# Welche Systeme bzw. Scankomponenten müssen bei einem PCI DSS ASV Scan untersucht werden?

Im Verlaufe eines PCI DSS ASV Scans müssen alle Systeme des Händlers bzw. seines jeweiligen Service Providers, die Kreditkartendaten verarbeiten und über das Internet erreichbar sind, auf Schwachstellen hin untersucht werden. Dies betrifft insbesondere Web-Server, Mail-Server, Router, Firewalls, Applikations-Server, Datenbank-Server und Load-Balancer. Als Scankomponente zählen IP-Adressen sowie Domains. Domains können auch als virtual host angelegt werden.

Falls Sie sich unsicher sind, welche Ihrer Systeme betroffen sind, beraten wir Sie gern (opens new window).

# Welche technischen Voraussetzungen müssen gegeben sein, um einen ASV Scan durch die usd AG zu ermöglichen?

Folgende technische Voraussetzungen sind für die Nutzung der PCI DSS Plattform notwendig:

  1. Stellen Sie sicher, einen aktuellen Browser (bspw. Google Chrome, Mozilla Firefox, Microsoft Edge) zu nutzen.
  2. Benutzen Sie Acrobat Reader in der aktuellsten Version.
  3. Bitte aktivieren Sie JavaScript.
  4. Außerdem empfehlen wir Ihnen die Aktivierung von Cookies.
  5. Für die Durchführung des Scans selbst sind zusätzlich Einstellungen in der IPS/IDS vorzunehmen, die Sie bei der Scanplanung angezeigt bekommen.

# Wie plane ich einen ASV Scan?

Um einen ASV Scan planen zu können, benötigen Sie zum einen Ihre definierten Scankomponenten sowie zum anderen mindestens noch einen Scan. Gehen Sie danach wie folgt vor:

  1. Klicken Sie im Bereich "Schwachstellenscans und Services" auf "Scans & Berichte".
  2. Nutzen Sie den Button "Neuen Scan planen" (oben rechts).
  3. Wählen Sie nun "Scan planen" innerhalb der angezeigten noch verfügbaren Scans aus.
  4. Nachfolgend erhalten Sie die Eingabemaske zu Ihrer Scanplanung. Bitte beachten Sie dort unbedingt den Hinweis zu den erforderlichen Einstellungen für eventuell vorhandene IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems), so dass unsere Scan-Systeme Ihre zu scannenden Komponenten auch erreichen können.
    a) Überprüfen Sie den Liste der Scankomponenten und nehmen Sie ggf. Anpassungen vor.
    b) Lesen und bestätigen Sie die angezeigten Erklärungen.
    c) Bitte geben Sie unter "Special Notes" die Verwendung von Load Balancern sowie von POS-Software an.
    d) Unter "Scan-Profil" können Sie neben des Standard-Scans einstellen, ob der Scan in einer angepassten Geschwindigkeit durchgeführt werden soll.
    e) Geben Sie nun unter "Scan Datum" Ihren Wunschtermin (Datum und Startzeitpunkt) an. Für die Planung und Durchführung verwendet die Plattform die koordinierte Weltzeit (UTC).
    f) Schließen Sie Ihre Eingaben mit "Scan planen" ab.
  5. Ihr ASV Scan ist nun geplant und erscheint zudem unter "Scans & Berichte".

Übrigens: Mittels "Plan ändern" können Sie vor dem Startzeitpunkt Ihre Planung selbstständig anpassen.

# Welche Scanprofile gibt es und was bedeuten sie?

Standard Scanprofil
Bei dem voreingestellten Standard-Scanprofil werden die Systeme mit normaler Geschwindigkeit gescannt. Dabei werden 5 Komponenten gleichzeitig gescannt.
Im Normalfall führt dieses Scanprofil zu keinen weiteren Beeinträchtigungen durch z.B. eine hohe Auslastung auf den Zielsystemen. Dies ist das von uns empfohlene Scanprofil.

Sie haben auch die Möglichkeit, vom Standardprofil abzuweichen und die folgenden Scanprofile für Ihren Scan auszuwählen:

Langsames Scanprofil
Die Systeme werden hierbei nicht, wie bei den anderen Scanprofilen, parallel gescannt, sondern nacheinander. Dadurch ist die Scangeschwindigkeit deutlich verringert. Sollte abzusehen sein, dass der Scan die Zielsysteme so stark auslasten würde, dass es zu Beeinträchtigungen kommen würde, kann dieses Scanprofil gewählt werden.

Schnelles Scanprofil
Um einen schnelleren Abschluss des Scans zu erreichen, werden 10 Komponenten gleichzeitig gescannt.
Wenn aus vorherigen Scans bereits bekannt ist, dass die Scandauer mit dem Standard-Profil besonders lang ist, ist dieses Profil zu empfehlen. Bitte beachten Sie, dass hierdurch Ihre Zielsysteme am stärksten belastet werden.

"Ohne vorab Ping-Test (langsam)" Scanprofil
Entgegen der oben genannten Scanprofile, welche alle eine Vorab-Ping-Abfrage enthalten, wird mit diesem Profil auf eine Prüfung der Erreichbarkeit Ihrer Systeme per Ping-Abfrage verzichtet. Ansonsten scannt dieses Scanprofil analog zum langsamen Scanprofil.
Falls aus einem vorangegangenen Scan bereits bekannt sein sollte, dass durch die Ping-Abfrage einige Ports nicht unmittelbar erreichbar sind und somit fälschlicherweise als "offline" bzw. "host not alive" markiert werden würden, kann mit der Auswahl dieses Profils auf die Ping-Abfrage verzichtet werden. Somit werden alle Systeme sofort gescannt, ohne Prüfung, ob sie auch tatsächlich auf den Ping reagieren.

# Welchen IP-Adressbereich muss ich vor dem Scan-Prozess freischalten?

Alle Scans werden von unseren Scan-Systemen aus den folgenden IP-Adressbereichen durchgeführt:
64.39.96.1 - 64.39.111.254 (CIDR 64.39.96.0/20)

Bitte konfigurieren Sie eventuell vorhandene IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems) so, dass unsere Scan-Systeme uneingeschränkten Zugriff auf die zu scannenden Komponenten erhalten.

Während der Durchführung eines Security Scans ist es notwendig, dass diejenigen Systeme, die die Überprüfung vornehmen, uneingeschränkten Zugriff auf die Zielsysteme erhalten. Da ein solcher Security Scan der Vorbereitung eines zielgerichteten Angriffs auf Ihre Systeme ähnelt, ist es zwingend erforderlich, Mechanismen, die der Abwehr solcher Angriffe dienen, wie z.B. Intrusion Detection, bzw. Prevention Systems (IDS/IPS), so zu konfigurieren, dass die Arbeit des Security Scanners nicht behindert wird. Alle Zugriffe, die die usd AG im Rahmen solcher Security Scans auf Ihre Systeme unternimmt, stammen von den IP-Adressbereichen 64.39.96.1 – 64.39.111.254.

# Wie läuft ein ASV Scan-Prozess ab?

Die wichtigsten Schritte in Kürze:

  1. Kunde: Scoping (Defintion des Untersuchungsbereichs durch Benennung der Scan-Komponenten)
  2. Kunde: Scanplanung (ggf. zuvor Leistungsbestellung, falls Sie keinen Scan verfügbar haben)
  3. Kunde/usd AG: Durchführung des Scans
  4. usd AG: Review der Ergebnisse und Berichterstattung an den Kunden
  5. Kunde: Ergänzende Angaben und/oder Beheben von gefundenen Schwachstellen
  6. Kunde: Planung eines Rescans (nach Bedarf)
  7. usd AG: Review der Ergebnisse und abschließende Berichterstattung
  8. Kunde: Finale Bestätigung der Angaben und Ergebnisse und damit Erreichung der PCI DSS Compliance für den ASV Scan

Bitte beachten Sie, dass dies einen beispielhaften Verlauf eines ASV Scan-Prozesses darstellt. Hierfür kann es weitere Varianten geben, die individuell auf Ihren Scan zutreffen.

# Ist es möglich, den ASV Scan-Lauf vorher zu testen?

Nein, dies ist nicht möglich.

# Kann ich den Zeitpunkt des ASV Scans selbst festlegen?

Ja, Sie können grundsätzlich den Zeitpunkt frei wählen und den Termin über die PCI DSS Plattform selbst festlegen. Wir empfehlen Ihnen, Ihren ASV Scan frühzeitig zu planen, damit wir die entsprechenden Ressourcen für Ihren gewünschten Termin planen halten können.

# Hängen die Kosten für einen ASV Scan von der Anzahl meiner Scankomponeten (IP-Adressen/Domains) ab?

Grundsätzlich ja. Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unserer Homepage oder direkt beim usd PCI Competence Center.

# Wie scannt man am besten eine Cloud-basierte Lösung?

Der Scanner benötigt eine IP-Adresse oder eine FQDN. Solange alle Systeme erreicht werden, ist es irrelevant, wo sie tatsächlich liegen.

# Wie scannt man, wenn ein Loadbalancer genutzt wird? Was ist dabei zu berücksichtigen?

Um sicherzustellen, dass die Umgebung vollständig gescannt wird, muss der Loadbalancer mit dem dahinterliegenden System synchronisiert sein und alle Anfragen 1 zu 1 weiterleiten.

# Können FQDNS (Fully-Qualified Domain Name) gescannt werden, bei denen sich die IP-Adresse dynamisch ändert?

Nein. Vor Scanbeginn wird eine Scankomponente festgelegt, welche für die Dauer des Scans auf dieselbe IP-Adresse auflösen muss.

# Können Systeme gescannt werden, bei denen Cloudfront vorgeschaltet ist?

Grundsätzlich kann jede IP-Adresse gescannt werden. Hier ist jedoch darauf zu achten, dass es keine Firewalls o.ä. gibt, die den Scan blockieren könnten.

hilfe kachel bild

Haben Sie noch offene Fragen?

Gerne ist unser PCI Competence Center für Sie da. Nutzen Sie unser Kontaktformular, um uns Ihre Anfrage bequem und direkt zu senden. Alternativ haben Sie die Möglichkeit, uns Ihre Frage per E-Mail an pci@usd.de oder per Sprachnachricht unter der Telefonnummer +49 (0) 6102 8631-90 zu senden.