|
Forum Security NEWS Flash |
 News |
21.04.2009 | | Analyse Kardinalfehler bei Kreditkartendaten Firmen begehen massive Fehler beim Schutz sensibler Kreditkartendaten. Der Hersteller Cloakware hat diese zusammengefasst und ausgewertet.
 Händler haben bisher versäumt, ihre Payment-Systeme und dazugehörigen Prozesse vernünftig zu schützen. Zu diesem Fazit kommt Richard Stiennon, der als Gründer des Security-Consultants IT-Harvest auf diesem Gebiet aktiv ist. "Weil die meisten Retail-Firmen die Credentials und privilegierten Zugänge nicht angemessen behandeln, passieren Datendiebstahl und ähnliche Vorfälle relativ häufig", sagt er.
Die Kreditkartenindustrie hat längst auf diese Situation reagiert und ihren strengen PCI-Standard entwickelt. Dieser wurde in den vergangenen Monaten mit der Version 1.2 (PCI DSS V1.2) noch einmal verschärft. Diese Vorschriften geben vor, wie Firmen die sensiblen Kreditkartendaten schützen sollen. Sie werden allerdings in einigen Eckpunkten entweder falsch interpretiert oder ignoriert. Cloakware hat diese herausgearbeitet. Die Händler verändern die Default-Passwörter der Hersteller nicht. Hacker und Saboteure können diese via Web recherchieren und so in die Portale und Anwendungen einbrechen. Firmen sollten diese Zugangswörter daher unbedingt verändern und permanent modifizieren.
Die Zugriffe auf die Daten der Kartenbesitzer sind oft nicht geschützt. Händler fassen administrative Passwörter gern in einem Master-Dokument zusammen, ohne festzulegen, wer es überhaupt öffnen darf. Hier würde sich der Einsatz eines Passwort-Management-Tools anbieten, das diese Aufgaben übernimmt. Die User erhalten zu starke Rechte zu Gunsten der Bedienfreundlichkeit. Damit darf jeder Verantwortliche auf alle relevanten Funktionen zugreifen. Ein Sicherheitsrisiko, denn der Zugriff auf sensible Daten sollte nur bestimmten Usern oder Gruppen erlaubt sein. Denn kein IT-Administrator sollte uneingeschränkt auf alle Anwendungen und Datenbanken zugreifen dürfen.
Selbst wenn die Aufgaben per Rolle unterschiedlichen Verantwortlichen zugewiesen wurden, teilen sich die User oftmals ihre Accounts. Auch hier spielt die Bedienfreundlichkeit eine große Rolle. Nur eindeutige IDs für User können dem vorbeugen, nur erzeugt dieser Ansatz einen hohen Pflegeaufwand. Dieser lässt sich mit einer automatischen Passwort-Management-Lösung aber intelligent eindämmen.
Schließlich versäumen es Händler, die aufgesetzten Kontrollen zu überwachen. Es ist allerdings essenziell aufzuzeichnen, wer wann wie auf Kreditkartendaten zugegriffen hat. Nur anhand dieser Informationen lässt sich später die Effizienz der Kontrollen untersuchen. Außerdem helfen die Monitoring-Quellen dabei, die Folgen eines Vorfalls abzuschätzen. "Diese Schwächen sind recht üblich. Aber erst durch sie wird es wahrscheinlich, dass jemand unautorisiert auf sensible Informationen zugreift", meint David Canellos, President und Chief-Operating-Officer bei Cloakware."
Bild-Quelle: manwalk / www.pixelio.de
Weitere Informationen im Internet unter:
http://www.cloakware.com
http://www.digital-hands.eu | Druckansicht »
|
|
|
 |
|
|
|
 |
PDF Download |
|
 Im Archiv befinden sich die PDF-Versionen der Printausgabe.
|
|
 |
|
