PCI Compliance die Zweite

Der Bericht der zweiten Prüfung von McAfee Secure liegt nun vor.

Alle Security-Tests wurden erfolgreich bestanden, damit erfüllen wir nun die Anforderungen sowohl für McAfee Secure als auch einen Teil der PCI-Compliance. Letztere wird noch durch einen Fragebogen zur Infrastruktur ergänzt, welcher in den kommenden Tagen ausgefüllt wird.

Da der Fragebogen und dessen Auswertung noch fehlt sind wir derzeit noch nicht als PCI-Compliance tauglich zertifiziert. Es freut uns dennoch sehr die Server bereits alle Tests gemeistert haben und somit sicher sind.


PCI Compliance die Erste

Die PCI Compliance (Payment Card Industry Data Security Standard) ist ein Regelwerk für den sicheren Zahlungsverkehr und Umgang mit Kreditkarteninformationen.

Unternehmen und Dienstleister die mit Kreditkarteninformationen in Berührung kommen müssen die PCI-Anforderungen zu 100% einhalten. Ist dies nicht der Fall kann die Verarbeitung von Kreditkartenzahlungen untersagt oder ein hohes Bußgeld verhängt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Quelle: wikipedia

Da wir hauptsächlich PCI Compliance taugliche Magento Online-Shops hosten und unseren Kunden größtmögliche Freiheit bieten wollten haben wir den Test gemacht. Das Ergebnis der Serversicherheit war sehr gut, lediglich unser Livechat-Script hatte eine kleine (nicht kritische) Sicherheitslücke. – Diese Lücke führte allerdings dazu, dass der Test nicht erfolgreich war.

Das Chatscript wurde deaktiviert, derzeit läuft die Einrichtung des neuen Livesupport-Scripts Livezilla. Neben einer sauberen Programmierung und einer schöneren Oberfläche bietet das System mehr nützliche Funktionen, welche in einem extra Beitrag ausführlich vorgestellt werden.

Die erneute Prüfung der Server werden wir in Kürze vornehmen.


Neue SPAM-Welle – Wie kann ich mich schützen?

Derzeit werden viele Postfächer mit SPAM-Mails geflutet, daher möchten wir heute einige Tipps zum Umgang mit solchen eMails geben.

Im Gegensatz zu den üblichen SPAM-Mails, welche in sehr schlechtem Deutsch verfasst wurden, sind diese eMails auf den ersten Blick kaum von richtigen eMails zu unterscheiden. Es scheint, als ob die Spammer aufgerüstet und einen guten Übersetzer gefunden hätten. Dies macht es gerade für nicht so erfahrene Internetnutzer sehr schwer die eintreffenden eMails zu unterscheiden.

Rechnungen und Abmahnungen

Immer wieder versuchen Spammer Rechnungen bekannter Unternehmen wie StayFriends oder eBay zu fälschen. Nicht selten wird dabei die gesamte Adresse inkl. UstID des Unternehmens angehängt, um das „Vertrauen“ weiter zu stärken. – Dass die eMails bisher nicht im gefälschten Corporate Design verfasst und versandt werden, lässt den aufmerksamen eMail-Leser stutzig werden. Auch wenn es nur eine Frage der Zeit sein kann bis die Spammer auch diese Hürde meistern.

"Sie bieten unter der Internethandelsplattform Ebay Computerartikel im Wege des Fernabsatzes an, ohne dabei auf das Verbrauchern zustehende gesetzliche Widerrufsrecht hinzuweisen."

"Ebenso sind sie nach Paragraf 9 UWG unserer Mandanten zum Schadensersatz verpflichtet und damit zur Uebernahme der Kosten unserer Beauftragung in Höhe der beigefügten Kostennote 632 Euro."

Der zweite sehr beliebte eMail-Typ bei Spammern sind Abmahnungen. Leider wissen nur sehr wenige, dass Herr Günter Frhr. v. Gravenreuth derzeit im Gefängnis sitzt und daher keine Abmahnungen versenden kann. Die versandten SPAM-eMails beziehen sich meistens auf eine eBay Auktion und wirken sehr einschüchternd und echt.

Auch wenn der versandte SPAM immer „besser“ wird, haben fast alle eMails eines gemeinsam: Es ist der ZIP-Anhang mit der angeblichen Rechnung. – Normalerweise werden eMail-Anhänge gezippt um die zu übertragende Datenmenge zu reduzieren oder viele Dokumente in einer Datei zusammen zu fassen. Spammer hingegen versuchen durch diesen ZIP-Anhang, den darin enthaltenen, Trojaner bzw. Virus vor eMail-Virenscannern zu verstecken.

Was kann ich dagegen tun?

Ruhe bewahren“ ist eine der wichtigsten Regeln beim täglichen sortieren des eMail-Mülls. Auch wenn die eMail einen noch so erschreckenden Inhalt hat, klicken Sie nichts an!

Kaum eine eMail kann durch bloßes lesen des Inhaltes einen Schaden verursachen, vorausgesetzt es wurden immer alle System- und Programmupdates eingespielt. Jeder Link und Anhang birgt allerdings eine gewisse Gefahr.

So bewirken z.B. vermeintliche „Abmelden“ oder „von diesem Newsletter austragen“ Links genau das Gegenteil. Durch spezielle Link-ID’s und moderner Technik kann der Spammer den Aufruf des Links zurückverfolgen und weiß so, dass diese eMail-Adresse aktiv ist und gelesen wird. – Da Spammer auch nur Geld verdienen möchten, landet Ihre eMail-Adresse durch einen solchen Klick in einer Art Premium-Liste. Diese Listen werden bevorzugt von Spammern verwendet und gerne weiter verkauft, da die Wahrscheinlichkeit eines „Treffers“ um ein Vielfaches größer ist als bei blind versandten eMails.

Folgende Punkte können Ihnen im täglichem Kampf gegen den SPAM die richtige Entscheidung zu treffen:

  1. Ruhe bewahren!
  2. Aktuelle Software und Virenschutz verwenden.
  3. Rechtschreibung und Gramatik – Echte eMails werden in perfektem Deutsch verfasst.
  4. Besteht eine Geschäftsbeziehung oder ein berechtigter Grund für diese eMail?
  5. Absender-Adresse (diese muss nicht immer falsch aussehen, da sich Absender-Adressen sehr leicht fälschen lassen)
  6. Links – Überprüfen Sie die Adressen der Links durch „überfahren“ mit der Maus, NICHT klicken.
  7. Öffnen Sie keine Anhänge kurioser eMails.
  8. Klicken Sie nie auf einen angebotenen Link um sich einzuloggen und den Vorfall zu prüfen. – Starten Sie immer einen Browser von Hand und loggen sich anschließend unter der üblichen URL ein.

Einen perfekten Schutz wird es leider nie geben, dennoch kann jeder durch aufmerksames lesen und überlegtem handeln viel verhindern.