Änderungen beim PCI-Standard

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Änderungen beim PCI-Standard

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Die neue Version der Referenzliste für Risiken bei Web-Anwendungen (OWASP Top Ten) ist soeben erschienen, dadurch ändert sich der PCI-Standard.

Die neue Version der „OWASP Top Ten“ ist am 19. April 2010 erschienen; dadurch ändert sich auch der PCI- (Payment-Card-Industrie-) Standard, der Sicherheitsstandard der Kreditkartenindustrie. Darauf weist Alexander Meisel, CTO und Geschäftsführer von art of defence, hin. Der PCI-Standard gilt für Web-Shops und alle anderen Web-Anwendungen, die Kreditkarteninformationen verarbeiten. Die OWASP ist ein internationaler Zusammenschluss von Experten und Interessierten, der über Web-Applikationssicherheit aufklärt.

Der PCI-Standard für Datensicherheit bei Kreditkartendaten verweist in Kapitel 6.5 auf die jeweils aktuelle Version der OWASP Top Ten, eine Zusammenstellung von zehn schwerwiegenden Risiken für Web-Anwendungen. Um PCI-compliant zu sein, müssen Unternehmen ihre PCI-relevanten Web-Applikationen explizit vor diesen Risiken schützen. Die OWASP Top Ten sind jetzt als neue Version „OWASP Top Ten 2010“ erschienen (siehe http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project). Dabei wurden erstmals keine konkreten Schwachstellen in Applikationen, sondern Risiken von Web-Anwendungen nach ihrer Relevanz für die Unternehmenssicherheit bewertet. Dies hat unter anderem zu einer neuen Gewichtung verschiedener bekannter Schwachstellen beziehungsweise Risiken wie Injection, Cross Site Scripting oder unsicheres Session Management geführt.

Zudem sind zwei Bedrohungen neu hinzugekommen: Fehlkonfigurationen von Security-relevanten Komponenten und ungeprüfte Um- oder Weiterleitungen. Letztere werden häufig eingesetzt, um User innerhalb einer Seite weiterzuleiten.

Eine Möglichkeit, Um- oder Weiterleitungen technisch umzusetzen, sind so genannte Redirects in der URL. Sie können unter bestimmten Voraussetzungen zum Risiko für die Sicherheit von Web-Anwendungen werden: Ähnlich wie bei Phishing-Angriffen lockt ein Angreifer Nutzer auf eine Website mit dieser Schwachstelle. Für die Weiterleitung setzt er den Link auf eine Webadresse seiner Wahl und lockt damit den Nutzer beispielsweise auf eine Site, die automatisch Malware auf seinem Rechner installiert. Eine andere Möglichkeit ist, dass der Angreifer durch die geschickte Wahl des Links Zugriff auf Funktionen der Applikation erhält, die von außen gar nicht aufrufbar sein dürften. Dadurch kann er sich dann gegebenenfalls weiteren Zugriff auf interne Daten oder Ähnliches verschaffen.

Bereits seit Jahren benutzen viele Unternehmen weltweit hyperguard insbesondere dazu, alle Anforderungen des PCI-Standards hinsichtlich Web-Anwendungssicherheit umfassend zu erfüllen. Wie das oben genannte Beispiel der Absicherung von Um- und Weiterleitungen zeigt, bietet hyperguard umfassenden Schutz, der deutlich über die jeweilige OWASP Top Ten hinausgeht.

www.artofdefense.de

 

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Eine neue Studie von Mapp hat die Veränderungen des Internet-Traffic in der aktuellen Corona-Pandemie untersucht. Demnach hat die Krise auf einzelne Branchen und ihre Internetauftritte sehr unterschiedliche Auswirkungen.
Sie haben eine neue E-Commerce-Plattform gestartet? Die ersten Bestellungen trudeln ein und alles scheint durch die angebundenen Systeme zu laufen? Herzlichen Glückwunsch! Zeit, erst einmal durchzuatmen und einige Wochen alles so laufen zu lassen? Warum die Arbeit jetzt erst richtig losgeht, erklärt André Roitzsch von Shopmacher.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Fashion commerce

Wann jetzt handeln gefragt ist

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.