
- Gregor Bonney, Penetration Testing
- Viktor Franz, Hack eines Magento-Shops
- Christian Altrogge, PCI-DSS
Anschließend zeigte Viktors Vortrag [Slides] dann die Gefahr für einen Online-Shop, vor der sich jeder Nutzer des E-Commerce fürchtet: Wenn ein Shop gehackt und Kreditkartendaten entwendet werden. Viele Shop-Betreiber sind sich der Auswirkungen eines solchen Diebstahls nicht bewusst. Neben dem Imageverlust können auch die weiteren Folgen verheerend sein: Denn nach der notwendigen offiziellen Meldung des Sicherheitslecks bei den Aufsichtsbehörden können auch Bußgelder bis zu 300.000€ auf das Unternehmen zukommen.
Damit dieses Szenario gar nicht erst eintritt, sollten Online-Händler das Thema Datensicherheit gezielt angehen. Ein Punkt auf der Checkliste sollte dabei PCI-DSS sein. Die Buchstabenkolonne steht für Payment Card Industry Data Security Standard, der Datensicherheitsstandard der Kreditkartenorganisationen. Christian wies in seinem Beitrag darauf hin, dass die Anforderungen in 2018 strenger werden und gleichzeitig auf mehr Anbieter im Online-Handel ausgeweitet werden. Wer nun meint, ihn betreffe das nicht, weil er alle Kreditkartendaten über externe Dienstleister übertragen lässt, der irrt. Dieser Umstand grenzt nur ein, wie weitreichend die PCI-DSS-Regelungen erfüllt werden müssen - ein Teilbereich der Prüfung bleibt. Wenn die PCI-DSS-Compliance nicht erfüllt wird, drohen Strafzahlungen oder auch die Beendigung der Services des Acquirers (die Kreditkartenzahlungen akzeptierende Bank).
Mehr zu PCI-DSS: What 2018 Means for Your PCI DSS Assessment Leitfaden zur PCI DSS 3.2-Compliance: Checkliste der „Do's and Dont's“
Neben vielen bekannten Gesichtern waren auch einige neue Teilnehmer dabei, sowohl aus der internen IT eines Online-Shops als auch Magento-Agenturbetreiber und Projektmanager. Da passte es, dass auch die Vorträge von wenig bis sehr technisch variierten.