Betrifft auch Unternehmen ohne WLAN:
White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein

von Werner Veith (werner.veith@networkcomputing.de)

Share
31.10.2008

In einem technischen Dokument zum DSS (Data-Security-Standard) bei PCI (Payment-Card-Industry) beschreibt Aruba Networks die Anforderungen zur Version 1.2. Der Hersteller geht dabei besonders auf die Aspekte von Wireless-LAN ein.

(Fortsetzung des Artikels von Seite 1)

Im Mai 2007 verliert TJX Companies insgesamt 96 Millionen Kreditkarten-Daten. Möglich wurde der Diebstahl über den Einbruch über das WLAN in Filialen. Um solchen Ereignissen vorzubeugen, hat das PCI-Council (Payment-Card-Industry) unter anderem den DSS (Data-Security-Standard) definiert. Zu dem DSS v1.2 hat der WLAN-Hersteller Aruba Networks [1] nun das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« [2] veröffentlicht, das insbesondere auch auf das Thema Wireless-LAN eingeht. Dieser Aspekt betrifft Unternehmen, die mit Kreditkartendaten arbeiten, auch dann, wenn sie selbst kein Wireless-LAN einsetzen. Gegenüber der Version 1.1 konkretisiert die aktuelle Version unter anderem die Sicherheitsanforderungen bei WLAN.

Anforderungen an die Sicherheit bei PCI-DSS (Payment-Card-Industry-Data-Security-Standard) beim Einsatz von Wireless-LAN, Quelle: Aruba Networks

Die Version 1.2 des DSS-PCI beschreibt Sicherheitsrichtlinien für Händler und Service-Provider, die Kreditkartendaten verarbeiten, speichern oder versenden. Zu den Vorgaben gehören Verfahren wie Firewalls, Verschlüsselung, Authentifizierung und Wireless-Intrusion-Detection (WID) beim Einsatz von WLANs. WID ist allerdings auch vorgeschrieben, wenn kein Wireless-LAN genutzt wird. Dies ist sinnvoll, weil etwa Mitarbeiter nicht genehmigte Access-Points einrichten könnten, um ihre Arbeit zu vereinfachen. Das kann aber wieder zu größeren Sicherheitslücken führen.

PCI-DSS 1.2 beschreibt in zwölf Abschnitten, wie Zahlungssysteme geschützt werden müssen. Dazu gehören auch entsprechende Verfahren, um die Einhaltung der Richtlinien zu überprüfen. Dabei beschreibt der DSS drei Situationen: Es kommt kein WLAN zum Einsatz (Profil 1). Das Unternehmen nutzt ein Wireless-LAN. Es werden darüber aber keine Applikationen genutzt, die Kartendaten verwenden (Profil 2). In der dritten Situation ist auch dies der Fall (Profil 3).

Für den Einsatz von WLANs (Profil 2 und 3) schreibt Anforderung 1.2.3 vor, dass zwischen den Funknetzen und dem LAN eine Perimeter-Firewall arbeiten muss. Der Einsatz des unsicheren Schutzes WEP (Wired-Equivalent-Privacy) ist nicht mehr erlaubt. Die Anforderung 4.1.1 verbietet WEP für neue Systeme ab dem 31. März 2009. Bestehende WLANs dürfen das nicht mehr ab dem 30. Juni 2010. Den prinzipiellen Einsatz eines WID-Systems regelt die Ziffer 11.1.

Das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« von Aruba Networks

Aruba bietet selbst Lösungen an, um die Anforderungen zu erfüllen. Der Hersteller definiert dazu drei Kategorien. Für das reine Monitoring kommt die »AirWave Wireless Management Suite« zum Einsatz. Als zweiten Schritt gibt es den Einsatz von Arubas Wireless-Controllern und WLAN-Sensoren für die Überwachung. Im dritten Schritt kommen Access-Points für den Netzwerkzugang von Anwendern dazu. Eine auf Rollen basierende Zugangskontrolle sichert das WLAN zusätzlich ab.

»Das Einrichten und Betreiben von PCI-konformen Systemen erhöht den Sicherheitsstandard und hilft, Schwachstellen zu vermeiden. Darüber hinaus wirkt es sich positiv auf den Markennamen des Händlers aus. Es zeigt schließlich, dass das Unternehmen vertrauensvoll mit privaten Informationen seiner Kunden umgeht«, so Manav Khurana, Head of Industry-Marketing bei Aruba. »Händler, die nicht konform zu den PCI-Standards agieren, riskieren nicht nur ihren guten Namen und Rechtsstreitigkeiten mit Kunden. Sie müssen auch mit Geldstrafen durch die Kreditkartengesellschaften rechnen.«

[1] http://www.arubanetworks.com/
[2] http://www.arubanetworks.com/pdf/technology/whitepapers/wp_PCI.pdf

Verwandte Artikel