Jetzt wird’s ernst: Banken, Onlinehändler und alle Unternehmen, die mit Kreditkarten-Transaktionen arbeiten, müssen sich seit Oktober 2008 zwingend an die neuen Datensicherheitsrichtlinien der Kreditkartenindustrie halten. Seitdem ist der aktualisierte Payment Card Industry Data Security Standard (PCI DSS) in Kraft. Eine der wichtigsten Neuerungen ist die verbindliche Installation und Pflege einer Web Application Firewall (WAF). Doch bei ihrer Einführung tauchen oft Schwierigkeiten auf – durchdachte Planung und professionelle Beratung helfen. Denn wer die Sicherheitsanforderungen des PCI DSS nicht einhält, dem drohen Geldbußen, rechtliche Konsequenzen und Imageverlust.
Der PCI DSS wurde von den größten Kreditkartenanbietern, darunter Visa International und MasterCard Worldwide, ins Leben gerufen, um einen global gültigen Standard zur Erhöhung der Datensicherheit im E-Commerce zu schaffen. Gerade wenn es um die geforderte Web Application Firewall geht, wird es für viele Unternehmen schwierig: Sie wissen nicht, welche Lösung die richtige für sie ist und wie sie diese effektiv in Betrieb nehmen. Einschalten alleine genügt nicht, auch wenn dies viele Hersteller suggerieren.
Daher hat die T-Systems verschiedene Web Application Firewalls evaluiert: Wer sich nicht sicher ist, welche Lösung am besten für sein Unternehmen geeignet ist, dem hilft der IT-Experte weiter. „Gut geeignet ist beispielsweise eine Web Application Firewall, die über einen Lernmodus verfügt“, erklärt Thomas Haase, Projektleiter IT-Sicherheit bei T-Systems Multimedia Solutions. „Sie merkt sich, welche Anfragen gültig und welche nicht gültig sind. So werden bekannte und neue Angriffe am besten abgewehrt.“ Bei den Web Application Firewalls wird außerdem zwischen so genannten Blacklist- und Whitelist-Filtern unterschieden. Eine Whitelist legt fest, welche Anfragen erlaubt sind, und schließt alle anderen Anfragen aus. T-Systems empfiehlt in den meisten Fällen die Whitelist-Variante, da sie auch vor unbekannten Angriffen schützt. Beim Einsatz einer Blacklist wird dagegen definiert, welche Anfragen nicht an die Webanwendung gesendet werden dürfen. Darüber hinaus gibt es die Möglichkeit einer manuellen Code-Analyse. Bei dieser Methode werden noch mehr Fehler und Eintrittstore für mögliche Angreifer gefunden. Allerdings ist sie auch sehr zeit- und kostenaufwendig.
Diese Neuerung kann jedoch nicht alleine betrachtet werden. Sicherheit ist ein integraler Bestandteil von ICT-Lösungen. Die Themenfelder Identity und Accessmanagement, Enterprise Security Management und Seamless ICT Infrastructure müssen ebenfalls intensiv betrachtet werden.
https://www.marketing-boerse.de/news/details/neue-richtlinien-fordern-web-application-firewall/13917