Betrifft auch Unternehmen ohne WLAN: White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein

In einem technischen Dokument zum DSS (Data-Security-Standard) bei PCI (Payment-Card-Industry) beschreibt Aruba Networks die Anforderungen zur Version 1.2. Der Hersteller geht dabei besonders auf die Aspekte von Wireless-LAN ein.

Im Mai 2007 verliert TJX Companies insgesamt 96 Millionen Kreditkarten-Daten. Möglich wurde der Diebstahl über den Einbruch über das WLAN in Filialen. Um solchen Ereignissen vorzubeugen, hat das PCI-Council (Payment-Card-Industry) unter anderem den DSS (Data-Security-Standard) definiert. Zu dem DSS v1.2 hat der WLAN-Hersteller Aruba Networks nun das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« veröffentlicht, das insbesondere auch auf das Thema Wireless-LAN eingeht. Dieser Aspekt betrifft Unternehmen, die mit Kreditkartendaten arbeiten, auch dann, wenn sie selbst kein Wireless-LAN einsetzen. Gegenüber der Version 1.1 konkretisiert die aktuelle Version unter anderem die Sicherheitsanforderungen bei WLAN.

Anforderungen an die Sicherheit bei PCI-DSS (Payment-Card-Industry-Data-Security-Standard) beim Einsatz von Wireless-LAN, Quelle: Aruba Networks

Die Version 1.2 des DSS-PCI beschreibt Sicherheitsrichtlinien für Händler und Service-Provider, die Kreditkartendaten verarbeiten, speichern oder versenden. Zu den Vorgaben gehören Verfahren wie Firewalls, Verschlüsselung, Authentifizierung und Wireless-Intrusion-Detection (WID) beim Einsatz von WLANs. WID ist allerdings auch vorgeschrieben, wenn kein Wireless-LAN genutzt wird. Dies ist sinnvoll, weil etwa Mitarbeiter nicht genehmigte Access-Points einrichten könnten, um ihre Arbeit zu vereinfachen. Das kann aber wieder zu größeren Sicherheitslücken führen.

PCI-DSS 1.2 beschreibt in zwölf Abschnitten, wie Zahlungssysteme geschützt werden müssen. Dazu gehören auch entsprechende Verfahren, um die Einhaltung der Richtlinien zu überprüfen. Dabei beschreibt der DSS drei Situationen: Es kommt kein WLAN zum Einsatz (Profil 1). Das Unternehmen nutzt ein Wireless-LAN. Es werden darüber aber keine Applikationen genutzt, die Kartendaten verwenden (Profil 2). In der dritten Situation ist auch dies der Fall (Profil 3).

Übersicht