Leitfaden: PCI-DSS-konforme Serverkonfiguration bei Timme Hosting

Leitfaden: PCI-DSS-konforme Serverkonfiguration bei Timme Hosting

Wenn Sie einen Onlineshop betreiben, der Kreditkartenzahlungen über einen externen Zahlungsdienstleister (wie PayPal, Stripe oder Klarna) abwickelt und selbst keine Kreditkartendaten speichert, müssen Sie bestimmte Anforderungen der PCI-DSS-Richtlinien erfüllen.

Damit Ihr Server bei Timme Hosting diese Vorgaben erfüllt und Sie den notwendigen ASV-Scan erfolgreich bestehen, empfehlen wir folgende Maßnahmen:

Schritt 1: Selbstbewertungsfragebogen (SAQ-A)

Füllen Sie zunächst den PCI-DSS Selbstbewertungsfragebogen (SAQ-A) aus. Dieser Fragebogen bestätigt, dass Sie keine Kreditkartendaten auf Ihrem Server speichern oder verarbeiten: https://docs-prv.pcisecuritystandards.org/SAQ%20(Assessment)/SAQ/PCI-DSS-v4_0_1-SAQ-A-r1-DE.pdf

Schritt 2: Serverkonfiguration im ISPConfig anpassen

Um bei Ihrem Timme-Server optimale Voraussetzungen für den ASV-Scan (in Schritt 3) zu schaffen, empfehlen wir die folgenden Anpassungen im ISPConfig-Panel:

Managed vServer, Managed Server & ScaleServer: Loggen Sie sich bitte über Ihr Server Control Panel ein.


1 Fail2ban Whitelist

Damit der ASV-Scan von Fail2ban nicht blockiert wird, tragen Sie die IP-Adresse oder das Netzwerk, aus dem der Scan erfolgt, in die Fail2ban-Whitelist ein.

  • Loggen Sie sich ein (siehe Hinweis).
  • Sie landen in der Übersicht.
  • Wählen Sie im Hauptmenü den Punkt "System".
  • Gehen Sie nun im linken Seitenmenü unter "System" auf den Unterpunkt "fail2ban-Whitelist".
  • Per Klick auf den Button "Whitelist-Eintrag hinzufügen" fügen Sie eine oder mehrere IP-Adressen zur Whitelist hinzu.
  • Die benötigten IP-Adressen erhalten Sie direkt vom ASV-Dienstleister.

Fail2ban Whitelist
Klicken Sie auf das Bild, um es zu vergrößern.

2 SSH-Konfiguration optimieren

Deaktivieren Sie veraltete und unsichere SSH-Verschlüsselungsalgorithmen.

  • Wählen Sie im Hauptmenü den Punkt "System".
  • Gehen Sie nun im linken Seitenmenü unter "System" auf den Unterpunkt "Serverkonfiguration".
  • Wählen Sie den entsprechenden Server aus.
  • Deaktivieren Sie im ersten Reiter "Server" die Option "Veraltete SSH Verschlüsselungsalgorithmen". Der Schalter muss auf "aus" stehen.
  • Speichern Sie die Änderung mit einem Klick auf den Button "Speichern".

SSH Konfiguration

3 E-Mail-Server absichern

Stellen Sie sicher, dass Ihr Mailserver nur sichere Verbindungen erlaubt.

  • Wechseln Sie in den Reiter "E-Mail".
  • Wählen Sie unter "Minimale TLS-Version" die Option "TLSv1.2" oder höher aus.
  • Aktivieren Sie die Option "Login nur über verschlüsselte Verbindungen erlauben".
  • Speichern Sie die Änderungen mit einem Klick auf den Button "Speichern".

E-Mail-Server absichern

4 Web Apps absichern oder deaktivieren

Apps sollten entweder komplett deaktiviert oder durch eine Passwortabfrage geschützt sein.

  • Wechseln Sie in den Reiter "Web".
  • Scrollen Sie nach unten bis zum ausklappbaren Punkt "Apps vHost Einstellungen".
  • Aktivieren Sie die Option "Apps vHost Port abschalten". Dann sind die aufgelisteten Apps gar nicht mehr erreichbar.
  • ODER: Aktivieren Sie die Option "Basic Auth". Dann müssen vor dem Zugriff auf die Apps die hier von Ihnen eingetragenen Zugangsdaten angegeben werden.
  • ODER: Deaktivieren Sie alle nicht benötigten Dienste.
  • Speichern Sie die Änderungen mit einem Klick auf den Button "Speichern".

Web Apps absichern

5 FTP-Verbindungen absichern oder deaktivieren

FTP sollte entweder verschlüsselt erfolgen oder komplett deaktiviert sein.

  • Wenn Sie FTP nicht benötigen und komplett deaktivieren möchten, wählen Sie im linken Seitenmenü unter "System" den Unterpunkt "Dienste" aus.
  • Wählen Sie den entsprechenden Server und deaktivieren Sie die Option "FTP". Anschließend speichern.

  • ODER: Soll FTP weiter aktiviert bleiben, wählen Sie im linken Seitenmenü unter "System" den Unterpunkt "Serverkonfiguration" aus.
  • Wählen Sie Ihren Server und aktivieren Sie im ersten Reiter "Server" die Option "FTP-Login nur über verschlüsselte Verbindungen".
  • Speichern Sie die Änderung mit einem Klick auf den Button "Speichern".

FTP abschalten
FTP absichern

6 Datenbankzugriff einschränken

Verhindern Sie externen Zugriff auf Ihre Datenbanken, wenn nicht explizit notwendig.

  • Wählen Sie im Hauptmenü den Punkt "Webseiten".
  • Gehen Sie nun im linken Seitenmenü unter "Datenbanken" auf den Unterpunkt "Datenbanken".
  • Wählen Sie die entsprechende Datenbank aus.
  • Deaktivieren Sie unter "Erweiterte Einstellungen" die Option "Entfernter Zugriff". Der Schalter muss auf "aus" stehen.
  • Speichern Sie die Änderung mit einem Klick auf den Button "Speichern".

Datenbankzugriff einschränken

Schritt 3: ASV-Scan durchführen lassen

Mindestens einmal alle drei Monate benötigen Sie einen sogenannten ASV-Scan. Dabei prüft ein unabhängiger und von der Kreditkartenindustrie zugelassener Anbieter automatisiert Ihre Systeme auf Schwachstellen. Eine Lister der zugelassenen Anbieter finden Sie unter https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors

Umgang mit False Positives

Einige ASV-Scanner melden eventuell vermeintliche Sicherheitsprobleme mit OpenSSH, obwohl diese durch Sicherheitsupdates (Backports) abgesichert sind. Insbesondere die CVE-2023-51767 könnte bemängelt werden. Laut OpenSSH ist dies jedoch keine echte Sicherheitslücke und nahezu ausgeschlossen, dass sie in der realen Welt ausgenutzt wird.

Sollten Sie solche Meldungen erhalten, reklamieren Sie diese bitte bei Ihrem ASV-Dienstleister unter Hinweis auf das installierte Patchlevel und zurückportierte Sicherheitsupdates.

Unterstützung durch Timme Hosting

Falls Sie Unterstützung bei diesen Anpassungen benötigen, übernehmen wir das gerne für Sie. Der Aufwand beträgt ca. 15-30 Minuten und wird gemäß unserer Preisliste als individueller Support abgerechnet.

Falls Ihr ASV-Dienstleister eine formlose Bestätigung von uns verlangt, dass der Scan durchgeführt werden darf, stellen wir diese gern bereit. Muss hierfür ein Formular ausgefüllt und unterschrieben werden, berechnen wir dafür ebenfalls etwa 15-30 Minuten Aufwand gemäß unserer Preisliste.

Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.

Finden Sie den passenden Tarif

Unser Tarifberater hilft Ihnen dabei, das passende Paket zu finden. Bei Fragen berät Sie unser Sales-Team sehr gerne unter +49 (0) 4131 / 22 78 1-25 oder sales@timmehosting.de.

Bitte beachten Sie: Der Tarifberater dient nur der groben Orientierung. Ihr tatsächlicher Bedarf kann durch den Ressourcenbedarf Ihrer Anwendung(en), tageszeitabhängige/saisonale/aktionsbedingte Schwankungen des Besucheraufkommens, geplantes Wachstum und weitere Faktoren von der Empfehlung abweichen.

  • 1
  • 2
  • 3
  • 4
  • 5

Was möchten Sie hosten?

einen Shop eine Website beides

Möchten Sie einen oder mehrere Shops hosten? (Eine Multishop-Installation gilt als ein Shop.)

einen Shop mehrere Shops

Möchten Sie eine oder mehrere Websites hosten? (Eine Multisite-Installation gilt als eine Website.)

eine Website mehrere Websites

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

bis 1.000 bis 20.000 bis 100.000 mehr als 100.000

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

bis 1.000 bis 20.000 bis 100.000 mehr als 100.000

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Web Hosting

Zu den ScaleServer Paketen Zu den Web Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Shop Hosting

Zu den ScaleServer Paketen Zu den Shop Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed vServer oder ScaleServer

Zu den Managed vServer Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed Server oder ScaleServer

Zu den Managed Server Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen unsere

Timme Cloud 2.0

Zur Timme Cloud 2.0
zum vorherigen Schritt