Betrifft auch Unternehmen ohne WLAN:
White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein
In einem technischen Dokument zum DSS (Data-Security-Standard) bei PCI (Payment-Card-Industry) beschreibt Aruba Networks die Anforderungen zur Version 1.2. Der Hersteller geht dabei besonders auf die Aspekte von Wireless-LAN ein.
Im Mai 2007 verliert TJX Companies insgesamt 96 Millionen Kreditkarten-Daten. Möglich wurde der Diebstahl über den Einbruch über das WLAN in Filialen. Um solchen Ereignissen vorzubeugen, hat das PCI-Council (Payment-Card-Industry) unter anderem den DSS (Data-Security-Standard) definiert. Zu dem DSS v1.2 hat der WLAN-Hersteller Aruba Networks [1] nun das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« [2] veröffentlicht, das insbesondere auch auf das Thema Wireless-LAN eingeht. Dieser Aspekt betrifft Unternehmen, die mit Kreditkartendaten arbeiten, auch dann, wenn sie selbst kein Wireless-LAN einsetzen. Gegenüber der Version 1.1 konkretisiert die aktuelle Version unter anderem die Sicherheitsanforderungen bei WLAN.
Anforderungen an die Sicherheit bei PCI-DSS (Payment-Card-Industry-Data-Security-Standard) beim Einsatz von Wireless-LAN, Quelle: Aruba Networks
Die Version 1.2 des DSS-PCI beschreibt Sicherheitsrichtlinien für Händler und Service-Provider, die Kreditkartendaten verarbeiten, speichern oder versenden. Zu den Vorgaben gehören Verfahren wie Firewalls, Verschlüsselung, Authentifizierung und Wireless-Intrusion-Detection (WID) beim Einsatz von WLANs. WID ist allerdings auch vorgeschrieben, wenn kein Wireless-LAN genutzt wird. Dies ist sinnvoll, weil etwa Mitarbeiter nicht genehmigte Access-Points einrichten könnten, um ihre Arbeit zu vereinfachen. Das kann aber wieder zu größeren Sicherheitslücken führen.
PCI-DSS 1.2 beschreibt in zwölf Abschnitten, wie Zahlungssysteme geschützt werden müssen. Dazu gehören auch entsprechende Verfahren, um die Einhaltung der Richtlinien zu überprüfen. Dabei beschreibt der DSS drei Situationen: Es kommt kein WLAN zum Einsatz (Profil 1). Das Unternehmen nutzt ein Wireless-LAN. Es werden darüber aber keine Applikationen genutzt, die Kartendaten verwenden (Profil 2). In der dritten Situation ist auch dies der Fall (Profil 3).
Für den Einsatz von WLANs (Profil 2 und 3) schreibt Anforderung 1.2.3 vor, dass zwischen den Funknetzen und dem LAN eine Perimeter-Firewall arbeiten muss. Der Einsatz des unsicheren Schutzes WEP (Wired-Equivalent-Privacy) ist nicht mehr erlaubt. Die Anforderung 4.1.1 verbietet WEP für neue Systeme ab dem 31. März 2009. Bestehende WLANs dürfen das nicht mehr ab dem 30. Juni 2010. Den prinzipiellen Einsatz eines WID-Systems regelt die Ziffer 11.1.
Das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« von Aruba Networks
Aruba bietet selbst Lösungen an, um die Anforderungen zu erfüllen. Der Hersteller definiert dazu drei Kategorien. Für das reine Monitoring kommt die »AirWave Wireless Management Suite« zum Einsatz. Als zweiten Schritt gibt es den Einsatz von Arubas Wireless-Controllern und WLAN-Sensoren für die Überwachung. Im dritten Schritt kommen Access-Points für den Netzwerkzugang von Anwendern dazu. Eine auf Rollen basierende Zugangskontrolle sichert das WLAN zusätzlich ab.
»Das Einrichten und Betreiben von PCI-konformen Systemen erhöht den Sicherheitsstandard und hilft, Schwachstellen zu vermeiden. Darüber hinaus wirkt es sich positiv auf den Markennamen des Händlers aus. Es zeigt schließlich, dass das Unternehmen vertrauensvoll mit privaten Informationen seiner Kunden umgeht«, so Manav Khurana, Head of Industry-Marketing bei Aruba. »Händler, die nicht konform zu den PCI-Standards agieren, riskieren nicht nur ihren guten Namen und Rechtsstreitigkeiten mit Kunden. Sie müssen auch mit Geldstrafen durch die Kreditkartengesellschaften rechnen.«
[1] http://www.arubanetworks.com/
[2] http://www.arubanetworks.com/pdf/technology/whitepapers/wp_PCI.pdf
- 1. Seite: White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein
- 2. Seite: White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein (Fortsetzung)
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Mathematik Software
Die Leserkommentare sind für diesen Artikel deaktiviert.