Suchen

Wireless Security Guide vom PCI Standards Council Das WLAN gemäß der PCI-DSS-Richtlinie einrichten und absichern

| Redakteur: Stephan Augsten

Für alle Unternehmen, die ihre Funknetzwerke gemäß dem Payment Card Industry Data Security Standard absichern müssen, hat das PCI Standards Council eine schrittweise Anleitung entwickelt. Der Leitfaden beinhaltet zahlreiche Empfehlungen, wie ein 802.11-WLAN im Einklang mit der Compliance-Richtlinie gebracht und eingerichtet werden kann.

Firmen zum Thema

PCI DSS v1.2 schreibt vor, das veraltete WEP zur Absicherung von Funknetzen durch aktuellere Standards zu ersetzen.
PCI DSS v1.2 schreibt vor, das veraltete WEP zur Absicherung von Funknetzen durch aktuellere Standards zu ersetzen.
( Archiv: Vogel Business Media )

Der Payment Card Industry Data Security Standard (PCI DSS) gilt für sämtliche Unternehmen, die Kreditkartendaten speichern, verarbeiten und übermitteln. Das Regelwerk beinhaltet gleich mehrere Paragrafen, die auch den Schutz kabelloser Infrastrukturen betreffen.

So verlangt PCI DSS v1.2 von Unternehmen, den veralteten WEP-Standard zur Absicherung von Funknetzen bis zum 30. Juni 2010 durch aktuellere Entwicklungen zu ersetzen. Mit IEEE 802.11i besteht bereits ein solch erweiterter Standard – den es allerdings erst einmal umzusetzen gilt.

Mit einer Schritt-für-Schritt-Anleitung zur Einrichtung und Absicherung von Funknetzen (WLANs) gibt das PCI Standards Council hierbei eine gute, wenn auch rein englischsprachige Hilfestellung. Der Leitfaden richtet sich einerseits an Unternehmen, für die PCI DSS verbindlich ist, sowie an Compliance-Auditoren.

Das 28-seitige PDF-Dokument analysiert die WLAN-Anforderungen des Standards und beinhaltet Empfehlungen bezüglich der Umsetzungen. Zu den Inhalten gehören unter anderem die Inventarisierung von WLAN-Komponenten inklusive Ermittlung von Rogue Access Points (APs), WLAN-Segementierung, die physikalische Absicherung von Funkgeräten oder auch technische Sicherheitsvorrichtungen wie Intrusion-Prevention-Systeme.

Mit dem Leitfaden wolle man dem zunehmenden Einsatz von Wi-Fi-Komponenten bei Kreditkarten-Transaktionen Rechnung tragen, erläutert Doug Manchester, Direktor für Produktsicherheit bei VeriFone. Als Vorsitzender der Special Interest Group (SIG) für kabellose Technologien ist er im PCI Standards Council tätig und sieht seine Gruppe in der Pflicht, in Sachen WLAN-Sicherheit für Klarheit zu sorgen und möglichen Missverständnissen vorzubeugen.

Über 40 Unternehmen engagieren sich derzeit in der sogenannten Wireless SIG, darunter Groß- und Einzelhändler, Banken und Netzwerk-Sicherheitsanbieter. Die Interessengruppe existiert seit vergangenem Sommer neben weiteren SIGs, die sich beispielsweise mit Virtualisierung oder Netzwerk-Scoping befassen.

Die Dringlichkeit für WLAN-Sicherheit und einen entsprechenden Leitfaden verdeutlichen Vorfälle, bei denen es Cyber-Kriminellen gelungen ist, sensible Informationen über Funknetze auszuspähen. So gilt schwache WLAN-Sicherheit beispielsweise als Hauptgrund für den Sicherheitsvorfall beim Einzelhändler TJX, bei dem über 45 Millionen Kreditkarten Kredit- und Debitkarten-Datensätze offengelegt wurden. Offensichtlich hatte TJX bis zu dem Datendiebstahl auch auf den veralteten WEP-Standard gesetzt.

(ID:2040114)