Welche Voraussetzungen sollten erfüllt sein, damit ein ASV Scan erfolgreich durchgeführt werden kann?
Folgende Punkte sollten Sie beachten, um einen reibungslosen Ablauf des ASV Scans sicherzustellen:
- Binden Sie Ihre technischen Dienstleister frühzeitig ein: Ein erfolgreich abgeschlossener ASV Scan ist ohne die Unterstützung der IT-Verantwortlichen kaum realisierbar.
- Prüfen Sie bestehende Zertifizierungen und Scans: Klären Sie mit Ihren IT-Dienstleistern, ob sie bereits PCI DSS-zertifiziert sind oder ASV Scans möglicherweise bereits für Ihr Unternehmen durchführen.
- Hinterlegen Sie den technischen Administrator als Ansprechpartner: Fügen Sie den zuständigen technischen Administrator auf der PCI Plattform als weiteren Ansprechpartner hinzu, damit er den gesamten Scanprozess begleiten kann.
- Technische Vorbereitung: Die zu scannenden IT-Systeme müssen für die Dauer des Scans auf der Firewall (z.B. IPS/IDS) entsprechend freigeschaltet sein. Prüfen Sie im Vorfeld, ob dies möglich und notwendig ist.
- Besonderheit für E-Commerce-Händler: Seit PCI DSS 4.x ist für Onlineshops ein ASV Scan zur Überprüfung von Webserver und Webshop verpflichtend. Lagern Sie die technische Betreuung Ihrer Webseite an einen Plattformbetreiber oder eine Agentur aus, klären Sie, ob dieser Partner bereits ASV Scans für Ihr Unternehmen durchführt – in diesem Fall könnte ein zusätzlicher Scan möglicherweise entfallen.
- Validierung der Scankomponenten: Wenn Sie unsicher sind, ob Sie die richtigen IT-Systeme ausgewählt haben, kontaktieren Sie uns gerne unter pci@usd.de, um die Scankomponenten gemeinsam zu validieren.
Wie plane ich einen ASV Scan?
Um einen ASV Scan zu planen, benötigen Sie Ihre festgelegten Scankomponenten sowie mindestens ein aktives Scan-Kontingent mit ausreichend verfügbaren Scankomponenten. Gehen Sie wie folgt vor:
- Scankomponenten hinterlegen:
Klicken Sie im linken Menü auf „ASV Scans“ und anschließend auf „Scankomponenten“, um die relevanten IP-Adressen oder Domains einzutragen. - Scanprojekt starten:
Nach Eingabe der Scankomponenten klicken Sie auf „Weiter“ oder wechseln im Menü zum Unterpunkt „Scanprojekte“. Wählen Sie im oberen Bereich „Neuen Scan planen“.
Falls Sie noch kein Scan-Kontingent erworben haben, können Sie dies jetzt im Webshop nachholen. - Scaninformationen erfassen:
Ist ein Kontingent vorhanden, geben Sie nun alle erforderlichen Informationen zu Load Balancer und eventuell eingesetzter Point-of-Sale-Software an. Füllen Sie alle Kommentarfelder und Pflichtangaben aus, um die Planung abzuschließen. - Starttermin festlegen:
Wählen Sie das gewünschte Startdatum und die Uhrzeit für den Scan. Bitte beachten: Datum und Uhrzeit werden in UTC (Weltzeit) angegeben – berücksichtigen Sie gegebenenfalls die Zeitverschiebung. - Technische Freigabe sicherstellen:
Stellen Sie sicher, dass der zuständige Hoster oder Administrator die Freischaltung des betreffenden IP-Adressbereichs für den Zeitraum des Scans vorgenommen hat. - Status überwachen:
Nach Abschluss der Planung können Sie den aktuellen Status Ihres Scans im Bereich „Scanprojekte“ einsehen.
Tipp: Mit der Funktion „Plan ändern“ können Sie Ihre Scanplanung bis zum Startzeitpunkt selbstständig anpassen.
Werden meine Systeme bei einem ASV Scan angegriffen?
Nein, im Rahmen eines ASV Scans werden ausschließlich non-intrusive, also nicht-invasive und autorisierte externe Schwachstellen-Scans durchgeführt. Dabei wird automatisiert geprüft, ob Schwachstellen oder fehlerhafte Konfigurationen von außen über das Internet erkennbar sind. Die gefundenen potenziellen Sicherheitslücken werden nicht ausgenutzt, um Ihre Systeme anzugreifen oder deren Integrität und Verfügbarkeit zu beeinträchtigen.
Ein tatsächlicher Angriff auf das System, etwa zur Überprüfung der Auswirkungen einer Schwachstelle, findet nicht statt. Solche Maßnahmen würden in einem Penetrationstest erfolgen, der jedoch nicht Bestandteil eines ASV Scans ist.
Falls Sie an einem Penetrationstest interessiert sind, kontaktieren Sie uns gerne unter vertrieb@usd.de.
Ist ein ASV Scan sinnvoll, wenn die Inhalte der Webseite nur nach dem Login zugänglich sind?
Ja, ein ASV Scan ist auch in diesem Fall sinnvoll. Ziel des ASV Scans ist es nicht, die fachlichen Inhalte Ihrer Webseite zu überprüfen, sondern die technische Sicherheit der Webseite und des zugrunde liegenden Webservers zu beurteilen. Der Scanner untersucht, ob bekannte Schwachstellen oder sicherheitsrelevante Merkmale auf technischer Ebene erkennbar sind – unabhängig davon, ob die eigentlichen Inhalte der Seite nur nach dem Login einsehbar sind.
Hängen die Kosten für einen ASV Scan von der Anzahl meiner Scankomponenten (IP-Adressen/Domains) ab?
Ja, die Kosten richten sich nach der Anzahl der im Scan beinhalteten Komponenten. Einen Überblick finden Sie in unserer aktuellen Preisliste .
Welchen IP-Adressbereich muss ich vor dem Scan-Prozess freischalten?
Unsere ASV Scans werden ausschließlich von den folgenden IP-Adressbereichen durchgeführt:
- 64.39.96.1 – 64.39.111.254 (CIDR 64.39.96.0/20)
- 139.87.112.1 – 139.87.113.254 (CIDR 139.87.112.0/23) NEU
Bitte stellen Sie sicher, dass gegebenenfalls vorhandene Sicherheitsmechanismen wie Intrusion Detection/Prevention Systems (IDS/IPS) so konfiguriert sind, dass unsere Scan-Systeme uneingeschränkten Zugriff auf die zu prüfenden Komponenten erhalten.
Während des Security Scans ist es erforderlich, dass die genannten IP-Adressbereiche ohne Einschränkung auf Ihre Zielsysteme zugreifen können. Da ein externer Schwachstellen-Scan in Art und Umfang einem gezielten Angriff ähnelt, müssen Schutzmechanismen wie IDS/IPS für die Dauer des Scans entsprechend angepasst werden, um Unterbrechungen im Scan-Prozess zu vermeiden.
Alle Zugriffe der usd AG im Rahmen solcher Security Scans erfolgen ausschließlich von den oben genannten IP-Adressbereichen.
Kann ich den Zeitpunkt des ASV Scans selbst festlegen?
Ja, die Planung des ASV Scans liegt vollständig in Ihrer Zuständigkeit. Die usd AG kann keine Scans für Sie terminieren. Sie sind dazu aufgefordert, den passenden Zeitpunkt für den Scan selbst zu wählen und einzuplanen.
Wie scannt man am besten eine Cloud-basierte Lösung?
Stellen Sie sicher, dass eine feste IP-Adresse oder ein FQDN während des Scans erreichbar ist. Der physische Standort ist nicht entscheidend, solange die Komponente extern erreichbar bleibt.
Wie scannt man, wenn ein Loadbalancer genutzt wird? Was ist dabei zu berücksichtigen?
Damit die gesamte Umgebung vom Scan erfasst wird, muss der Loadbalancer mit den angeschlossenen Systemen synchronisiert sein und alle Anfragen während des Scans eins zu eins an die dahinterliegenden Systeme weiterleiten.
Können FQDNs (Fully Qualified Domain Names) gescannt werden, deren IP-Adresse sich dynamisch ändert?
Ja, das ist möglich, sofern sich die IP-Adresse während des Scanzeitraums nicht ändert.
Können Systeme gescannt werden, bei denen CloudFront vorgeschaltet ist?
Grundsätzlich ja, solange keine Firewall oder andere Schutzmaßnahmen die Scan-Anfragen blockiert.
Ich werde bei der Planung des Scans immer wieder in den Webshop weitergeleitet. Was mache ich falsch?
Bitte prüfen Sie, ob Sie für die Anzahl der hinterlegten Scankomponenten noch einen passenden, bisher ungeplanten ASV Scan zur Verfügung haben. Kommen Sie gerne auf uns zu, falls Ihre aktuelle Bestellung nicht ausreicht.
Wo kann ich prüfen, ob ich noch einen ungeplanten ASV Scan zur Verfügung habe?
Die Anzahl Ihrer noch verfügbaren, ungeplanten ASV Scans sehen Sie im Bereich „Scanprojekte“ (links im Menü unter „ASV Scans“). Im Banner finden Sie einen Hinweis auf die verfügbaren Scans. Mit einem Klick auf „Details“ sehen Sie nicht nur die genaue Anzahl, sondern auch die Gültigkeitsdauer Ihrer verbleibenden Scans.
Muss der ASV Scan immer auf einem Produktivsystem durchgeführt werden, oder reicht ein Testsystem aus?
Der Scan sollte immer auf der Live-Umgebung durchgeführt werden. Insbesondere bei von außen erreichbaren Systemen liegt der Fokus auf der Sicherheit der tatsächlich produktiv eingesetzten Systeme.