Suchen

PCI-konforme Maßnahmen zur Absicherung von Webanwendungen Web Application Firewall oder Sourcecode-Analyse – die Qual der Wahl

| Redakteur: Stephan Augsten

Mit dem 30. Juni 2008 wird es rechtskräftig: „Die Bedeutung der Abschnitts 6.6 [von PCI DSS] liegt in der möglichst alles abdeckenden Absicherung von Web Applikationen im Internet gegen bekannte Arten von Malicious Code.“ So kryptisch konkretisierte das PCI Security Standards Council im April seine Anforderung an sichere Web Applikationen. Security-Insider.de erläutert welche Maßnahmen sich für Ihr Unternehmen eignen, damit es Absatz 6.6 des Payment Card Industry Data Security Standards erfüllt.

Firmen zum Thema

Derzeit gehören die Auflagen des Payment Card Industry Data Security Standards (PCI DSS) zur Absicherung von Web Applikation noch zu den Best Practices. Ende Juni werden sie allerdings obligatorisch, doch noch immer beißen sich viele Security-Administratoren daran die Zähne aus.

Grundsätzlich erlaubt das PCI Security Standards Council (PCI SSC) den Unternehmen zwei Möglichkeiten: Entweder muss eine auf Applikationssicherheit spezialisierte Organisation oder Abteilung den intern entwickelten Software-Code auf häufig auftretende Sicherheitslücken prüfen, oder das Unternehmen installiert auf Applikationsebene eine Firewall vor den Webanwendungen (Web Application Firewall).

Bereits jetzt beklagen sich viele Unternehmen über lästige Pflichten, die mit PCI-Compliance verbunden sind. Zweifelsohne werden diese Firmen bald vor Empörung aufschreien, man müsse mehr Geld investieren – sei es nun für externe Berater oder für hard- und softwarebasierte Sicherheitstechnik.

Etliche Sicherheitsspezialisten werden diesen Kritikern widersprechen: PCI DSS fordert denselben Anwendungsentwicklungs- und -bereitstellungsprozess, den viele Unternehmen schon jahrelang eingesetzt haben.

Was hat sich in den letzten Jahren geändert?

Bereits Ende der Neunziger Jahre haben viele Unternehmen aus dem Telekom- und Finanzbereich ähnliche Strategien verfolgt. Seitdem ist sowohl die Zahl qualifizierter Code-Prüfer gestiegen, als auch die Verfügbarkeit kommerzieller Application-Layer-Firewalls.

Heutzutage besteht die große Gefahr darin, dass von Script-Kiddies bis hin zu professionellen Cyber-Kriminellen viele Menschen in der Lage sind, Kreditkartendaten anzuhäufen und auszunutzen. Davor kann sich ein Unternehmen am besten schützen, wenn es mit Web Application Firewall und Code Reviews beide Absicherungsmaßnahmen nutzt.

In der Realität schränkt der Kostenfaktor allerdings nach wie vor viele Unternehmen ein. Es gilt also, sich für die effektivere Methode zu entscheiden.

Seite 2: Das Für und Wider einer Application Firewall

(ID:2012778)