PCI DSS 4.0: Sind Sie bereit fürs neue Kreditkarten-Regelwerk?

Foto: Ti_ser – shutterstock.com

Für Unternehmen, die Kreditkartendaten verarbeiten, ist die Zahlungsdatenverarbeitung ein geschäftskritisches System, das höchsten Sicherheitsstandards genügen muss. Dabei wächst das Kreditkarten-Transaktionsvolumen weiter, wie Nilson-Report zeigt: Demnach war für das Jahr 2021 zwar ein Anstieg um 24,5 Prozent auf 581 Milliarden Dollar zu verzeichnen. Allerdings verloren Kreditkartenunternehmen, Händler, Banken und Drittanbieter im Jahr 2021 mehr als 32 Milliarden Dollar durch Kreditkartenbetrug. Und die Verluste sollen weiter steigen: In den nächsten zehn Jahren auf über 400 Milliarden, wie Nilson-Report prognostiziert.

Um diese Verluste zu minimieren und parallel der sich rasch entwickelnden Bedrohungslage gerecht zu werden, hat das internationale Gremium PCIDSSC (Payment Card Industry Data Security Standards Council) sein Regelwerk für den Kreditkartenzahlungsverkehr – PCI DSS – mit Version 4.0 erheblich optimiert.

PCI-DSS 4.0: Compliance-Deadline bis 2025

PCI DSS 4.0 wurde im März 2022 vorgestellt (PDF), allerdings gilt der derzeit aktuelle Standard, PCI DSS 3.2.1, noch bis März 2024. Nach einer Übergangszeit müssen Unternehmen, die entsprechende Zahlungsdaten verarbeiten, bis zum März 2025 die Anforderungen von PCI DSS 4.0 vollständig erfüllen. Das mag wie eine ausreichend lange Vorlaufzeit erscheinen – Experten raten jedoch, die Vorbereitungen auf PCI DSS 4.0 nicht bis zur letzten Minute aufzuschieben. So bringen die neuen Vorschriften bedeutende Veränderungen mit sich – beispielsweise wird die Mindestlänge von Passwörtern von sieben auf 12 Zeichen erhöht.

“PCI DSS 4.0 ist eine große Sache”, unterstreicht Marc Rubinnaccio, Senior Compliance Manager beim Automatisierungsanbieter Secureframe: “Es handelt sich um die letzte große Iteration des PCI-DSS-Standards, die erhebliche Änderungen in Sachen Anforderungen enthält.”

Die neuen Vorschriften betreffen sämtliche Sicherheitsaspekte, darunter:

• Firewalls,

• Antivirussoftware,

• Netzwerksegmentierung,

• Multifaktorauthentifizierung,

• Verschlüsselung,

• Zugriffskontrolle,

• aktives Monitoring,

• Intrusion Detection und

• Incident Response.

Ian Terry, Director Cybersecurity beim Beratungsunternehmen AWA International, empfiehlt Unternehmen folgende drei Schritte, um zur PCI-DSS-4.0-Compliance zu gelangen:

1. Zunächst müsse eine umfassende Vorabbewertung durchgeführt werden, um Lücken in den aktuellen Systemen zu identifizieren.

2. Anschließend gelte es, die erforderlichen Abhilfemaßnahmen zu ergreifen, um die neuen Anforderungen zu erfüllen.

3. Schließlich müsse ein zertifizierter Auditor hinzugezogen werden, um die Einhaltung der Vorschriften zu überprüfen.

Das umzusetzen, könne für Unternehmen durchaus zur Herausforderung werden, meint Terry: “Schließlich muss das parallel zu vielen anderen Technologieinitiativen ablaufen, die IT-Ressourcen beanspruchen – etwa Cloud-Migrationen oder die digitale Transformation.”

PCI-DSS 4.0: Die wichtigsten Veränderungen

Laut Gary Glover, Vice President of Assessments beim Audit-Spezialisten SecurityMetrics, bringt PCI DSS 4.0 insgesamt 53 neue Regularien mit sich, die Händler und Unternehmen betreffen, die Kreditkartendaten speichern oder verarbeiten. Weitere elf neue Regeln betreffen speziell die Anbieter von Transaktionsverarbeitungsdiensten. Hier einige der wichtigsten Änderungen, die mit PCI-DSS 4.0 Einzug halten:

• Customization: Die größte Änderung auf konzeptioneller Ebene besteht darin, dass PCI DSS 4.0 es Unternehmen erstmals ermöglicht, einen individuellen Compliance-Ansatz zu wählen, statt sich an vordefinierte Anforderungen halten zu müssen. Dies gilt beispielsweise für solche Firmen, die auf einen Passwordless-Ansatz setzen möchten. “Die Anpassungsoption ist nicht für technisch weniger versierte Unternehmen gedacht, die Schwierigkeiten haben, den Standard zu erfüllen und deshalb eine Ausweichlösung benötigen”, betont Lauren Holloway, Director of Data Security Standards beim PCIDSSC. Die Customization-Option bietet denjenigen Unternehmen mehr Flexibilität, die alternative Sicherheitskontrollen oder neue Technologien einsetzen wollen und soll Innovationskraft fördern – solange am Ende ein Prüfer die Tauglichkeit des Ansatzes offiziell bestätigt. Audit-Experte Glover geht davon aus, dass nur große und technologisch ausgereifte Unternehmen diese Möglichkeit in Anspruch nehmen werden.

• Phishing: PCI DSS 4.0 erkennt an, dass viele Cyberangriffe mit Phishing beginnen und verlangt deshalb von Unternehmen den Einsatz automatisierter E-Mail-Sicherheitssoftware, um Phishing-E-Mails zu erkennen und zu blockieren. Mit PCI DSS 4.0 werden Security- und Awareness-Schulungen zudem nicht mehr als Best Practice eingestuft, sondern obligatorisch: Unternehmen müssen entsprechende Programme mindestens einmal im Jahr überprüfen und aktualisieren. Zudem werden auch spezifische Schulungsinhalte festgeschrieben, etwa zu Bedrohungen und Schwachstellen.

• E-Commerce: Die zunehmende Verbreitung der Chiptechnologie in Kreditkarten erschwert es Betrügern zunehmend, Daten mit Skimmern abzugreifen. Entsprechend haben die Cyberkriminellen ihre Vorgehensweisen angepasst und stehlen Kreditkartendaten inzwischen während einer Transaktion – beispielsweise, indem sie Schadcode auf E-Commerce-Plattformen einschleusen. Als Reaktion darauf erfordert PCI DSS 4.0, dass Unternehmen Skripte von Drittanbietern, die Teil ihrer Plattformen sind, auf wöchentlicher Basis auf Code Injection überprüfen.

• Technologie: PCI DSS 4.0 verschärft die Sicherheitskontrollen in einer Reihe von Technologiebereichen – beispielsweise wird die Multi-Faktor-Authentifizierung für jeden Zugriff auf Kreditkartendaten obligatorisch. Zudem müssen gespeicherte Authentifizierungsdaten nun auch zwingend verschlüsselt werden. Weitere Verpflichtungen für Unternehmen: Sie müssen den Zugang auf die kleinste Anzahl von Personen beschränken, die für einen bestimmten Geschäftsprozess erforderlich sind. Außerdem müssen sie Erkennungsmechanismen einführen, die unbefugte Änderungen an Zahlungsdatenverarbeitungssystemen schnell identifizieren können.

• Verfahren: PCI DSS 4.0 versucht das Konzept von der Sicherheit als kontinuierlichem Prozess zu kodifizieren – mit gezielten Risikoanalysen, Schwachstellenbewertungen und kontinuierlichem Monitoring der Systeme, die Zahlungsdaten verarbeiten. Um risikoreiche Schwachstellen zu ermitteln und Probleme zu beheben, müssen Unternehmen über spezifische Verfahren verfügen und auch besser auf Sicherheitsvorfälle reagieren können. PCI DSS 4.0 enthält detaillierte Anleitungen zu Validierungs- und Testverfahren.

Um für die Implementierung von PCI DSS 4.0 gerüstet zu sein, sollten Sie möglichst zeitnah mit der Recherche beginnen und ermitteln, welche Schritte für Ihr Unternehmen nötig sind. Nutzen Sie den derzeit noch großen Spielraum aus. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.