Starker Richtlinienkatalog gegen Datendiebe aus dem Netz

Gemeinsam Lösungen finden
mit Kompetenz werben

Login

Registrieren

Global filtern nach Kategorien:

Ihre Suche

Erweiterte Suche

Titel / Name:

Online seit:

Region:

Untertitel:

Thema / Center:

Qualitäts Level:

Suchkriterien zurücksetzen

Allgemeine Informationen zur Competence Site

AGB Anbieterverzeichnis

Semantisches Klassifikations-Profil des Dokuments (u.a. Extrakt)

sichere_webshops.pdf

Starker Richtlinienkatalog gegen Datendiebe aus dem Netz Der Datensicherheitsstandard der Kreditkartenindustrie dient Webshop- Betreibern und Online-Käufern als verlässliches Qualitätssiegel Von Cyrill Osterwalder Drei, zwei, eins ... meins – Mit diesem Slogan verkündet das weltweit größte Internetauktionshaus eBay, dass bei ihnen Waren schnell und einfach ver- und ersteigert werden können. Hacker und Online-Diebe sollen jedoch nicht so problemlos an die Daten ahnungsloser Interneteinkäufer gelangen. Webshop- Besitzer, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln müssen sich daher an die Datensicherheitsrichtlinien der Kreditkartenindustrie halten. Dieser so genannte Payment Card Industry Data Security Standard (PCI DSS) besteht aus zwölf Anforderungen an die Rechnernetze der Online-Händler. Übertreten diese den Regelkatalog, kann es teuer werden: Je nach Umsatzvolumen werden Strafen verhängt, Einschränkungen ausgesprochen oder sogar die Annahme von Kreditkarten untersagt. Große eShop-Händler müssen die Sicherheit ihrer Netwerke alle drei Monate extern prüfen lassen. Die Umsatz- und Käuferzahlen im Internet wachsen kontinuierlich. Nach Angaben des Bundesverbandes der Digitalen Wirtschaft (BVDW) gab es 2006 in Deutschland über 27 Millionen Online-Shopper.1 2001 waren es noch weniger als 13 Millionen. Das Risiko, Opfer von Internet-Kriminellen zu werden wird demnach immer größer. Bei elektronischen Angriffen wollen die Hacker nicht nur den Webshop, sondern auch andere, interne Daten wie Kreditkarteninformationen ausspionieren. Die Richtlinien der Kreditkartenindustrie sind nicht nur ein verlässlicher Sicherheitsstandard für Webapplikationen. Sie vergrößern auch das Vertrauen der Kunden in die Online- Angebote. Bei der Umfrage “E-Commerce 2006” von EuPD Research gab ein Drittel der Befragten die Absicherung vor Datenmissbrauch als wichtigstes Kriterium bei der Bezahlung im Internet an. Doch wie hilft der PCI Data Security Standard, das Internet in ein sicheres und vertrauenswürdiges Einkaufszentrum zu verwandeln? Hier gibt es zum Einen die Payment Card Industry Security Vendor Alliance (PCI SVA), einen 1 www.bvdw.org Zusammenschluss von IT-Sicherheitsherstellern, die das Anliegen der Kreditkartenunternehmen mit ihren Produkten unterstützen.2 Die Sicherheitsrichtlinien fordern Online-Händler zudem zur Installation und Pflege einer Firewall zum Schutz ihrer Daten auf. Statt auf einem Web Server jedem anonymen Benutzer auf alle potenziell manipulierten HTTP-Anfragen zu antworten, muss sichergestellt werden, dass nur gültige und „gutartige“ Requests den Server erreichen können. Das beginnt bei der SSL- verschlüsselten Verbindung zum Schutz der Verbindung, geht über mehrstufige Filterkomponenten und endet bei einem positiven Sicherheitsmodell für den Webshop, das dynamisch nur gültige Requests zulässt und jegliche Angriffe und Manipulationsversuche abwehrt. Am effizientesten und kostengünstigsten lässt sich die geforderte Kombination von Maßnahmen in einer vorgelagerten Web Application Firewall (WAF) erledigen. Durch sie ist der Schutz stets auf aktuellstem Niveau, und es müssen nicht alle Web Applikationen konstant verändert oder an neue Bedrohungen angepasst werden. Das ist weder zeitlich möglich noch wirtschaftlich sinnvoll. Die WAF kümmert sich um die Terminierung von Verbindungen und Protokollen (TCP, SSL, HTTP, SOAP/XML, SSL VPN, etc.), authentisiert Benutzer getrennt von der Business-Logik und filtert alle Requests auf allen Ebenen. Der Data Security Standard legt außerdem fest, dass Onlineshops ihre Kennwörter und andere Sicherheitseinstellungen nach der Werksauslieferung ändern und die gespeicherten Daten von Kreditkarteninhabern nicht nur schützen, sondern bei einer Übertragung auch verschlüsseln müssen. Neben dem Einsatz und regelmäßigen Update von Virenschutzprogrammen fordert die PCI zudem die Einschränkung von Datenzugriffen auf das Notwendige und das Zuteilen einer eindeutigen Benutzerkennung für jeden Anwender mit Rechnerzugang. Eine der wichtigsten Forderungen auf organisatorischer Ebene sind verlässliche, unternehmensübergreifende Sicherheitspolicies. Nur bei klar definierten Sicherheitsrichtlinien lässt sich ihre Umsetzung entsprechend prüfen und nachvollziehen. Typische Einfallstore für Hacker sind die verschiedenen Injection-Attacken wie beispielsweise SQL-Injection, Command Injection oder Parameter Injection sowie Cross-Site-Scripting (XSS). Es sind aber auch spezifisch auf einen Webshop angelegte Forceful Browsing-Angriffe möglich. 2 http://www.pcialliance.org/ Über den Autor Cyrill Osterwalder ist Experte für Webapplikationssicherheit und CEO bei der auf den Schutz von Onlineanwendungen spezialisierten Visonys AG. Visonys ist erstes deutschsprachiges Mitglied der Payment Card Industry Security Vendor Alliance. Weitere Informationen: www.visonys.de