Betrifft auch Unternehmen ohne WLAN:
White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein
In einem technischen Dokument zum DSS (Data-Security-Standard) bei PCI (Payment-Card-Industry) beschreibt Aruba Networks die Anforderungen zur Version 1.2. Der Hersteller geht dabei besonders auf die Aspekte von Wireless-LAN ein.
(Fortsetzung des Artikels von Seite 1)
Im Mai 2007 verliert TJX Companies insgesamt 96 Millionen Kreditkarten-Daten. Möglich wurde der Diebstahl über den Einbruch über das WLAN in Filialen. Um solchen Ereignissen vorzubeugen, hat das PCI-Council (Payment-Card-Industry) unter anderem den DSS (Data-Security-Standard) definiert. Zu dem DSS v1.2 hat der WLAN-Hersteller Aruba Networks [1] nun das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« [2] veröffentlicht, das insbesondere auch auf das Thema Wireless-LAN eingeht. Dieser Aspekt betrifft Unternehmen, die mit Kreditkartendaten arbeiten, auch dann, wenn sie selbst kein Wireless-LAN einsetzen. Gegenüber der Version 1.1 konkretisiert die aktuelle Version unter anderem die Sicherheitsanforderungen bei WLAN.
Anforderungen an die Sicherheit bei PCI-DSS (Payment-Card-Industry-Data-Security-Standard) beim Einsatz von Wireless-LAN, Quelle: Aruba Networks
Die Version 1.2 des DSS-PCI beschreibt Sicherheitsrichtlinien für Händler und Service-Provider, die Kreditkartendaten verarbeiten, speichern oder versenden. Zu den Vorgaben gehören Verfahren wie Firewalls, Verschlüsselung, Authentifizierung und Wireless-Intrusion-Detection (WID) beim Einsatz von WLANs. WID ist allerdings auch vorgeschrieben, wenn kein Wireless-LAN genutzt wird. Dies ist sinnvoll, weil etwa Mitarbeiter nicht genehmigte Access-Points einrichten könnten, um ihre Arbeit zu vereinfachen. Das kann aber wieder zu größeren Sicherheitslücken führen.
PCI-DSS 1.2 beschreibt in zwölf Abschnitten, wie Zahlungssysteme geschützt werden müssen. Dazu gehören auch entsprechende Verfahren, um die Einhaltung der Richtlinien zu überprüfen. Dabei beschreibt der DSS drei Situationen: Es kommt kein WLAN zum Einsatz (Profil 1). Das Unternehmen nutzt ein Wireless-LAN. Es werden darüber aber keine Applikationen genutzt, die Kartendaten verwenden (Profil 2). In der dritten Situation ist auch dies der Fall (Profil 3).
Für den Einsatz von WLANs (Profil 2 und 3) schreibt Anforderung 1.2.3 vor, dass zwischen den Funknetzen und dem LAN eine Perimeter-Firewall arbeiten muss. Der Einsatz des unsicheren Schutzes WEP (Wired-Equivalent-Privacy) ist nicht mehr erlaubt. Die Anforderung 4.1.1 verbietet WEP für neue Systeme ab dem 31. März 2009. Bestehende WLANs dürfen das nicht mehr ab dem 30. Juni 2010. Den prinzipiellen Einsatz eines WID-Systems regelt die Ziffer 11.1.
Das White-Paper »Security Is In The Air - Complying With The PCI DSS v1.2 Standard« von Aruba Networks
Aruba bietet selbst Lösungen an, um die Anforderungen zu erfüllen. Der Hersteller definiert dazu drei Kategorien. Für das reine Monitoring kommt die »AirWave Wireless Management Suite« zum Einsatz. Als zweiten Schritt gibt es den Einsatz von Arubas Wireless-Controllern und WLAN-Sensoren für die Überwachung. Im dritten Schritt kommen Access-Points für den Netzwerkzugang von Anwendern dazu. Eine auf Rollen basierende Zugangskontrolle sichert das WLAN zusätzlich ab.
»Das Einrichten und Betreiben von PCI-konformen Systemen erhöht den Sicherheitsstandard und hilft, Schwachstellen zu vermeiden. Darüber hinaus wirkt es sich positiv auf den Markennamen des Händlers aus. Es zeigt schließlich, dass das Unternehmen vertrauensvoll mit privaten Informationen seiner Kunden umgeht«, so Manav Khurana, Head of Industry-Marketing bei Aruba. »Händler, die nicht konform zu den PCI-Standards agieren, riskieren nicht nur ihren guten Namen und Rechtsstreitigkeiten mit Kunden. Sie müssen auch mit Geldstrafen durch die Kreditkartengesellschaften rechnen.«
[1] http://www.arubanetworks.com/
[2] http://www.arubanetworks.com/pdf/technology/whitepapers/wp_PCI.pdf
- 1. Seite: White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein
- 2. Seite: White-Paper von Aruba führt in WLAN-Sicherheit bei PCI ein (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
