PCI-konforme Maßnahmen zur Absicherung von Webanwendungen

Web Application Firewall oder Sourcecode-Analyse – die Qual der Wahl

16.05.2008 | Redakteur: Stephan Augsten

Mit dem 30. Juni 2008 wird es rechtskräftig: „Die Bedeutung der Abschnitts 6.6 [von PCI DSS] liegt in der möglichst alles abdeckenden Absicherung von Web Applikationen im Internet gegen bekannte Arten von Malicious Code.“ So kryptisch konkretisierte das PCI Security Standards Council im April seine Anforderung an sichere Web Applikationen. Security-Insider.de erläutert welche Maßnahmen sich für Ihr Unternehmen eignen, damit es Absatz 6.6 des Payment Card Industry Data Security Standards erfüllt.

Derzeit gehören die Auflagen des Payment Card Industry Data Security Standards (PCI DSS) zur Absicherung von Web Applikation noch zu den Best Practices. Ende Juni werden sie allerdings obligatorisch, doch noch immer beißen sich viele Security-Administratoren daran die Zähne aus.

Grundsätzlich erlaubt das PCI Security Standards Council (PCI SSC) den Unternehmen zwei Möglichkeiten: Entweder muss eine auf Applikationssicherheit spezialisierte Organisation oder Abteilung den intern entwickelten Software-Code auf häufig auftretende Sicherheitslücken prüfen, oder das Unternehmen installiert auf Applikationsebene eine Firewall vor den Webanwendungen (Web Application Firewall).

Bereits jetzt beklagen sich viele Unternehmen über lästige Pflichten, die mit PCI-Compliance verbunden sind. Zweifelsohne werden diese Firmen bald vor Empörung aufschreien, man müsse mehr Geld investieren – sei es nun für externe Berater oder für hard- und softwarebasierte Sicherheitstechnik.

Etliche Sicherheitsspezialisten werden diesen Kritikern widersprechen: PCI DSS fordert denselben Anwendungsentwicklungs- und -bereitstellungsprozess, den viele Unternehmen schon jahrelang eingesetzt haben.

Was hat sich in den letzten Jahren geändert?

Bereits Ende der Neunziger Jahre haben viele Unternehmen aus dem Telekom- und Finanzbereich ähnliche Strategien verfolgt. Seitdem ist sowohl die Zahl qualifizierter Code-Prüfer gestiegen, als auch die Verfügbarkeit kommerzieller Application-Layer-Firewalls.

Heutzutage besteht die große Gefahr darin, dass von Script-Kiddies bis hin zu professionellen Cyber-Kriminellen viele Menschen in der Lage sind, Kreditkartendaten anzuhäufen und auszunutzen. Davor kann sich ein Unternehmen am besten schützen, wenn es mit Web Application Firewall und Code Reviews beide Absicherungsmaßnahmen nutzt.

In der Realität schränkt der Kostenfaktor allerdings nach wie vor viele Unternehmen ein. Es gilt also, sich für die effektivere Methode zu entscheiden.

Seite 2: Das Für und Wider einer Application Firewall

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012778 / Mobile- und Web-Apps)