ASV-Scan
      Zurück zur Startseite
      1. Knowledge Base
      2. Tipps & Tricks
      3. ASV-Scan

      ASV-Scan / PCI-DSS / Penetrationstest: Informationen, Ergebnisse, “false positives” und Lösungen

      Wie kann ich die in meinem Schwachstellen-Scan aufgedeckten Probleme lösen?

      Grundsätzlich sollte die Zahlungsabwicklung mittels Kreditkarte in Ihrem Shop immer den geltenden Sicherheitsstandards entsprechen, die in der Regel durch den Payment Card Industry Data Security Standard (PCI DSS) festgelegt werden. Dieser Standard wurde entwickelt, um sensible Kreditkartendaten zu schützen und sicherzustellen, dass sie ordnungsgemäß verarbeitet und gespeichert werden. Hierfür muss ein ASV (Approved Scanning Vendor) Security Scan – kurz ASV-Scan – durchgeführt werden. 

      Im Folgenden geben wir Ihnen Informationen über ASV-Scans und deren Funktionen, welche Gründe es für einen ASV-Scan gibt und wie Sie aufgedeckte Probleme in Bezug auf Ihren Cluster bei maxcluster beheben können.

      ASV-Scan

      Was ist ein ASV-Scan?

      Ein ASV-Scan ist ein automatisierter Sicherheitsüberprüfungsprozess, der von einem von der Payment Card Industry Security Standards Council (PCI SSC) genehmigten Anbieter durchgeführt wird. Es ist somit ein Verfahren zur Identifizierung von Sicherheitslücken und Schwachstellen in IT-Systemen, Netzwerken und Anwendungen. ASV-Scans sind ein wesentlicher Bestandteil der PCI-DSS (Payment Card Industry Data Security Standard) Compliance und helfen Unternehmen, die Sicherheit ihrer Systeme zu gewährleisten. Das Ziel hierbei ist es, Schwachstellen in der IT-Infrastruktur eines Unternehmens zu identifizieren, die potenziell von Angreifern ausgenutzt werden könnten. 

      Wer ist Scan-pflichtig?

      Scan-pflichtig sind Unternehmen, deren Kartendaten-verarbeitende IT-Systeme extern aus dem öffentlichen Internet erreichbar sind. Entweder weil sie Kreditkartendaten speichern, verarbeiten oder weiterleiten, oder anderweitig einen direkten Einfluss auf die Sicherheit von Zahlungen haben. 

      Die offizielle Website des PCI Security Standards Council bietet umfassende Informationen über den PCI-DSS und die Anforderungen für die sichere Zahlungsabwicklung. Hier finden Sie detaillierte Informationen zu den einzelnen Anforderungen und den entsprechenden Kontrollen.

      Wichtig: Ab PCI-DSS 4.0 sind Scans quartalsweise verpflichtend und ab dem 31.03.2025 sogar ein weiterer jährlicher Scan.

      Was sind die Funktionen eines ASV-Scans?

      Ein ASV-Scan hat folgende Funktionen:

      • Erkennung von Schwachstellen: Der Scan identifiziert bekannte Sicherheitslücken in Software, Betriebssystemen und Netzwerkinfrastrukturen.
      • Sicherheitsbewertung: Der Scan liefert eine umfassende Bewertung der Sicherheitslage eines Systems oder Netzwerks.
      • Berichterstattung: Ergebnisse werden in Form von Berichten bereitgestellt, die detaillierte Informationen über gefundene Schwachstellen und empfohlene Maßnahmen zur Behebung enthalten.
      • Nicht intrusive Funktionsweise: Ein ASV-Scan erfolgt nicht intrusiv, d.h. er beeinträchtigt die laufenden Systeme in der Regel nicht. Er analysiert die Netzwerksicherheit von außen, ohne aktiv in die Systeme einzugreifen oder sie zu stören. 

      Hinweis: In seltenen Fällen kann es während des Scans, insbesondere bei der Suche verwundbarer Webapplikationen, kurzfristig zu einer leicht erhöhten Auslastung der Webserver kommen. Dies sollte jedoch keine langfristigen Auswirkungen auf den Betrieb haben.

      Welche Gründe gibt es für die Durchführung eines ASV-Scans?

      Es gibt folgende Gründe, warum ein ASV-Scan durchgeführt wird:

      • Compliance: Viele Branchen unterliegen gesetzlichen und regulatorischen Anforderungen, die regelmäßige Sicherheitsüberprüfungen vorschreiben.
      • Risikomanagement: Frühzeitige Erkennung von Schwachstellen hilft, potenzielle Angriffe zu verhindern und das Risiko von Datenverlusten oder -missbrauch zu minimieren.
      • Sicherheitsbewusstsein: Ein ASV-Scan fördert das Bewusstsein für Sicherheitsfragen innerhalb des Unternehmens und motiviert zu proaktiven Sicherheitsmaßnahmen.
      • Schutz der Unternehmensressourcen: Durch die Identifizierung und Behebung von Schwachstellen kann das Unternehmen seine sensiblen Daten und IT-Ressourcen besser schützen.
      Insgesamt ist ein ASV-Scan ein wichtiges Werkzeug zur Verbesserung der IT-Sicherheit und zur Minimierung von Risiken in einer zunehmend digitalen Welt.

      Wann sollte ein ASV-Scan ausgeführt werden?

      • Regelmäßige Überprüfungen: ASV-Scans sollten regelmäßig, mindestens einmal pro Quartal, durchgeführt werden. Ab PCI-DSS 4.0 sind Scans quartalsweise verpflichtend und ab dem 31.03.2025 sogar ein weiterer jährlicher Scan. 
      • Nach Änderungen: nach jeder wesentlichen Änderungen an der IT-Infrastruktur, wie z. B. der Einführung neuer Systeme und Anwendungen, oder auch nach Produkt-Upgrades.

      Welche Probleme und Schwachstellen können mit einem ASV-Scan aufgedeckt werden?

      Folgende Probleme und Schwachstellen können mit einem ASV-Scan aufgedeckt werden:

      • Ungepatchte Software: Veraltete Softwareversionen, die Sicherheitslücken aufweisen.
      • Offene Ports: Unnötig offene Ports, die potenzielle Angriffsflächen bieten.
      • Unsichere Konfigurationen: Fehlkonfigurationen von Servern oder Anwendungen, die Sicherheitsrisiken darstellen.
      • Veraltete Protokolle: Verwendung von unsicheren oder veralteten Kommunikationsprotokollen.

      Allgemein Lösungen zu den identifizierten Problemen

      1. Schwachstellen in Webanwendungen: Dazu gehören SQL-Injection, Cross-Site Scripting (XSS) und unsichere Konfigurationen.

        Lösung:         Verwenden Sie sichere Entwicklungspraktiken, validieren Sie Benutzereingaben und setzen Sie Empfehlungen für sichere Webentwicklung wie die OWASP Top 10 ein https://owasp.org/www-project-top-ten/
      2. Offene Ports und Dienste: Nicht benötigte Dienste können als Einstiegspunkt für Angreifer dienen.

        Lösung:         Schließen Sie unnötige Ports, deaktivieren Sie nicht verwendete Dienste und verwenden Sie Firewalls.
      3. Veraltete Software: Verwundbare Versionen von Betriebssystemen oder Anwendungen können leicht ausgenutzt werden.

        Lösung:         Führen Sie regelmäßige Updates und Patches für alle Softwarekomponenten durch.
      4. Unsichere Authentifizierung: schwache Passwörter oder unzureichende Authentifizierungsmechanismen.

        Lösung:         Implementieren Sie starke Passwortrichtlinien und Multi-Faktor-Authentifizierung.
      5. Datenlecks: Unzureichender Schutz sensibler Daten kann zu Datenschutzverletzungen führen.

        Lösung:         Verschlüsseln Sie Daten sowohl im Ruhezustand als auch während der Übertragung.
      6. Fehlende Sicherheitsheader: Sicherheitsheader wie Content Security Policy (CSP) fehlen oft, was Angriffe erleichtert.

        Lösung:         Implementieren Sie geeignete Sicherheitsheader in Ihren HTTP-Antworten.

      Hinweis: Um die gefundenen Probleme zu beheben, sollte ein systematischer Ansatz verfolgt werden, einschließlich der Durchführung von Sicherheitsupdates, regelmäßigen Schulungen für Entwickler, der Implementierung von Best Practices für die Sicherheit und der Nutzung von Monitoring-Tools, um künftige Sicherheitsvorfälle frühzeitig zu erkennen. Lösungsansätze bei maxcluster und weitere Informationen werden weiter unten im Artikel beschrieben. 

      Was muss ich tun, wenn ich den Scan beim Durchführen nicht bestehe?

      Die folgenden Schritte sollten dann durchgeführt werden: 

      • Bericht überprüfen: Sehen Sie sich den Bericht des ASV-Scans genau an. Dieser enthält detaillierte Informationen über die identifizierten Schwachstellen, ihre Einstufung nach Schweregrad (kritisch, hoch, mittel, niedrig) und eine Beschreibung der gefundenen Probleme. 
      • Schwachstellen priorisieren: Beheben Sie die Schwachstellen entsprechend ihrer Dringlichkeit. Kritische und hochriskante Schwachstellen sollten sofort adressiert werden, da sie das größte Sicherheitsrisiko darstellen. 
      • Korrekturmaßnahmen umsetzen: Führen Sie die im Bericht empfohlenen Maßnahmen durch, um die Schwachstellen zu beheben. Kontaktieren Sie für jede Schwachstelle den entsprechenden Ansprechpartner – wie Ihren Entwickler, Ihre Agentur oder Ihren Hosting-Anbieter –, um sicherzustellen, dass die erforderlichen Maßnahmen von Ihrem verantwortlichen Partner umgesetzt werden. Das können unter anderem folgende Schritte sein:
        • Software-Updates und Patches installieren, um Sicherheitslücken zu schließen.
        • Konfigurationen anpassen, wie das Schließen unnötiger Ports oder das Deaktivieren unsicherer Protokolle.
        • Server- und Netzwerksicherheit verbessern, beispielsweise durch den Einsatz von Firewalls oder das Anpassen von Zugriffsrechten.

      ASV-Scan-Problembehebung bei maxcluster

      Wie kann ich die in meinem ASV-Scan aufgedeckten Probleme, in Bezug auf meinen Cluster, bei maxcluster beheben?

      Generell ist ein FAIL beim ersten Test als Ergebnis nicht so schlimm, wie es auf den ersten Blick scheint. Die meisten nicht intrusiven Penetrationstests, wie eben der übliche ASV-Scan einer ist, machen ein „Banner-Grabbing“ auf die offenen Ports Ihres Servers. Es werden keine wirklichen Angriffe gegen die Software, auf die Sicherheitslücken durchgeführt.

      Auf Ihrem Cluster bei maxcluster läuft das Betriebssystem Ubuntu in verschiedenen Versionen: 20.04 und 22.04. Wir verwenden hier bewusst die LTS Versionen von Ubuntu, da diese fünf Jahre Sicherheitsupdates durch Ubuntu erhalten.

      Wichtig ist, dass die im ASV-Scan gefundenen Probleme verfolgt und behoben werden. Es ist allerdings möglich, dass einige Treffer in Ihrem ASV-Scan ein „falsch positives“ (false positive) Ergebnis darstellen. 

      Im folgenden Abschnitt erläutern wir Ihnen, wie mit den üblichen Fällen umzugehen ist.

      Hinweis: Damit wir die Ergebnisse aus dem ASV-Scan auswerten können, schicken Sie uns bitte die Auswertung als PDF-Dokument zu.

      Mögliche Schritte zur Behebung von „False Positives“

      1.) Vorgehensweise der PCI-DSS-Scans - „Banner-Grabbing“

      Wie oben bereits beschrieben, führen die meisten ASV einfache Portscans durch, bei denen ein sogenanntes „Banner-Grabbing“ zum Einsatz kommt. Hierbei wird eine Verbindung zu offenen Ports hergestellt, und die übermittelte Versionsnummer der Software wird überprüft. In Bezug auf Ihren Cluster erhält die Scansoftware bei der Verbindung auf Port 22 das folgende Banner als Bestätigung für die offene Verbindung: SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.xx.
      Hierbei wird die auf Ihrem Cluster installierte Version vom OpenSSH Server und Ubuntu ausgegeben.

      Beispiel anhand von SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.xx

        • OpenSSH 8.9p1:
          • Die Hauptversionsnummer ist 8.9. Sie gibt die spezifische OpenSSH-Version an, wie sie von den Entwicklern von OpenSSH veröffentlicht wurde.
          • Das Suffix p1 steht für einen Patch-Level, der von den OpenSSH-Entwicklern bereitgestellt wurde.
      • Ubuntu-3ubuntu0.xx
        • Ubuntu-3: Bedeutet, dass es die 3. Ubuntu-spezifische Revision ist.
        • ubuntu0.xx: Zeigt an, dass es sich um eine Ubuntu-eigene Paketierung handelt
          .xx: Ist die Revisionsnummer für Sicherheitsupdates/Patches (xx wird durch eine konkrete Zahl ersetzt, z. B. .1, .2 etc.)

      Unter Ubuntu und Debian gibt die Versionsnummer oft nicht nur den Patchlevel, sondern auch den Ursprung des Pakets an (z. B. ob es von Ubuntu oder Debian stammt). Die Versionsnummern sind jedoch nicht immer ein exakter Indikator für vorhandene Sicherheitslücken, da Sicherheitsupdates häufig zurückportiert werden, ohne die Hauptversionsnummer zu ändern.

      Bei den meisten ASV-Scans werden ausschließlich die ersten Stellen, in diesem Fall Open SSH Version 8.9p1, ausgewertet. Für die Auswertung wird eine Datenbank von Schwachstellen benutzt, wo die jeweilige Schwachstelle inklusive CVE-Nummern für die entsprechenden Versionen oder „bis Version“ gespeichert ist. 

      Ihr aktuelles System

      Auf Ihrem Cluster ist entweder Ubuntu 20.04 oder Ubuntu 22.04 im Einsatz. Hierbei ist unter anderem das Paket openssh-server in der aktuellsten Version installiert. Welche Version auf Ihrem Cluster aktuell im Einsatz ist, können Sie in Ihrem Managed Center unter Paket Updates überprüfen. 

      Die Sicherheitspatches und Updates werden über die offiziellen Ubuntu- und teilweise auch Debian-Paketquellen bereitgestellt. Wichtig dabei ist, dass Ubuntu und Debian sicherheitsrelevante Updates zurückportieren, was bedeutet, dass das Paket zwar dieselbe Hauptversionsnummer behält, aber dennoch aktuelle Sicherheitspatches erhält, für den Zeitraum von fünf Jahren.

      Hinweis: Damit Updates sicher und zeitnah eingespielt werden, führen wir jeden Monat am ersten Dienstag, der ein Werktag in NRW ist, einen Update-Tag durch.

      2.) Umgang mit „False Positive“

      2.1. Disput einreichen

      Sollten bei den ASV-Scans Sicherheitslücken gemeldet werden, die auf veralteten Versionsnummern basieren, können Sie ein Disput einreichen, indem Sie den ASV auf Folgendes hinweisen:

      Es handelt sich hierbei um ein False Positive”, da die zugrunde liegenden Pakete auf einem Ubuntu/Debian-System durch Rückportierungen abgesichert wurden.

      Ein Disput, unter Angabe dieses Arguments, wird in der Regel von den meisten ASV anerkannt.

      2.2. Alternative Option: Port-Schließung für FTP (Port 21) und SSH (Port 22)

      Aktuell (Stand 06.12.2024) erhalten wir die meisten „false positive“ Meldungen für die Software FTP (Port 21) und SSH (Port 22)

      Der einfachste und auch effektivste Weg, diese Dienste abzusichern, ist, die Ports für das öffentliche Internet zu sperren und den Zugriff auf diese Ports nur für ausgewählte Zugriffe freizuschalten. Dies kann zum Beispiel in der Firewall durch vertraute IP-Adressen oder ein VPN passieren. Somit kommt auch der Scanner nicht mehr an diese Ports. 

      Falls Sie dies wünschen, können wir den Port 21 (FTP) und Port 22 (SSH) proaktiv für Sie schließen. Ihre Büro-IPs können wir dann gezielt über Ausnahmen in der Firewall für diese Ports freigeben.

      Wir helfen Ihnen gerne dabei, Ihre Entscheidung umzusetzen. Bitte informieren Sie uns dann, wie Sie weiter vorgehen möchten:

      1. Möchten Sie den Disput beim ASV einlegen, um das „false positive“ anzufechten?
      2. Oder bevorzugen Sie, dass wir die Ports schließen und Ihre Büro-IPs entsprechend freigeben?

      Hinweis: Für das Schließen der Ports und die Freigaben in der Firewall ist es erforderlich, unseren Service zu kontaktieren. Hierfür senden Sie bitte eine E-Mail an support@maxcluster.de

      Weitere Meldungen und Lösungen

      1. HSTS (HTTP Strict-Transport-Security) Header
        Häufig wird auch der HSTS (HTTP Strict-Transport-Security) Header als Fehler dargestellt.

        Lösung:         Welche Einstellungen Sie hier vornehmen können und weitere Informationen können in unserem Blogbeitrag HSTS für PCI-DSS Compliance nachgelesen werden. 
      2. Remote Management Service Accepting Unencrypted Credentials Detected (HTTP)
        Dies bedeutet, dass Sie auf Ihrem Cluster vermutlich einen vHost mit HTTP Auth Zugriffsschutz haben, der erst nach einem Redirect auf HTTPS greifen darf.

        Lösung:         Je nachdem, wo Sie den Zugriffsschutz definiert haben, müssen Sie dafür bei den entsprechenden Domains bei uns im Managed Center Automatisch auf SSL weiterleiten” aktivieren.
      3. Remote Management Service Accepting Unencrypted Credentials Detected (FTP)

        Lösung:         Hier ist der beste und von uns empfohlene Weg, das Schließen von Port 21. Falls Sie doch FTP benutzen, können wir die von Ihnen verwendeten IP-Adressen in der Firewall für Port 21 freigeben. Informieren Sie bitte unseren Support, welche IP-Adressen freigegeben werden müssen.
      4. Web Server Uses Plain Text Basic Authentication
        Diese Meldung steht mit der Meldung unter Punkt 1 in Verbindung.

        Lösung:         Siehe Punkt 1.
      5. Predictable Resource Location Via Forced Browsing

        Lösung:         Dies müssen Sie in Ihrer Anwendung bzw. der NGINX Konfiguration eigenständig beheben und liegt nicht in der Verantwortung von maxcluster.
      6. OpenSSH Authentication Bypass Vulnerability

        Lösung:         Hier empfehlen wir auch das Schließen von Port 22 nach außen, für die Öffentlichkeit und den Zugriff auf vertraute IP-Adressen zu begrenzen. Informieren Sie bitte unseren Support, welche IP-Adressen freigegeben werden müssen.
      7. OpenSSH Sensitive Information Disclosure Vulnerability

        Lösung:         Hier empfehlen wir auch das Schließen von Port 22 nach außen, für die Öffentlichkeit und den Zugriff auf vertraute IP-Adressen zu begrenzen. Informieren Sie bitte unseren Support, welche IP-Adressen freigegeben werden müssen.
      8. Secure Sockets Layer/Transport Layer Security (SSL/TLS) Server supports Transport Layer Security (TLSv1.0)

        Lösung:         Sie können die für den Webserver aktiven und verfügbaren TLS-Versionen in unserem Managed Center eigenständig umstellen. Die Option finden Sie im Managed Center – Webserver – TLS-Versionen. Dort können Sie alles bis auf TLS 1.2 deaktivieren, dann sollte diese Meldung nicht mehr kommen.

        Für neue Installationen haben wir den Mindestlevel mittlerweile auf TLS 1.2 angehoben.
      9. Web Server Stopped Responding
        Diese Meldung steht in Zusammenhang mit Cloudflare.

        Lösung:         Wenden Sie sich in diesem Fall bitte an den Cloudflare-Support. Hier müssen vermutlich noch diverse Anpassungen in Cloudflare wie auch die TLS-Version in Cloudflare umgestellt/eingerichtet werden. Diese Anpassungen können wir nicht übernehmen.
      10. TCP Source Port Pass Firewall
        Diese Meldung steht in Zusammenhang mit Cloudflare.

        Lösung:         Wenden Sie sich in diesem Fall an den Cloudflare-Support. Hier müssen vermutlich noch diverse Anpassungen in Cloudflare umgestellt/eingerichtet werden. Diese Anpassungen können wir nicht übernehmen.

      Sie haben weitere Meldungen im Scan?

      Es gibt auch eine Anzahl von Treffern, die nicht direkt den Server, sondern Ihre Webapplikation betreffen. Diese Meldungen sind kundenspezifisch und daher individuell zu betrachten.

      Kontaktieren Sie gerne unseren Service per E-Mail an support@maxcluster.de

      Penetrationstests

      Was muss ich bei einem Penetrationstest auf dem Server beachten?

      Manche Scananbieter erwähnen, dass man die IPs des Anbieters, die zum Scannen benutzt werden, „freischalten“ soll. Damit ist i. d. R. nicht gemeint, dass man eine dauerhafte bzw. temporäre Freigabe in der Firewall für die IPs einrichtet, sondern jeweiliges Monitoring bzw. Alarmierungen über Angriffsversuche innerhalb seiner IPS/IDS bzw. WAF (Web Application Firewall) für die IPs deaktivieren soll.  

      Eine Ausnahme in der Firewall würde einen Teil des Sicherheitskonzeptes und auch Sicherheitsmaßnahmen umgehen und somit keinen realistischen Scan ermöglichen. 

      Weitere Informationen zum Thema Cyber Security für Deinen Online-Shop können Sie in unserem Blogbeitrag Mehr Sicherheit für Online-Shops nachlesen.

      Hinweis: Idealerweise kündigen Sie uns einen Test immer vorher per E-Mail an. Senden Sie hierfür bitte eine E-Mail mit allen Informationen an support@maxcluster.de.

       

      Bei weiteren Fragen steht Ihnen unser Support unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

      Veröffentlicht am: 28.01.2025