nicht explizit erlaubt wurde. So kann z. B. bung (CDE) vorhanden sind, müssen diese Daten gemäß
der Zugriff auf die administrative Umgebung nur auf expli- den PCI-DSS-Anforderungen geschützt werden.“
zit zugelassene IP-Adressen von Systemen gewährt wer-
den. Damit wird ein Zugriff von allen anderen Systemen Schon aus dem Standard ergibt sich also, dass die vorste-
standardmäßig unterbunden. Ein Angreifer muss also hend genannten Daten ebenfalls hätten verschlüsselt bzw.
nicht nur die Zugangsdaten des Administrators abgreifen, der Zugriff darauf hätte überwacht werden müssen.
sondern auch von einem per Whitelisting legitimierten
System aus den Anmeldevorgang vornehmen, was die Aus- Fazit und Empfehlungen für die Praxis
nutzung dadurch deutlich erschwert. Das Ziel Marriotts lag ganz offensichtlich darin, den Anfor-
derungen der Kartenorganisationen zu genügen, die dar-
Mangelnde Verschlüsselung auf gerichtet sind, den Schutz der Karteninhaberdaten
Zahlungskartendaten (wohl auch nur die sog. primären während der Verarbeitung sicherzustellen. Den Daten-
Kontonummern = PAN) und teilweise auch Passnummern schutz hatte Marriott weniger vor Augen, hatten die getrof-
wurden von Marriott verschlüsselt. Oracle-Datenbanken – fenen Sicherheitsmaßnahmen doch nahezu ausschließlich
die Starwood-Reservierungsdatenbank enthielt Tabellen, die Zahlungskarteninformationen im Fokus.
die in einer Oracle-Datenbank gespeichert waren – boten
die Funktion, Tabelleneinträge ebenfalls zu verschlüsseln. Schutz von Zahlungskarteninformationen reicht
Diese Möglichkeit nutzte Marriott jedoch nicht. So blieben allein nicht aus
vor allem die meisten Passnummern der Hotelgäste unver- Der PCI DSS bietet eine Hülle und Fülle an sehr konkreten
schlüsselt. Marriott verteidigte sich damit, dem in der In- Schutzmaßnahmen zur Absicherung von Karteninhaber-
formationssicherheit vorgesehenen risikobasierten Ansatz daten der internationalen Zahlungssysteme. Diese auf wei-
gefolgt zu sein. Entsprechend dem PCI CSS Standard seien tere relevante und schützenswerte Daten zu erweitern, ist
Zahlungskarteninformationen als besonders schutzbe- an vielen Stellen kein erheblicher Aufwand. Insbesondere
dürftig eingestuft worden. wenn – wie im Fall Marriott – die Softwarelizenzen vor-
handen sind und umfangreiche Prozesse bereits eingeführt
Nicht verschlüsselt und dem Zugriff des Angreifers ausge- wurden. Die Umsetzung der Anforderungen des PCI
setzt waren: Kundennummer, Name, Geschlecht, Geburts- DSS-Standards allein reicht ohne einen ganzheitlichen An-
datum des Gastes, VIP-Status, Mitgliedschaft im Bonus- satz nicht aus, um den Anforderungen aus Art. 32 DSGVO
programm, Anschrift, Ländercode des Reisepasses, Tele- zu genügen.
fonnummer, Faxnummer, E-Mail-Adresse und Ablaufda-
tum der Kreditkarte, Passnummern von 5,25 Mio. Gästen, Es gibt viele verschiedene Anforderungen an ein Unterneh-
Reservierungsbestätigungen, Ankunftszeit, Abreisedatum, men. Die Einhaltung von datenschutzrechtlichen Bestim-
Flugnummer und Airlinecode, Zimmertyp sowie die Ge- mungen oder auch der sichere Umgang mit unterneh-
samtzahl der Gäste im Zimmer. mensrelevanten Daten gehören dazu. Mit einem integrier-
ten Sicherheitsmanagementsystem, welches die Informa-
Der risikobasierte Ansatz konnte Marriott nicht zum Vor- tionssicherheit wie auch den Datenschutz berücksichtigt,
teil gereichen. Zum einen blieb Marriott die Vorlage einer können alle Anforderungen optimal aufeinander abge-
dokumentierten Risikoanalyse schuldig. Zum anderen stimmt und harmonisiert werden. Weitere Anforderungs-
mag es zwar zutreffend sein, dass im Rahmen des PCI DSS kataloge wie der PCI DSS können dann ebenfalls dort hin-
Standards Zahlungskarteninformationen als besonders ein integriert werden. So betreibt man ein vollständiges
schutzbedürftig zu betrachten sind. Dies befreit die Ver- Informationssicherheitsmanagementsystem (ISMS), wel-
106 www.datenschutz-berater.de | Nr. 04/2021 | DATENSCHUTZ-BERATERDatenschutz im Fokus
ches alle Anforderungen in sich vereint. Dabei sollten die der vorhandenen Schutzmaßnahmen durchgeführt wer-
für die einzelnen Anforderungskataloge und gesetzlichen den. Wenn schon nicht vorher, so kann spätestens bei
Vorgaben Zuständigen nicht alleine, sondern Hand in Übernahme der Systeme der Verantwortliche uneinge-
Hand (integriert) agieren. schränkt auf diese zugreifen und entsprechend handeln.
Übernahmeabsichten sollten daher sehr frühzeitig mit den
Qualifikation der Mitarbeiter Zuständigen für Informationssicherheit und Datenschutz
Jede Organisation muss sich zudem die Frage stellen, ob besprochen werden (Stichwort Kommunikation).
die Personalauswahl die benötigte Fachexpertise abdeckt
und ob diese Expertise in Qualifikationen, aber auch in Versäumnisse von Marriott kein Einzelfall
Fortbildungen, angemessen Berücksichtigung findet. Dies Leider sind die hier aufgezeigten Versäumnisse kein Ein-
gilt gleichermaßen für die Administratoren, aber auch für zelfall. KMU, Konzerne und auch öffentliche Stellen sind
Mitarbeiter der Dienstleister. gleichermaßen von den hier beschriebenen Defiziten be-
troffen. Sicherheit ist in Organisationen oft – wenn über-
Nun kann in der Regel der Verantwortliche die Qualifikati- haupt – nur in Teilen gedacht und nicht in die Prozesse
on seiner Beschäftigten und Dienstleister im Bereich der und Abläufe integriert. Muss sich also ein Mitarbeiter ent-
IT – Marriott hatte Accenture als IT-Dienstleister beauf- scheiden, ob er sein tägliches operatives Geschäft erledigt
tragt – nicht einschätzen. Zertifikate helfen da bekannt- oder die Sicherheitsdokumentation nachzieht, ist klar, wie
lich wenig. Ob Sicherheitseinstellungen richtig vorgenom- er sich immer wieder entscheiden wird. So kommen konti-
men wurden, vermag der Auftraggeber in der Regel eben- nuierliche und stetige Defizite zustande, die dann eine Ket-
falls nicht zu beurteilen. Schwachstellen-, Pen-Tests sowie te von Zuständen zulässt, die einem Angreifer den erfolg-
Sicherheits- und Datenschutzaudits durch unabhängige reichen Einbruch in die Umgebung ermöglicht und ihn
Prüfer sollten daher regelmäßig durchgeführt werden. dort unbemerkt schalten und walten lässt. Mangelnde Res-
Auch ein Wechsel der Dienstleister oder zumindest der ex- sourcen, fehlendes Personal, unzureichende Qualifikation,
ternen Prüfer für Pen-Tests, Security Scans und Sicher- fehlende Verfahren zur regelmäßigen Überprüfung, Bewer-
heitsaudits können helfen, neue und frische Einblicke von tung und Evaluierung der Wirksamkeit der technischen
außen zu erhalten. Hilfreich ist auch, die Qualität und und organisatorischen Maßnahmen zur Gewährleistung
nicht nur den Preis bei der Auswahl der Dienstleister und der Sicherheit der Verarbeitung, der Blick über den eige-
Prüfer hervorzuheben. nen Tellerrand und damit einhergehend die Kommunika-
tion und Abstimmung mit den anderen Kollegen und Be-
Informationssicherheit und Datenschutz i.R.v. reichen lassen sich nicht durch Anschaffung von Produk-
Due-Diligence ten wie einem SIEM oder Ähnliches kompensieren.
Der ICO ließ dahingestellt, ob es Marriott möglich war, vor
der Übernahme in 2016 eine Due-Diligence-Prüfung Sicherheit kostet nun mal. Und wenn es „nur“ die Ausbil-
durchzuführen oder nicht. Jedenfalls spätestens mit dem dung und das Gehalt der wertvollen Ressource Mensch als
25. Mai 2018 trafen Marriott die Pflichten aus der DSGVO, ITSecurity-Fachkräfte ist. Aber man kann nicht ohne wei-
da die übernommenen IT-Systeme von Marriott weiter be- teres erkennen, ob sich diese Investition auch „gelohnt“
trieben und personenbezogene Daten der Gäste in diesen hat. Es bleibt halt ein erfolgreicher Angriff aus, der sonst
Systemen verarbeitet wurden. In der Tat dürfte aus der DS- ggf. auch ausgeblieben wäre.
GVO eine Pflicht zur Durchführung einer Due-Diligen-
ce-Prüfung im Rahmen von M&A-Transaktionen mit Blick
auf Informationssicherheit und Datenschutz nicht herleit- Autoren: Anna Cardillo ist Rechtsanwältin bei
Spirit Legal und spezialisiert auf Da-
bar sein. Allerdings ist zu beachten, dass durchaus eine tenschutz – und Informationssicher-
Organhaftung greifen kann, wenn eine Due-Diligence Prü- heitsrecht. Sie berät vor allem bei der
fung unterbleibt (vgl. OLG Oldenburg Urt. v. 22.06.2006 – Implementierung eines integrierten
Informationssicherheits – und Daten-
1 U 34/03). schutzmanagements.
Darüber hinaus sollte jedes vernünftig aufgesetzte Infor-
mationssicherheits- und Datenschutzmanagement ge- Manuel Atug verfügt über langjähri-
ge Erfahrung im Bereich technische
plante Veränderungen im Kontext der Organisation (z. B.
IT-Sicherheit und Auditierung. Er
Übernahme fremder Systeme) berücksichtigen. Dies ist berät und begleitet Unternehmen
aus PCI DSS-Sicht sogar über den Anforderungskatalog bei der Einführung von Informations-
sicherheitsmanagement-Systemen
vorgeschrieben und damit verbindlich. Der Management-
und ist Mitautor von BSI IT-Grund-
prozess muss durch solche bevorstehenden Veränderun- schutz-Bausteinen sowie Projektlei-
gen angestoßen und in der Folge eine im Zweifel auch vor- ter der IT-Grundschutz-Modernisie-
rung.
legbare und belastbare Risikoanalyse sowie Überprüfung
DATENSCHUTZ-BERATER | Nr. 04/2021 | www.datenschutz-berater.de 107Sie können auch lesen
