Wie lange dauert ein Scan?
Die Dauer hängt von der Anzahl der Komponenten, deren Konfiguration, Netzbandbreite sowie offenen Ports ab. In der Regel dauert ein Scan zwischen 2-6 Stunden pro Komponente. In Ausnahmefällen kann dies jedoch auch bis zu 24 Stunden betragen.
Welche Informationen erhalte ich nach einem durchgeführten ASV Scan?
Sie werden nach Abschluss per E-Mail informiert. Die Ergebnisse stehen als PDF-Bericht auf der PCI Plattform zur Verfügung. Zusätzlich können Schwachstellen als Excel- oder JIRA-Export abgerufen werden.
Bitte beachten Sie: Die Einsichtnahme, das Feedback zum Scan-Ergebnis sowie die abschließende Bestätigung erfolgen direkt über die PCI Plattform. Es wird dringend empfohlen, Ihrem technischen Administrator Zugang zur Plattform zu ermöglichen, damit dieser die Prüfung und weitere Bearbeitung übernehmen kann.
Wo finde ich das Scan-Ergebnis?
- Melden Sie sich mit Ihrem Benutzernamen (E-Mail-Adresse) und Passwort auf der PCI Plattform an.
- Navigieren Sie im Bereich „ASV Scan Reports“ zum Unterpunkt „Scanprojekte“.
- In der Übersicht sehen Sie Ihre durchgeführten Scans. Wählen Sie bei Ihrem aktuellen Scan die „Details“-Ansicht und klicken Sie in der Fußzeile auf „Scan Ergebnis prüfen“.
- Vervollständigen Sie auf den folgenden Seiten die erforderlichen Angaben.
Wichtig: Ihre Kommentare müssen in englischer Sprache eingetragen werden.
Einige Komponenten konnten nicht gescannt werden. Was mache ich jetzt?
Hinterlegen Sie bitte eine englische Begründung, weshalb das System nicht erreichbar war. Bei Rückfragen wenden Sie sich an pci@usd.de .
Was mache ich bei den "Ergänzenden Angaben"?
Geben Sie die geforderten Antworten zu den jeweiligen Komponenten an. Felder wie "Result", "Consequence", "Diagnosis", "Solution" bieten nützliche Hinweise für die Bearbeitung.
Wie gehe ich am besten mit dem Ergebnis im Bereich Schwachstellen um und was ist zu beachten?
Prüfen Sie jede Schwachstelle: Handelt es sich hierbei um eine tatsächliche Sicherheitslücke oder um ein False Positive?
- Tatsächliche Schwachstellen: Sollten bevorzugt behoben werden.
- False Positive: Markieren und begründen Sie diese eindeutig als "False Positive".
Wichtiger Hinweis: Bearbeiten Sie die False Positives idealerweise erst, nachdem alle relevanten Schwachstellen behoben wurden. Andernfalls kann es passieren, dass Ihre Eingaben zu False Positives bei einem Rescan verloren gehen – sofern diese nicht mindestens einmal offiziell vom ASV im Rahmen eines Reviews bestätigt wurden.
Ich werde aufgefordert, die Angaben zum durchgeführten ASV Scan zu bestätigen. Wie gehe ich vor?
Loggen Sie sich auf der PCI Plattform ein, rufen Sie unter „ASV Scans“ den Bereich „Scanprojekte“ auf und wählen Sie „Details“. Über den Button „Scan bestätigen“ beantworten Sie die angezeigten Fragen.
Beachten Sie bitte: Erst danach erhalten Sie den finalen, bestätigten Scanbericht.
Auf dem ASV Scan Report befindet sich ein Wasserzeichen. Was bedeutet das?
Das Wasserzeichen zeigt an, dass der Scan nicht final abgeschlossen ist – entweder weil das Ergebnis noch „FAIL“ ist oder Sie den Scan mit „PASS“ noch nicht bestätigt haben.
Bitte beachten Sie, dass ein ASV Scan Report mit Wasserzeichen von Acquirern oder anderen Dritten nicht akzeptiert wird.
Entstehen für einen Rescan (wiederholten Scan) zusätzliche Kosten?
Nein, für erforderliche Rescans nach einem „FAIL“ entstehen keine zusätzlichen Kosten.
Müssen Schwachstellen vor dem Rescan behoben werden?
Ja, das ist zu empfehlen. Nur so verbessert sich das Scan-Ergebnis beim Rescan. Planen Sie einen Rescan erst nach erfolgreicher Behebung aller Schwachstellen.
Wie plane ich einen Rescan?
Sobald das Scan-Ergebnis den Status „Scan Review durch Kunde“ erreicht hat, können Sie in den „Details“ den Rescan planen. Alternativ können Sie in den Scanprojekten auch auf „Neuen Scan planen“ klicken. Die Plattform fragt Sie dann, ob Sie einen Rescan durchführen möchten oder einen komplett neuen Scan planen wollen.
Ich möchte einen Rescan mit geändertem Scope durchführen: Wie geht das?
Rescans decken nur den gleichen Scope wie der Ursprungs-Scan ab. Für einen geändertem Scope wenden Sie sich bitte an pci@usd.de.
Können wir nach dem Scan eine Komponente aus dem abgeschlossenen Scan entfernen?
Nein, das ist leider nicht möglich. In diesem Fall müssen Sie entweder einen neuen Scan ohne die betreffende Komponente planen oder den bestehenden Scan mit allen vorher definierten Komponenten weiterführen.
Wann sollte ich einen Scan pausieren?
Aus unserer Sicht sollte eine Pause des Scans wirklich nur in Ausnahmefällen erfolgen. Nachfolgend finden Sie typische Situationen und unsere Empfehlungen:
1. Der Scan dauert länger als erwartet und ein wichtiges Business-Event steht bevor.
Empfehlung: Planen Sie ein, dass ein Scan auch mal länger dauern kann, und starten Sie ihn etwas früher oder erst nach dem Event. Grundsätzlich sollte der Scan keine Auswirkungen auf Ihr Produktivsystem haben – eine Garantie gibt es jedoch nicht.
2. Der Scan erzeugt unerwartet viel Traffic und beeinträchtigt den laufenden Betrieb.
Empfehlung: Brechen Sie den Scan ab und kontaktieren Sie uns (pci@usd.de). Gegebenenfalls kann das Scanprofil angepasst werden. In solchen Fällen stellen wir Ihnen gerne kostenlos einen neuen Scan zur Verfügung.
3. Der Scan läuft sehr lange, aber Sie registrieren keinen Traffic auf Ihren Systemen und möchten prüfen, ob er überhaupt noch aktiv ist.
Empfehlung: Kontaktieren Sie uns bitte. Falls tatsächlich ein technisches Problem vorliegt, hilft das Pausieren meist nicht weiter.
4. Es wurde versehentlich die falsche Komponente für den Scan ausgewählt.
Empfehlung: Brechen Sie den Scan ab und kontaktieren Sie uns (pci@usd.de). In der Regel sind wir in solchen Fällen kulant und stellen Ihnen gerne kostenlos einen neuen, korrekten Scan bereit.