Anzeige
SECURITY2. Juli 2015

PCI DSS Version 3.1: Schwachstellen im Zahlungsverkehr schließen

Kevin Bocek, VenafiVenafi
Kevin Bocek, VenafiVenafi

Im April 2015 wurde die Ausgabe des PCI Security Standards Council, PCI DSS Version 3.1 veröffentlicht, um die Schwachstellen im Verschlüsselungsprotokoll der Secure Sockets Layer (SSL) anzugehen, durch die bei einer Kompromittierung die Daten im Zahlungsverkehr gefährdet werden können.

von Kevin Bocek, Vice President Security, Strategy and Intelligence bei Venafi

TLS ist im Grunde genommen tot, oder doch nicht? Lang lebe die Transport Layer Security (TLS). Bei heute neu gestarteten Projekten dürfen weder SSL noch frühere Transport Layer Security (TLS) verwendet werden.

Heartbleed war der Todesstoß

Nach Unmengen von Schwachstellen, von Heartbleed bis POODLE, legte der PCI SSC fest, dass zum Schutz der Daten von Karteninhabern keine SSL-Versionen und frühere TLS-Versionen mehr verwendet werden dürfen. SSL und TLS könnten Angreifern die Möglichkeit bieten, Man-in-the-Middle-Angriffe auszuführen und zu lesen, was bislang als authentifizierte, verschlüsselte Kommunikation galt. Wie im PCI SSC-„Guide Migrating from SSL and Early TLS“ erläutert, müssen Unternehmen die Verwendung von SSL/TLS ermitteln, eine Korrekturstrategie planen und zu sicheren Protokollen übergehen, Daten vor der Übertragung verschlüsseln oder zusätzliche Übertragungssicherheitsstufen wie IPSEC hinzufügen, die nicht gefährdet sind. Um dem PCI DSS 3.1 zu entsprechen, muss diese Migration bis zum 30. Juni 2016 erfolgt sein.

Vor dem Hintergrund der wachsenden Anzahl an Schwachstellen und Angriffen, in die SSL/TLS und kryptographische Schlüssel sowie digitale Zertifikate involviert waren, erinnert die PCI die Unternehmen daran, dass sie bereit sein müssen, schnell zu reagieren und Korrekturen vorzunehmen. Zukunftsszenarien könnten viel engere Zeitrahmen für Korrekturmaßnahmen bedingen und nicht nur Änderungen an Konfigurationen erfordern, sondern auch den Austausch kryptographischer Schlüssel und digitaler Zertifikate, ähnlich wie bei Heartbleed.

Alle Schlüssel und Zertifikate zu finden, festzulegen, was vertrauenswürdig ist und was nicht, und automatisch auf Schwachstellen zu reagieren und diese zu beseitigen, sind wichtige Schritte der Vorbereitung auf eine Zukunft, in der mehr verschlüsselt wird und es sicherlich mehr Schwachstellen und Angriffe geben wird.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/16906

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert