Client-Side Protection & Compliance: Bedrohungen bekämpfen, PCI DSS v4 erfüllen
JavaScript ist eine grundlegende Technologie in der modernen Webentwicklung. Mehr als 98 % der heutigen dynamischen Webanwendungen und Websites basieren auf JavaScript für Interaktivität, dynamisches Laden von Inhalten und ein verbessertes Nutzererlebnis. Darüber hinaus unterstützt es Responsive Webdesign und Integrationen von Drittanbietern durch Funktionen wie Analysen, Werbung, Social-Media-Verbindungen und vieles mehr.
Eine erweiterte Angriffslandschaft
Obwohl JavaScript zu einem wichtigen Tool geworden ist, birgt es auch neue Sicherheitsrisiken. Aufgrund der dezentralen clientseitigen Ausführung und der Lieferkette mit Drittanbieterabhängigkeiten ist JavaScript für Unternehmen extrem schwer zu überwachen und zu verwalten. Angreifer haben sich diese Lücke zunutze gemacht, indem sie Schwachstellen in Skripten ausnutzen und schädlichen Code über den Browser in Websites einschleusen. Auf diese Weise können sie sensible Informationen, einschließlich Zahlungskartendaten, von Endnutzern abfangen und extrahieren.
Diese Angriffe – einschließlich Web Skimming, Magecart-Angriffe und Formjacking – sind im Laufe der Jahre immer komplexer geworden und können verheerende Folgen für Unternehmen haben. Die Opfer müssen mit geschwächtem Kundenvertrauen, Ausfallzeiten und Umsatzeinbußen sowie mit erheblichen Geldbußen rechnen.
Neue clientseitige JavaScript-Sicherheitsanforderungen
Trotz ihrer Auswirkungen ist die Verhinderung von clientseitigen Angriffen für die meisten Unternehmen kein Sicherheitsschwerpunkt, und viele Websites bleiben ungeschützt. Um Zahlungsdaten im Browser zu schützen, wurden in der neuesten Version des Payment Card Industry Data Security Standard aus dem März 2022 (PCI DSS Version 4.0) neue clientseitige JavaScript-Sicherheitsanforderungen eingeführt.
Um Compliance zu gewährleisten, muss jedes Unternehmen, das Zahlungskartendaten online verarbeitet, wissen, welche Skripte auf seiner Website ausgeführt werden, wann sich diese Skripte ändern und welche Aktionen sie ausführen. PCI DSS v4.0 tritt im März 2025 vollumfänglich in Kraft.Damit bleibt den Unternehmen nur ein kurzes Zeitfenster, um diese Anforderungen zu erfüllen.
Einführung von Akamai Client-Side Protection & Compliance
Akamai Client-Side Protection & Compliance ist eine Sicherheitslösung für Webanwendungen, die Websites vor JavaScript-Bedrohungen schützt und die Compliance der neuen JavaScript-Sicherheitsanforderungen (6.4.3 und 11.6.1) gemäß PCI DSS v4.0 erleichtert.
Client-Side Protection & Compliance wird im Browser des Endnutzers ausgeführt, um clientseitige JavaScript-Ausführungen auf einer geschützten Webseite zu überwachen. Wenn Skripte Verhaltensänderungen aufweisen, werden Techniken des maschinellen Lernens eingesetzt, um das Risiko nicht autorisierter oder unangemessener Aktionen zu bewerten und Echtzeitwarnungen auszulösen, die von den Sicherheitsteams untersucht werden können.
Nutzer können potenzielle Bedrohungen mit nur einem Klick abwehren und verhindern, dass schädliches JavaScript auf vertrauliche Endnutzerdaten, einschließlich Zahlungskartendaten, zugreifen und diese extrahieren kann.
Holen Sie sich diese wichtigen Funktionen
Schutz vor Exfiltration sensibler Daten
Cyberkriminelle nutzen verschiedene Techniken, um sensible Endnutzerdaten im Browser abzugreifen und zu extrahieren. Durch die Analyse des Skriptverhaltens in Sitzungen mit realen Nutzern bietet Akamai Client-Side Protection & Compliance effektiven Schutz vor komplexen Angriffen. Wenn verdächtige Aktivitäten entdeckt werden, erhalten die Sicherheitsteams sofort eine Warnung mit detaillierten Informationen für eine schnelle Reaktion und Abwehr.
Dedizierte Unterstützung für PCI DSS v4.0-Compliance
Client-Side Protection & Compliance bietet umfassende Unterstützung, um Unternehmen bei der Compliance mit den Anforderungen 6.4.3 und 11.6.1 des PCI DSS v4.0 zu unterstützen. Es verfolgt und inventarisiert Skripte auf Zahlungsseiten, um deren Integrität und Autorisierung sicherzustellen. Sicherheitsteams können den Zweck von Skripten, die auf Zahlungsseiten ausgeführt werden, problemlos mit vordefinierten Begründungen und automatisierten Regeln begründen.
Die Lösung überwacht außerdem Änderungen an HTTP-Headern und den Schutz von Zahlungsseiten, um vor Seitenmanipulationen zu schützen. Ein umfassendes Dashboard und spezielle PCI-Warnmeldungen erleichtern die schnelle Reaktion auf Ereignisse mit Compliance-Bezug und liefern Nachweise für Audits.
Umfassender Einblick in JavaScript-Bedrohungen
Es ist ein weit verbreitetes Missverständnis, dass Web Application Firewalls (WAFs) Schutz vor clientseitigen Angriffen bieten. Da WAFs den serverseitigen Traffic analysieren, können sie Angriffe, die im Browser des Endnutzers erfolgen, weder erkennen noch verhindern. Akamai Client-Side Protection & Compliance ergänzt eine WAF durch einen beispiellosen Einblick in die clientseitige Angriffsfläche Ihrer Website. Die Lösung verfolgt das Verhalten der Skriptausführung, erkennt häufige Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVEs) und bewertet die Reichweite und Auswirkung jedes Skripts.
Client-Side Protection & Compliance liefert auch Informationen über die Daten, auf die Skripte zugreifen, sowie über potenzielle Bedrohungen. So werden Lücken beseitigt und ein umfassender Schutz gewährleistet. Die Lösung lässt sich gut mit dem branchenführenden Akamai App & API Protectorkombinieren für ganzheitlichen Schutz vor server- und clientseitigen Bedrohungen.
Für den clientseitigen Einblick
Client-Side Protection & Compliance ist eine CDN-unabhängige Lösung, die in oder außerhalb der Akamai Connected Cloud bereitgestellt werden kann und keine zusätzlichen Sicherheitslösungen von Akamai erfordert. Sie funktioniert mit komplexen Websites und Single-Page-Anwendungen und hat keine signifikanten Auswirkungen auf die Seitenperformance. Dank der schnellen Konfiguration sind Unternehmen sofort vor JavaScript-Bedrohungen geschützt und können die Compliance-Workflows gemäß PCI DSS v4.0 optimieren.
Mehr erfahren
Erfahren Sie mehr über Akamai Client-Side Protection & Compliance und testen Sie es selbst.
