Regensburg, 9. Juni 2008 ---- Zum 1. Juli 2008 verschärfen sich erneut die Vorschriften für die IT-Absicherung von Kreditkartendaten und -transaktionen. Ab diesem Zeitpunkt müssen Online-Shop-Betreiber oder Acquiring & Payment Service Provider Web-Anwendungen durch sogenannte Web Application Firewalls (WAF) absichern oder regelmäßig deren Quellcodes überprüfen. Das schreibt der PCI DSS (Payment Card Industry Data Security Standard) für Systeme vor, in die Kreditkartendaten eingegeben werden. Das einzige europäische Unternehmen, das Produkte für die beiden möglichen Sicherungsmaßnahmen anbietet, ist art of defence aus Regensburg: Die Web Application Firewall hyperguard entspricht der PCI-Spezifikation, nach der ein- und ausgehende Daten auf der sogenannten Anwendungsebene untersucht werden müssen. Für Quellcode-Analysen können Unternehmen aber auch PCI-Auditoren den Web Source Code Analyzer hypersource einsetzen; er analysiert automatisiert den Quellcode auf häufig vorkommende Schwachstellen.
Der PCI-Standard ist der gemeinsame Sicherheitsstandard der Kreditkartenunternehmen; die aktuelle Version ist im vergangenen Jahr in Kraft getreten. Neu zum 1. Juli 2008 ist das verpflichtende Absichern von Web-Anwendungen, zum Beispiel eines Online-Shop-Systems, durch eine WAF oder durch regelmäßige Source-Code-Audits. Bisher war dies eine Best-Practice-Empfehlung.
Welche der beiden möglichen Alternativen aus dem PCI-Standard für ein Unternehmen empfehlenswert ist, hängt von zahlreichen Faktoren ab: Ein Web Source Code Analyzer wie hypersource scannt den Quellcode von Web-Anwendungen und zeigt Schwachstellen direkt im Code auf. Dies erleichtert das schnelle Beseitigen der Fehler. Das Analysewerkzeug beschleunigt so die Prüfung von eigenem oder zugeliefertem Code und trägt zu einem effizienten Abnahmeprozess bei. Wenn der Quellcode von Web-Anwendungen dagegen nicht vorliegt weil beispielsweise ein Online-Shop-System zugekauft wurde oder wenn eine Web-Anwendung aus Performance-Gründen nicht umfassend geändert werden kann bietet sich der Einsatz einer Web Application Firewall wie hyperguard an. Dies sichert auch Web-Anwendungen, die heute sicher entwickelt wurden, für die aber später neue Schwachstellen bekannt werden. Da aufgrund der derzeit sehr dynamischen Situation damit sicher zu rechnen ist, fordert der PCI-Standard im Falle von Source Code Audits nicht nur eine einmalige, sondern eine regelmäßige Prüfung der Web-Applikationen.
circa 2.500 Zeichen
Diesen Text können Sie vom Dr. Haffa & Partner Online-Service im WWW direkt auf Ihren Rechner laden: http://www.haffapartner.de/.
X