Fachartikel

Virtualisierung und PCI-Konformität beim Reiseanbieter

Ob Seychellen, Neuseeland oder Florida: Reiseanbieter können sich derzeit nicht über fehlende Nachfrage beschweren. Dennoch brauchen sie sichere elektronische Prozesse, um das Vertrauen der Kunden dauerhaft zu bewahren. So musste sich das DER Deutsche Reisebüro der Herausforderung stellen, innerhalb von wenigen Monaten den Verkauf von Flugtickets nach dem PCI-Standard der Kreditkartenorganisationen auszurichten. Mithilfe einer Virtualisierungslösung gelang es dem IT-Team, das Projekt in kürzester Zeit und ohne IT-Ausfallzeiten umzusetzen.
Mit einem Virtualisierungsgrad von 98 Prozent ist DER Deutsches Reisebüro gut aufgestellt.
Bevor Reisende ihr Traumziel anfliegen können, muss die Reise erst gebucht sein. Hier stand das DER Deutsches Reisebüro mit rund 2500 Mitarbeitern vor einer großen Herausforderung. Das Unternehmen gehört zur Dachmarke DER Touristik, die zu den führenden Reisekonzernen in Europa zählt. 7,7 Millionen Gäste aus 14 europäischen Ländern verreisen pro Jahr mit den Veranstaltern der DER Touristik in 179 Reiseländer weltweit.

Kreditkartendaten essenziell bei einer Buchung
Die Herausforderung war für DER Deutsches Reisebüro das sichere Kreditkarten-Handling. Sie werden für nahezu jede Reise benötigt und sind bei der Flugbuchung nicht mehr wegzudenken. Um größere Sicherheit für Kunden und Unternehmen vor Datendiebstahl und Kreditkartenbetrug zu gewährleisten, wurde von den Kreditkartenorganisationen ein weltweit verbindlicher Standard definiert: der Payment Card Industry Data Security Standard (PCI DSS). Handelsunternehmen und Dienstleister, die Kreditkartentransaktionen speichern, übermitteln oder abwickeln, müssen die Regelungen erfüllen.

Zu den zwölf Anforderungen an die Rechnernetze zählen der Schutz der gespeicherten Kreditkartendaten, die Installation und Pflege einer Firewall zum Schutz der Daten sowie das Protokollieren und Prüfen aller Zugriffe auf Kreditkartendaten. Auch für die Reisebranche gilt dieser Standard. So sah sich DER Deutsches Reisebüro vor der Herausforderung, Prozesse im IT-Bereich neu aufzusetzen, um das PCI-Zertifikat zu erhalten.
"Als das PCI-Projekt startete, war ich erst wenige Tage bei DER Deutsches Reisebüro. Ich wusste, dass es ein Sprung ins kalte Wasser werden würde. Aber, dass das Wasser so eiskalt sein würde, damit hatte ich nicht gerechnet", beschreibt Dominik Reifschneider, Systems Engineer bei DER, seine Gefühle zum Projektstart. Die Herausforderungen für die ganze IT-Abteilung waren immens: "Der Druck war groß, denn ein Reiseanbieter ohne Kreditkartenlösung ist wie ein Auto ohne Räder. Der Zeitraum bis zur operativen Umsetzung betrug lediglich sechs Monate. Zudem mussten wir Umsatzeinbußen durch eine IT-Umstellung und damit Ausfallzeiten minimieren beziehungsweise verhindern", erläutert Sascha Karbginski, Director IT Operations & Support.

Jeder Tag mit nicht nutzbarer Kreditkartenfunktion hätte für DER bedeutet, das Vertrauen der Kunden zu verlieren – und das in der Hochsaison. Die dritte Herausforderung bestand darin, dass wichtige und sehr umfangreiche Projekt lediglich mit einer kleinen, aus drei Mitarbeitern bestehenden IT-Abteilung zu bewältigen.

Entscheidung für Netzwerkvirtualisierungsplattform
DER hat mit den Virtualisierungslösungen von VMware schon sehr gute Erfahrungen gesammelt. 2009 kam für die Virtual Desktop Infrastructure (VDI) mit VMware Horizon ein Produkt zum Einsatz, mit dessen Hilfe alle Daten der rund 2500 Mitarbeiter zentral im virtuellen Rechenzentrum von DER Deutsches Reisebüro gehostet wurden. Daher setzte das Team um Karbginski auf zwei weitere VMware-Produkte, um die PCI-Compliance-Anforderungen zu erfüllen und damit die Kreditkartenprozesse abzusichern: Die Netzwerkvirtualisierungsplattform NSX Data Center und vRealize Network Insight. In der Umsetzung unterstützte VMware-Partner MightyCare Solutions.
28.08.2019/ln/Gerd Pflueger, NSX Systems Engineer EMEA bei VMware

Nachrichten

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Erfolgreiche Betrugsmasche: Deepfakes [6.09.2019]

Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen