Neue Sicherheitsregeln nach PCI DSS 4.0 werden ab März 2025 Pflicht!

Kurz gesagt: alle Shopbetreiber.
IT-Sicherheit ist ein Thema, das jeden betrifft, der im E-Commerce tätig ist. Besonders kritisch wird es jedoch für Händler, die Kreditkartenzahlungen ermöglichen, da sie für die Verarbeitung und den Schutz dieser sensiblen Zahlungsdaten verantwortlich sind.

Auch wenn ein Payment Service Provider die eigentliche Zahlungsabwicklung übernimmt, bleiben die Shopbetreiber für die grundlegende Sicherheit ihres Systems verantwortlich. Das umfasst die Absicherung des Admin-Backends ebenso wie den Schutz der Checkout-Seite vor Angriffen und Manipulationen.

Zukünftig müssen Admin-Passwörter mindestens 12 Zeichen lang sein. Diese einfache, aber wirksame Maßnahme erhöht die Sicherheit erheblich, da längere Passwörter schwerer zu knacken sind.

Tipp: Nutzen Sie einen Passwortmanager, um lange und komplexe Passwörter zu erstellen und sicher zu speichern. Das verbessert nicht nur die Sicherheit, sondern erleichtert auch die Verwaltung.

Die Zwei-Faktor-Authentifizierung schützt das Admin-Backend, indem sie neben dem Passwort einen zweiten Authentifizierungsfaktor verlangt, z. B.:

• Einmal-Codes, die über eine Authenticator-App wie Google Authenticator oder Microsoft Authenticator generiert werden.
• Physische Sicherheitsschlüssel, z. B. USB-Schlüssel wie YubiKey.

Selbst wenn ein Angreifer das Passwort kennt, bleibt der Zugang zum Backend ohne den zweiten Faktor verwehrt.

Eine Content Security Policy (CSP) legt fest, welche externen Inhalte auf einer Webseite geladen werden dürfen. Dadurch werden folgende Angriffe effektiv verhindert:

• Cross-Site-Scripting (XSS): Verhindert, dass schädlicher Code von Dritten ausgeführt wird.
• Manipulationen im Checkout: Schützt Kunden und Händler vor Datenlecks und Betrug.

Ein häufiges Sicherheitsproblem in Onlineshops ist, dass externe Skripte (z. B. über den Google Tag Manager) eingebunden werden, die eine potenzielle Schwachstelle darstellen können. Damit solche Skripte sicher verwendet werden, müssen sie künftig explizit in die Content Security Policy (CSP) aufgenommen werden, um den Datenfluss zu kontrollieren.

Sansec Watch unterstützt dabei, indem es im Produktivbetrieb externe Skripte automatisch erkennt, diese mit einer eigenen Sicherheitsdatenbank abgleicht und eine Klassifizierung der Risiken bereitstellt. So können unsichere Skripte identifiziert und gezielt in die CSP aufgenommen werden.

Da Magento standardmäßig über ein CSP-Reporting-Feature verfügt, kann das sansec Tool out of the box eingebunden werden. Dazu einfach die Reporting URl hier eintragen: developer.adobe.com

Händler-Websites, die Zahlungen über Drittanbieter abwickeln, müssen ab sofort mindestens alle 90 Tage durch einen PCI-zertifizierten Scanning-Anbieter (Approved Scanning Vendor, ASV) geprüft werden. Diese Anforderung zielt darauf ab, potenzielle Sicherheitslücken zu identifizieren und Händlern die Möglichkeit zu geben, Schwachstellen rechtzeitig zu beheben, bevor sie zu einem Risiko werden.

Kosten
Händler sollten hierfür etwa 1.000 Euro pro Jahr einplanen, was die regelmäßigen Prüfungen sowie die Erstellung entsprechender Berichte abdeckt.

Was ist ein Approved Scanning Vendor (ASV)?
Ein ASV ist ein von der PCI Security Standards Council zertifizierter Anbieter, der speziell autorisiert ist, Sicherheits-Scans auf Websites durchzuführen. Diese Anbieter folgen den offiziellen PCI-Standards und stellen sicher, dass Händler die Anforderungen an die Payment Card Industry Data Security Standard (PCI DSS) einhalten. Eine aktuelle Liste der zertifizierten ASVs findest du hier: PCI ASV Listing.

Solche regelmäßigen Scans sind essenziell, um die Sicherheit von Online-Zahlungsprozessen zu gewährleisten und den Schutz sensibler Kundendaten zu verbessern.

(Nachtrag vom 11.02.25) 

Es gibt eine gute Nachricht: Mit der im Januar 25 veröffentlichten Revision 4.0.1 wurden einige der neuen Anforderungen wieder gelockert:

• Keine zusätzlichen technischen Kontrollen erforderlich, wenn die Zahlung vollständig auf eine externe Seite des PSP weitergeleitet wird (z. B. PayPal). Viele Zahlungsanbieter bieten diese Lösung bereits an, wodurch Händler, die darauf setzen, von den strengeren Vorgaben ausgenommen sind.

Trotz dieser Erleichterungen bleibt die Verantwortung für die Sicherheit des Shops weiterhin beim Betreiber.

Die neuen Anforderungen sind kein Selbstzweck. Sie dienen dazu, die IT-Sicherheit im Onlinehandel zu verbessern und sensible Zahlungsdaten vor Cyberangriffen zu schützen. Das ist besonders wichtig, da die Bedrohungslage im E-Commerce kontinuierlich wächst:

Angriffe auf Zahlungsdaten nehmen zu, was nicht nur finanzielle Verluste, sondern auch massive Imageschäden für Händler verursachen kann.

Betrügerische Transaktionen führen zu Rückbuchungen und Vertrauensverlust in den Händler beim Zahlungsanbieter. Noch gravierender ist der Reputationsschaden: Kunden verlieren das Vertrauen, und negative Bewertungen schrecken potenzielle Neukunden ab.

Wer frühzeitig in sichere Checkout-Prozesse investiert, schützt sich vor diesen Risiken und stärkt zugleich das Vertrauen der Kunden – ein entscheidender Vorteil für den langfristigen Erfolg des Shops.

Beginnen Sie schon jetzt mit der Umsetzung der neuen Maßnahmen, um sicherzustellen, dass Ihr Shop bis März 2025 konform ist.

Ziehen Sie Experten hinzu, um Schwachstellen in Ihrem System zu identifizieren und zu beheben.

Schulen Sie Ihr Team in den neuen Sicherheitsanforderungen und sensibilisieren Sie es für den Umgang mit sensiblen Daten.

Lassen Sie Ihren Shop regelmäßig überprüfen, um sicherzustellen, dass alle Sicherheitsanforderungen eingehalten werden.

Die neuen Sicherheitsstandards, die mit PCI DSS 4.0 in der gesamten E-Commerce-Branche durchsetzten, markieren einen bedeutenden Schritt zur Verbesserung der IT-Sicherheit. Sie haben das Ziel, sensible Zahlungsdaten der Kunden umfassend zu schützen und das Vertrauen in sichere Zahlungsprozesse branchenweit zu fördern.

Für Händler bedeutet dies jedoch eine erhöhte Verantwortung: Die Umsetzung der neuen Standards erfordert frühzeitige Planung, technisches Know-how und gegebenenfalls zusätzliche Investitionen. Doch die Vorteile überwiegen bei Weitem – ein sicherer Checkout-Prozess, zufriedene Kunden und eine langfristige Absicherung des eigenen Geschäfts.

Nutzen Sie die Zeit bis März 2025, um sich optimal auf die neuen Anforderungen vorzubereiten. Mit den richtigen Maßnahmen schützen Sie nicht nur Ihren Shop, sondern schaffen auch eine solide Basis für nachhaltigen Erfolg im Onlinehandel.

Eine Zusammenfassung der Änderungen von PCI DSS Version 3.2.1 zu 4.0 finden Sie hier. Wenn Sie darüber hinaus erfahren wollen, was in den Fragebögen zur Selbstbewertung neu ist, dann schauen Sie hier.

Gerne beraten wir zum Thema und führen ein Audit durch. 

Wir prüfen Ihre aktuellen Systeme auf PCI DSS 4.0-Konformität, identifizieren Sicherheitslücken und zeigen konkrete Optimierungsmöglichkeiten auf. So stellen Sie sicher, dass Ihr Online-Shop alle Anforderungen erfüllt und sensible Zahlungsdaten optimal geschützt sind.

Wir freuen uns von Ihnen zu hören!