Sie sind hier: Home » Recht » Deutschland » Standards und Regeln

Änderungen beim PCI-Standard


PCI-Compliance: Neue Version der Referenzliste für Risiken bei Web-Anwendungen (OWASP Top Ten)
Sicherheitsstandard der Kreditkartenindustrie: Neue Gewichtung verschiedener bekannter Schwachstellen beziehungsweise Risiken wie Injection, Cross Site Scripting oder unsicheres Session-Management


(30.04.10) - Am 19. April 2010 ist die neue Version der "OWASP Top Ten" erschienen. adurch ändert sich auch der PCI (Payment Card Industrie)-Standard, der Sicherheitsstandard der Kreditkartenindustrie. Darauf weist Alexander Meisel, CTO und Geschäftsführer von art of defence, hin. Der PCI-Standard gilt für Web-Shops und alle anderen Web-Anwendungen, die Kreditkarteninformationen verarbeiten. Die OWASP ist ein internationaler Zusammenschluss von Experten und Interessierten, der über Web-Applikationssicherheit aufklärt.

Der PCI-Standard für Datensicherheit bei Kreditkartendaten verweist in Kapitel 6.5 auf die jeweils aktuelle Version der OWASP Top Ten, eine Zusammenstellung von zehn schwerwiegenden Risiken für Web-Anwendungen. Um PCI-compliant zu sein, müssen Unternehmen ihre PCI-relevanten Web-Applikationen explizit vor diesen Risiken schützen.

Die OWASP Top Ten sind jetzt als neue Version "OWASP Top Ten 2010" erschienen (siehe http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project). Dabei wurden erstmals keine konkreten Schwachstellen in Applikationen, sondern Risiken von Web-Anwendungen nach ihrer Relevanz für die Unternehmenssicherheit bewertet. Dies hat unter anderem zu einer neuen Gewichtung verschiedener bekannter Schwachstellen beziehungsweise Risiken wie Injection, Cross Site Scripting oder unsicheres Session-Management geführt.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Zudem sind zwei Bedrohungen neu hinzugekommen: Fehlkonfigurationen von Security-relevanten Komponenten und ungeprüfte Um- oder Weiterleitungen. Letztere werden häufig eingesetzt, um User innerhalb einer Seite weiterzuleiten.

Eine Möglichkeit, Um- oder Weiterleitungen technisch umzusetzen, sind sogenannte Redirects in der URL. Sie können unter bestimmten Voraussetzungen zum Risiko für die Sicherheit von Web-Anwendungen werden: Ähnlich wie bei Phishing-Angriffen lockt ein Angreifer Nutzer auf eine Website mit dieser Schwachstelle. Für die Weiterleitung setzt er den Link auf eine Webadresse seiner Wahl und lockt damit den Nutzer beispielsweise auf eine Site, die automatisch Malware auf seinem Rechner installiert. Eine andere Möglichkeit ist, dass der Angreifer durch die geschickte Wahl des Links Zugriff auf Funktionen der Applikation erhält, die von außen gar nicht aufrufbar sein dürften. Dadurch kann er sich dann gegebenenfalls weiteren Zugriff auf interne Daten oder Ähnliches verschaffen. (art of defence: ra)

art of defence: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Standards und Regeln

  • Einführung von Smart Grid-Anwendungen

    IEEE, der weltweit größte Verband zur Förderung von Technologien, gibt bekannt, dass der Standard IEEE P1901.2T-2013 für Niedrigfrequenz-Powerline-Kommunikation (PLC) unter 500 kHz für Smart Grid-Anwendungen erfolgreich die erste Freigaberunde abgeschlossen hat. Nach seiner endgültigen Genehmigung soll der Standard eine neue Generation der PLC-Technologie für Übertragungsfrequenzen von weniger als 500 kHz spezifizieren. Damit ist er für eine Vielzahl existierender sowie neu entstehender Smart Grid-Anwendungen relevant.

  • MES-Kennzahlen eindeutig definiert

    Mit der ISO/DIS 22400-2 steht ab sofort eine internationale, gültige Leitlinie für die Definition, Beschreibung und Interpretation von MES-Kennzahlen zur Verfügung. Die Entwurfsfassung der Norm beinhaltet 34 Key Performance Indicators (KPI) aus den Bereichen Produktion, Qualität, Instandhaltung und Lager/Logistik für Unternehmen aus der diskreten Fertigung, der Prozessindustrie sowie der hybriden Fertigung. Hinzu kommt ein relationales Wirkmodell, das über eine Kennzahlenmatrix und Beziehungsdiagramme die Abhängigkeiten zwischen den KPI und ihren Faktoren untereinander inhaltlich und organisatorisch beschreibt.

  • Netzanbindung dezentraler Energiesysteme

    Die IEEE Standards Association (IEEE-SA) gibt die Freigabe des Standards "1547.4" bekannt. "IEEE 1547.4" bezeichnet einen neuen Leitfaden für die Entwicklung, den Betrieb sowie die Integration dezentraler Energieressourcen und Insellösungen, mit Elektrizitätssystemen.

  • Entscheidung in der Standardisierungspolitik

    Ein aktueller EU-Verordnungsentwurf zur Europäischen Normung sieht eine Sonderregelung für den ITK-Sektor vor. Demnach sollen künftig auch Standards von nicht-staatlich anerkannten Normungsorganisationen in das europäische Normungssystem übernommen werden können. Damit werden öffentliche Ausschreibungen von ITK-Produkten und -Dienstleistungen einfacher und transparenter.

  • Vertrauenswürdige digitale Langzeitspeicherung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 1. März 2011 auf seiner Homepage die - mit Hilfe einer zusammen mit dem BSI und dem VOI-Verband Organisations- und Informationssysteme e.V. initiierten Arbeitsgruppe unter Moderation von Herrn Prof. Hackel (Physikalisch-Technische Bundesanstalt - PTB) - grundlegend überarbeitete Version 1.1 der Technischen Richtlinie 03125 "Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)" – vormals TR-VELS (Vertrauenswürdige elektronische Langzeitspeicherung) veröffentlicht.