“Warum Datenbank-Missbrauch alltäglich ist..”

12. February 2009 – 11:31
... so lautet der Titel eines Artikels in der Onlineausgabe der CIO in dem sehr genau auf die Gründe eingegangen wird ....  genau aus diesem Grund müssen Daten in der Datenbank vor dem Zugriff des DBA's geschützt werden. Lesen! Es lohnt sich! Link: http://www.cio.de/knowledgecenter/security/866605/index1.html

Posted in Uncategorized | No Comments »

[Update2] .. der Kuchen und der Datenschutz

22. December 2008 – 17:03
Heute kam es nun raus .. der Kuchen war dran Schuld ... Oder besser die Kuriere, die das Paket von Atos an die LBB benutzten um das Öffnen eines Kuchens zu verheimlichen. Dieser war ursprünglich an die Frankfurter Rundschau gerichtet. Durch die Vertauschungsaktion kam nun nicht das Weihnachtsgeschenk, sondern ein "Geschenk" ganz anderer Art bei der Frankfurter Rundschau an. Die beiden Kurierfahrer im Alter von 27 und 35 Jahren sind geständig, so dass es sich hier zumindest anscheinend nicht um einen vorsätzlichen Mißbrauch handelt, sondern der Zufall das höchst brisante Paket an die Rundschau transportierte. Grück im Unglück ... Wäre die Zieladresse vielleicht nicht die Rundschau, sondern eine "dibiose" Firma gewesen, wäre das Ergebnis vielleicht wirklich brisanter gewesen. Insofern kann man hier noch vom Glück im Unglück reden. Zumindest es mal wieder bewusst geworden, wie schnell sensible Daten "umgeroutet" werden konnten, wenn es auch diesesmal eher die "Dummheit" gewesen ist.  Was wäre passiert, wenn die ...

Posted in Missbrauch, PCI DSS, Physikalischer Schutz | No Comments »

[Update] Kreditkartendatendiebstahl in Deutschland angekommen

21. December 2008 – 19:15
Nachdem es wieder ruhig um diesen Fall geworden ist (innerhalb weniger Tage!), haben wir uns auf die Suche nach weiteren Details gemacht.  Atos Worldline hat auf seiner Internetseite eine Pressemeldung zum Vorfall abgegeben.  Gemäß Atos Worldline Processind sind ausschließlich Daten von Kunden der LBB betroffen und seien nicht dazu geeignet, Geld von Konten abzuheben und illegale Transaktionen im Internet durchzuführen. Sofern die archivierten Daten aber über Namen und die dazugehörige Kreditkartennummer verfügen, ist es leider im Internet noch immer möglich mit geringen Aufwand Zahlungen durchzuführen. Auch wenn diese nicht final zur Belastung der Kunden führen muss, müssen diese aber wachsam sein und entsprechende Zahlungen zurückgehen lassen. Aktuell ist die Staatsanwaltschaft in Frankfurt damit befasst das Thema zu untersuchen. Wenn in der Tat ein Kurier die Unterlagen "veruntreut" hat, dann sollte Atos Worldline Processing in Zukunft die sensiblen Daten im Transfer besser schützen. Entsprechende Transfer Safes und Transportunternehmen, die auch Geldtransporte durchführen existieren ja bekanntlicherweise, ...

Posted in Missbrauch, PCI DSS, Physikalischer Schutz | No Comments »

Kreditkartendatendiebstahl in Deutschland angekommen

13. December 2008 – 17:33
Wie heute die Frankfurter Rundschau berichtet, wurde ihr Kreditkartendaten und -abrechnungen von mehreren zehntausend Kunden der Berliner Landesbank zugespielt. Neben Vor- und Nachname der Kunden enthalten die Daten auch die Adresse, Kreditkartennummer, Kontonummer und jede einzelne Bezahl-Aktion. Die Berliner Landesbank gibt zwar an, dass die PIN nicht mit entwendet worden wäre, jedoch gibt die Frankfurter Rundschau an, dass die PIN in den Daten ebenfalls vorhanden ist. Über die CVV2 haben sich weder die Berliner Landesbank, noch die Frankfurter Rundschau geäußert. Bei der Menge der Daten handelt es sich damit um den bislang größten Daten"abfluss" dieser Art in Deutschland. Da die Berliner Landesbank auch als Issuer für andere Firmen arbeitet, sind nicht nur Kunden mit Karten der Berliner Landesbank betroffen, sondern auch Kunden mit den folgenden Karten: ADAC Gold-Mobil-Doppel Amazon Visa White Lable Premium ADAC Classic Mobile Master ADAC Classic mobile Visa Schmetterling Premium Visa Geschenkkarte ADAC Gold Mobile Master ADAC Gold Doppel Xbox Classic Card ADAC Einstieg Visa Die Mikrofilme stammen laut ...

Posted in Missbrauch, PA DSS / PABP, PCI DSS, Uncategorized | No Comments »

Version 1.2 ab sofort verfügbar! Download!

1. October 2008 – 23:44
.. ist ab sofort unter der folgenden Adresse verfügbar: https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html

Posted in PCI DSS, Visa/MC | No Comments »

Summary of Changes zur Version 1.2

20. August 2008 – 13:15
Am 01.Oktober ist es soweit. Die Version 1.2 des PCI-DSS wird nach zwei Jahren die Version 1.1 des Standards ablösen. Hierzu gibt es nun auf der Seite vom PCI-Council eine Liste der Changes von der Version 1.1 auf die Version 1.2, welche Sie HIER herunterladen können. Da es hierzu vermutlich direkt Fragen geben wird, hat das PCI-Council auch gleich eine FAQ zu den Changes zum Download bereitgestellt. Download Summary of Changes Download FAQ

Posted in PCI DSS | No Comments »

Sie heisst V1.2 und erscheint im Oktober 2008

15. May 2008 – 16:15
Nun ist es raus. Nachdem gestern PCIco eine Pressemeldung versandt hat, wissen wir, dass es keine Version 2.0 werden wird, sondern eine PCI-DSS V1.2. Erscheinen wird die neue Version voraussichtlich im Oktober 2008 und sich um die Verdeutlichung von unklaren Punkten und technischen Aspekten drehen. Zudem soll der Standart damit "flexibler" werden und neue Risiken mit eingearbeitet sein. Aus 2000 Fragen, welche PCIco seit der Veröffentlichung von PCI-DSS V1.1 gesammelt hat, wurden folgende Punkte in V1.2 besser angegangen: Einbindung neuer und existierender "Best practices" Bessere Verdeutlichung hinsichtlich "scoping" und Reporting Entfernen von überlappenden Punkten und Konsolidierung des Standards Erweiterung der FAQ und des Glossariums Daneben sollen sich aber keine "Kernpunkte" im Standart geändert haben, so dass die bereits zertifizierten Unternehmen das Pferd nicht noch einmal von hinten aufzäumen müssen und die Unternehmen, welche sich im Augenblick im Zertifizierungsprozess befinden, sich weiterhin auchmit der aktuellen Version vorbereiten können. Dieses hört sich eher nach einer Pflege des Standards an, was ...

Posted in Uncategorized | No Comments »

PCI-V1.2 oder V2.0

11. April 2008 – 19:04
Bob Russo erfreute die PCI Gemeinschaft mit der Ankündigung, dass pünktlich zum 2.jährigen Turnuswechsel die überarbeitete Version des PCI-DSS V1.1 veröffentlicht wird. Die Tatsache, dass man dabei noch nicht weiss, ob die Versionsnummer auf 1.2 oder 2.0 springen würde, spielt seiner Meinung nach keine Rolle, denn egal, was geändert wurde, die PCI-zertifizierten Unternehmen müssen sich damit befassen. Beta im August Der Fahrplan sieht dabei so aus, dass die Teilnehmer des PCIco's bereits im August eine Betaversion von dem neuen Standard erhalten und dann 30-45 Tage zeit haben, diesen zu kommentieren und letzte Unklarheiten zu beheben, wie das Requirement 6.6., welches im Mai vom PCIco erklärt werden wird. Für Unternehmen sieht die Änderung analog dem Sprung von

Posted in PCI DSS | No Comments »

Req. 6.6.

11. April 2008 – 18:15
Eines der am meisten verwirrenden Requirements ist die unter 6.6. geforderte "Web App Firewall", bzw. der Codereview für extern erstellte Software, welche "webfacing" ist. Ensure that all web-facing applications are protected against known attacks by either of the following methods: Having all custom application code reviewed for common vulnerabilities by an organization that specializes in application security Installing an applicationlayer firewall in front of webfacing applications Note: This method is considered a best practice until June 30, 2008, after which it becomes a requirement. Erst vor wenigen Wochen habe ich mich auf den Weg gemacht und eine geeignete WebAppFirewall gesucht und musste feststellen, dass sich in den letzten 18 Monaten in denen der PCI-DSS V1.1. existiert, keine wirkliche Lösung für diesen Punkt hat finden lassen (auch die amerikanischen Kollegen konnten dieses leider nur bestätigen). Dieses ist sehr verwunderlich, denn in Amerika wird im Moment alles unter das Label "PCI" gestellt. Wenn eine Firma ein Produkt ...

Posted in Hardware / Software, PCI DSS | No Comments »

01.01.2008 … dann wird es ernst

4. April 2008 – 17:12
Ab dem 01.01.2008 wird es "ernst" für die kreditkartendatenverarbeitenden Firmen, die noch keine PCI Zertifizierung vorzuweisen haben... so wird es in diesem Monat von den Medien bestimmt breitgetreten werden. Sollte dann einem solchen Unternehmen einem Datendiebstahl unterliegen, dann kann es für den entstandenen Schaden haftbar gemacht werden UND von der Verarbeitung von Kreditkartendaten ausgeschlossen werden. Klingt interessant .. ist es aber nicht wirklich, denn dieses ist nichts neues. Zudem schützt eine PCI Zertifizierung nicht 100%-ig vor Fehlern und Datendiebstahl. Neu wäre, dass der dann enstandene Schaden von den Kreditkartenfirmen übernommen wird. Wird in eine Firma eingebrochen, dann ist sie in der Regel irgendwo nicht "compliant" gewesen. Zertifizierung hin oder her und muss dann erstens das Forensicteam und zweitens den Schaden zahlen. Also ?? Nichts neues .. Zudem haben die Kreditkartenfirmen noch immer nicht den direkten Zugriff auf die kleinen Händler und diese müssen gemäß PCI DSS auch nur das Self Assessment Questionaire ausfüllen ...

Posted in PCI DSS, Visa/MC | No Comments »

Previous Entries
PCI Consultants is proudly powered by WordPress Entries (RSS) and Comments (RSS). Designed by Bob