Payment Card Industry Data Security Standard
Sicherheitsrichtlinen für Webverkäufer bindend
Mit den Vorgaben des Payment Card Industry Data Security Standards (PCI DSS: www.pcisecuritystandards.org/tech/pci_dss.htm) nimmt die Kreditkartenindustrie die Webverkäufer in die Pflicht: Laut PCI-Mitglied Fortify - einem Anbieter von Security-Lösungen - müssen sich seit dem 30. September 2007 alle größeren Unternehmen, die mit Kreditkartentransaktionen arbeiten, an diese Richtlinien halten. Ansonsten drohen empfindliche Geldbußen und Konsequenzen, die bis zur Verweigerung der Kreditkartenabrechnung reichen können. Für kleinere Webshopbetreiber wird das Regelwerk zum Jahreswechsel verbindlich.
Der PCI Security Standards Council wurde ursprünglich von den Kreditinstituten American Express, Discover Financial Services, JCB, Mastercard Worldwide und Visa International gegründet und besteht mittlerweile aus 308 Unternehmen der Bereiche Security, E-Payment, E-Commerce sowie der Netzwerktechnik. Der Zusammenschluss erarbeitet nicht nur Vorgaben für die virtuelle Bezahlung, sondern liefert auch Tools zur Einhaltung dieser Standards. Dazu zählen Audit-Richtlinien sowie demnächst ein Self-Assessment-Fragebogen.
Problematisch ist nach Einschätzung von Brian Chess, Chief Scientist bei Fortify, insbesondere die in Abschnitt 6 des PCI DSS 1.1 aufgeführte Vorgabe "Entwicklung und Pflege sicherer Systeme und Anwendungen". Denn viele aktive E-Commerce-Systeme seien Applikationen, die seit Ende der 90er-Jahre ihren Dienst verrichteten und Zug um Zug erweitert und nachgebessert wurden. Damals lag das Hauptaugenmerk noch darauf, den Kundenansprüchen in puncto Funktionalität zu entsprechen, sowie auf der Netzwerk- und nicht der Anwendungssicherheit. Wer sein System nachträglich absichern muss, erhält im Absatz 6.6 des PCI Data Security Standards die Best-Practice-Empfehlung, eine Applikation Firewall einzusetzen oder eine professionelle Überprüfung des Codes vorzunehmen. Für Brian Chess sind Firewalls auf Applikationsebene eine effiziente und zuverlässige Methode, um die PCI-Vorgaben zu erfüllen, sofern sie innerhalb der Webanwendungen die sicherheitsrelevanten Funktionen und die Schnittstellen zur Anwendungsprogrammierung (APIs) überwachen.
Ein exemplarischer Fall für die Notwendigkeit solcher verbindlichen Regelungen ist der Hacker-Angriff Ende September auf den Onlineanbieter Kartenhaus.de, der deutschen Unternehmenstochter von Ticketmaster. Dabei wurden Kreditkartennummern sowie Rechnungsanschriften von mehr als 60.000 Ticketverkäufen gestohlen. Potenziell Geschädigte wurden per E-Mail benachrichtigt, auch auf einer eigens eingerichteten Webseite nimmt das Unternehmen dazu Stellung (www.kartenhaus.de/hilfe/). Der Angriff betraf einen Server, den Ticketmaster mit dem Kauf von Kartenhaus 2005 erworben hat.
LANline/dp
Lesen Sie mehr zum Thema
