Der neue Standard versucht dem aktuellen Stand der Technik, wie auch der veränderten Bedrohungslage Rechnung zu tragen.

Ausgabe 10 | 2022

PCI DSS – nicht nur Banken

goSecurity AG, Andreas Wisler

Für alle Unternehmen, die mit Kreditkarten in Berührung (Verarbeiten oder Speichern) kommen, müssen die Anforderungen aus der PCI DSS (Payment Card Industry Data Security Standard) umgesetzt werden. Hinter dem Standard stehen die Kreditkartenunternehmen, aber auch viele Banken und Zahlungsdienstleister. Am 31. März 2022 wurde die neue Version 4.0 nach über neun Jahren Abstand seit dem letzten Major-Release veröffentlicht. Verbindlich wird diese für die Unternehmen aber erst per 31. März 2025.

Über vier Jahre dauerte die Fertigstellung der aktuellen Ausgabe der PCI DSS. Bereits Ende 2017 wurde der erste RFC (Request for Comments, Anfrage für Kommentare/Mithilfe) veröffentlicht. Die lange Entwicklungszeit, wie auch der lange Abstand zur vorherigen Version lassen es erahnen, es hat sich einiges am Standard geändert. Und dies ist auch gut so. Eine Aktualisierung war dringend notwendig. Auch wenn der Standard immer technologieunabhängig war und ist, hat sich in den vergangenen Jahren sehr viel in der IT geändert. Auch die Angriffe auf Infrastrukturen haben sich verändert und massiv zugenommen. Der neue Standard versucht dem aktuellen Stand der Technik, wie auch der veränderten Bedrohungslage Rechnung zu tragen. Der Standard ist kostenlos in verschiedenen Sprachen herunterladbar, beispielsweise in Deutsch. Bei Unsicherheiten sollte, und dies ist teilweise auch notwendig, auf die englische Original-Version zurückgegriffen werden.

Neue Anforderungen sind dazu gekommen
Mit dem aktuellen Release sind 64 neue Anforderungen dazu gekommen, unter anderem wird damit auch den aktuellen Gegebenheiten, wie der vermehrten Nutzung der Cloud Rechnung getragen. Die PCI DSS unterscheidet dabei zwischen Händlern (Merchants) und Bezahldienstleistern (Service-Providers). 53 von 64 neuen Anforderungen sind jedoch für alle PCI-relevanten Firmen anwendbar, nur elf gelten ausschliesslich für Bezahldienstleister.
Ein wichtiger Punkt ist Definition des Anwendungsbereichs. Weil dies immer wieder zu Diskussionen während des Audits führte, wurde bereits 2016 ein zusätzliches Dokument zum Thema Scoping herausgegeben. Es ist aber nur als Empfehlung zu verstehen. Die Änderung hilft nun Unternehmen, die bereits andere Standards wie ISO 27001 umgesetzt haben. Bis anhin war es praktisch nicht möglich, beziehungsweise nur mit einem grossen Aufwand, die beiden in einen Einklang zu bringen. Heraufordernd ist aber mit dieser Anpassung, dass der Anwendungsbereich jährlich (bei Bezahldienstleistern sogar halbjährlich) oder nach bedeutenden Änderungen an der Umgebung überprüft werden muss.

Unverändert sind die zwölf Hauptanforderungen geblieben
Im Unterschied zu anderen Standards und Normen ist die PCI DSS sehr konkret. So umfasst das Dokument in der deutschen Ausgabe 389 Seiten. Neben den Anforderungen an die Umsetzung sind auch Anforderungen an die Auditoren definiert. Zwar helfen die konkreten Massnahmen Unternehmen, schränken aber gleichzeitig die Freiheit auch wieder ein. Die Auditoren haben damit auch nicht die Freiheit eine etwas anders als gewohnte Massnahme zu akzeptieren. Unverändert geblieben sind die zwölf Hauptanforderungen (Bild).
Hinweis: Für die Vorgänger-Version 3.2.1 ist ein Mapping-Guide zum NIST Cybersecurity Framework vorhanden, welches wir in der Ausgabe Maschinenbau 2022/6 ausführlicher angeschaut haben. Vermutlich wird dieser Leitfaden auch bald für die aktuelle Version veröffentlicht.
Jede dieser Hauptanforderungen ist viele Teil-Anforderungen unterteilt. Jede Anforderung wird detailliert beschrieben und umfasst die folgenden Informationen:

  • Titel: organisiert und beschreibt die Anforderungen
  • Definierte Ansatzanforderungen: beschreibt das Verfahren zur Implementierung
  • Zielsetzung: ist das beabsichtigte Ziel oder das Ergebnis der Anforderung
  • Testprozeduren: beschreibt das Verfahren zur Prüfung
  • Zweck: beschreibt das Ziel, den Nutzen oder die Bedrohung, die vermieden werden soll
  • Gute Praxis: kann vom Unternehmen berücksichtigt werden, wenn sie eine Anforderung definiert (oder anders formuliert, Beispiele zur Umsetzung)
  • Definitionen: Begriffe, die zum Verständnis beitragen können
  • Beispiele: beschreiben Möglichkeiten, wie eine Anforderung erfüllt werden kann
  • Weitere Informationen: beinhalten Verweise auf relevante externe Dokumentation

Auch wenn ein Unternehmen keine Kreditkarten-Informationen verarbeitet, lohnt es sich die zwölf Haupt- und die diversen Teilanforderungen genauer anzuschauen und zu prüfen, was im eigenen Unternehmen umgesetzt werden kann, zum Beispiel die durchgängige Nutzung von MFA (Multi-Factor-Authentication), also einem zweiten Faktor beim Login wie SMS oder Authenticator-App. Weiter gehören umfassende Security-Awareness-Trainings oder regelmässige Schwachstellensuchen dazu. Schon allein mit diesen Schritten kann die Informationssicherheit bereits nachhaltig erhöht werden.Zwar ist nun eine neue Version verfügbar. Trotzdem kann sich ein Unternehmen Zeit lassen. Bis zum 31. März 2024 kann noch die Version 3.2.1 verwendet werden. Ein Jahr später, das heisst ab dem 1. April 2025 wird eine (Re-)Zertifizierung nur noch nach der aktuellen Ausgabe möglich sein, da ab dann die neuen Anforderungen verpflichtend sind. Trotz der langen Übergangsfrist sollten sich die Unternehmen, die mit Kreditkartendaten Berührungspunkte haben, bereits jetzt mit diesen Anforderungen auseinandersetzen und diese möglichst bald einführen.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Februar

LOPEC, München

Internationale Fachmesse und Kongress für gedruckte Elektronik
28. Februar bis 2. März
www.lopec.com

März

LOPEC, München

Internationale Fachmesse und Kongress für gedruckte Elektronik
28. Februar bis 2. März
www.lopec.com

all about automation, Friedrichshafen

Fachmesse für Industrieautomation in der internationalen Bodenseeregion
7. und 8. März
www.automation-friedrichshafen.com

GrindTec, Leipzig

Internationale Fachmesse für Werkzeugbearbeitung und Werkzeugschleifen
7. bis 10. März
www.grindtec-leipzig.de

intec, Leipzig

Internationale Fachmesse für Werkzeugmaschinen, Fertigungs- und Automatisierungstechnik
7. bis 10. März
www.messe-intec.de