PCI-Standards kennen und einhalten

Zahlungsdaten müssen umfangreich geschützt werden PCI-Standards kennen und einhalten

24.09.2020 Von Jana Ehlers

Anbieter zum Thema

Kartenzahlungen nehmen zu – und wurden zum Beispiel während der Corona-Pandemie fast zu einer Notwendigkeit, wenn Geschäfte zum bargeldlosen Zahlen aufforderten. Die Zahldaten der internationalen Zahlungssysteme von MasterCard, Visa und drei weiteren Anbietern werden von den Standards der Payment Card Industry (PCI) geschützt. Für Unternehmen, die Zahldaten im Namen dieser Anbieter erheben, verarbeiten und speichern, bedeutet das, besagte Standards einzuhalten und die Konformität regelmäßig nachweisen zu können.

Die Anforderungen der Payment Card Industry (PCI) an den Schutz von Zahlungsdaten sind umfassend und häufigen Anpassungen unterworfen. Deswegen kann es sinnvoll sein, eine externe Beratung einzusetzen, um sie zu verstehen und umzusetzen.
(Bild: gemeinfrei / Pixabay)

PCI Standards wurden als Selbstverpflichtung der Marken Visa, Mastercard, American Express, Discover und JCB eingeführt, um den Schutz der Zahldaten dieser internationalen Zahlungssysteme zu gewährleisten. Es handelt es sich also nicht um gesetzliche Regelungen, sondern um akzeptierte Industriestandards. Alle Technologien, Prozesse und Produkte, die für Zahltransaktionen notwendig und an ihnen beteiligt sind, werden von den PCI Standards abgedeckt. Es gibt neun übergreifende Standards, die zum Teil wieder in Unterstandards unterteilt sind.

1. Der PCI DSS (Payment Card Industry Data Security Standard) ist der bekannteste. Er regelt den Umgang mit der Kreditkartennummer, der Primary Account Number, und gilt für alle, die Kartendaten speichern, verarbeiten und übertragen.

2. Im Standard PCI Card Production mit Unterstandards zur logischen und physischen Sicherheit wird der Schutz der Kartenproduktion geregelt.

3. Der Standard PCI PTS (PIN Transaction Security) schützt Produkte: Darüber wird die Sicherheit von Geräten gewährleistet, in die man eine PIN eingibt, zum Beispiel Pinpads von Geldautomaten oder Bezahlterminals an der Kasse.

4. Mit dem Standard PCI PA-DSS (Payment Application Data Security Standard) wird die Zahlungsapplikation geprüft. Er wird auf das PCI Software Security Framework umgestellt. Dabei werden Zahlungsanwendungen in Hintergrundsystemen oder auf Bezahlgeräten geprüft.

5. Der Standard PCI 3DS (3-D Secure Verfahren) kommt bei der Zwei-Faktor-Identifikation bei Kartenzahlungen im Internet zum Einsatz.

6. Der PCI P2PE (Point to Point Encryption) sorgt für eine sichere Verschlüsselung, sobald die Karte in ein Bezahlgerät gesteckt wird. Daten werden erst wieder in den Hintergrundsystemen der Zahlungsabwickler entschlüsselt, dazwischen sind sie nicht im Klartext abgreifbar.

7. Der Standard PCI PIN schützt PINs und die Umgebungen, in denen sie verarbeitet werden. Hier ist die sichere Verschlüsselung der wesentliche Faktor.

8. Der Standard PCI CPoC (Contactless Payment on Commercial off-the-shelf devices) regelt die kontaktlose Bezahlung via Kreditkarte an Smartphones oder Tablets über die NFC-Schnittstelle.

9. Der Standard PCI SPoC (Software-based PIN entry on Commercial off-the-shelf devices) regelt den Schutz von PINs bei der Entgegennahme von Zahlungen mit Smartphones oder Tablets.

Die jeweilige Dienstleistung entscheidet, welche der PCI Standards gelten. Betroffen sind alle Händler, Dienstleister und Betriebe, die in die Transaktions-Verarbeitung der großen fünf Zahlungssysteme involviert sind. Dazu gehören Einzelhändler mit Zahlungsterminals genauso wie Zwischendienstleister, die Rechenzentren betreiben, und Banken oder Geldinstitute als eigentliche Zahlungsabwickler.

Zahlungsdienstleister verpflichten sich und andere zur Einhaltung der Standards

Zahlungsdienstleister, die sogenannten Acquirer, unterhalten Verträge mit den internationalen Zahlungssystemen. Diese verpflichten die Acquirer, dass deren angeschlossene Händler die Einhaltung des PCI DSS garantieren können. Händler müssen ihre Konformität einmal jährlich nachweisen. Abhängig von der Anzahl der Transaktionen erfordert das den Besuch eines Auditors oder ist mit einem Selbstauskunfts-Fragebogen möglich. Der Auditor stellt nach dem bestandenen Audit die Konformitätsbescheinigung (Attestation of Compliance) aus.

Auch Drittdienstleister müssen ihre Konformität überprüfen lassen – das gibt das Dienstleistermanagement des PCI DSS vor. Auch diese Überprüfung erfolgt entweder über eine Selbstauskunft oder eine Auditoren-Prüfung.

Compliance-Voraussetzung: Die Liste ist lang

Jeder Standard umfasst diverse Voraussetzungen, die auf der technischen und der organisatorischen Ebene eingehalten werden müssen. Allein für den PCI DSS gibt es rund 250 Einzelanforderungen. Die Hauptbereiche sind folgende:

Netzwerksegmentierung, Begrenzung und Kontrolle der Verbindungen und des Traffics: So kann sichergestellt werden, dass Systeme nicht untereinander aufeinander zugreifen können. Auch Datenverbindungen werden kontrolliert.

Härtung von Systemen: Vor ihrem Einsatz im Netzwerk werden zentrale Einstellungen angepasst, Default-Accounts verändert und Standard-Passwörter ersetzt. Auch die Nutzung sicherer Einstellungen muss gewährleistet sein. Das bedeutet eine Begrenzung der Standard-Einstellungen, das Abschalten unsicherer Protokolle oder das Entfernen von unnötigen Diensten, die durch Schwachstellen zu Sicherheitslücken werden können.

Verschlüsselung: Sie spielt eine zentrale Rolle bei der Speicherung und Übertragung der Kartendaten. So wird verhindert, dass Daten von Angreifern mitgelesen werden können.

Einschränkung und Kontrolle von Zutritt und Zugriff: Es muss sichergestellt werden, dass nur Autorisierte Zugriff auf Daten und Systeme erhalten. Auf der logischen Ebene sind dafür unter anderem Passwortrichtlinien umzusetzen, auf der physischen Ebene bspw. Besucherregelungen für Serverräume.

Monitoring und Malewareschutz: Durch Überwachung der Systeme sowie durch Logging, die Protokollierung der Zugriffe und Aktionen im System, werden Auffälligkeiten schnell erkannt.

Regelmäßige Überprüfungen: Dazu gehören jährliche Penetrationstests, vierteljährliche Schwachstellen-Scans sowie Reviews von Prozessen und Einstellungen.

Informationssicherheitsmanagement (ISM): Im ISM werden dokumentierte Richtlinien, Prozesse und Verantwortlichkeiten festgelegt. Mitarbeiter müssen zum Beispiel in Security Awareness geschult werden, außerdem sind eine definierte Incident Response und ein Dienstleistermanagement erforderlich.

Weitere Voraussetzungen für die Einhaltung von PCI Standards sind unter anderem die sichere Entwicklung von Software, die Bewertung von Schwachstellen, zeitnahe Updates und ein geregeltes Changemanagement.

Gängige Fehler, die der Konformität entgegenstehen

Vier Fehler passieren häufig bei der Umsetzung der PCI Standards: Sie werden nicht von Anfang an berücksichtigt, laufende Aufwände zur Aufrechterhaltung der Konformität werden unterschätzt, und dem Personal fehlt das Bewusstsein für die Bedeutung der Standards.

Werden die Anforderungen der PCI Standards nicht bei der Konzeptualisierung, dem Aufbau des Netzwerks und der Strukturen beachtet, wird häufig ein späteres, aufwändiges wie teures Aufrüsten und Umstrukturieren erforderlich. Gerade die Anforderungen der PCI DSS sollten bekannt sein. Es bietet sich zum Beispiel an, die Bezahldaten in einem Netzwerksegment mit besonderem Schutz zu verarbeiteten und zu speichern, das von anderen Unternehmensbereichen abgegrenzt wird, die nicht die PCI DSS erfüllen müssen. Wird dagegen ein Netzwerk für alle Prozesse genutzt, müssen alle Systeme den strengeren PCI-Anforderungen unterliegen, was mit riesigen Aufwänden verbunden ist.

Unternehmen müssen sich darüber im Klaren sein, dass sie die Konformität dauerhaft aufrechterhalten müssen. Das bedeutet, ihre Systeme an sich stets verändernde Voraussetzungen anzupassen - an neue Standards, neue Risiken und neue Angriffe. Werden zum Beispiel Verschlüsselungsprotokolle, die bei der Übertragung und Speicherung der Zahlungsdaten eingesetzt werden, erfolgreich angegriffen, müssen die Algorithmen umgestellt werden. Auf diese notwendigen Anpassungen im System sind Firmen oft nicht vorbereitet. Gerade Updates werden gescheut, da sie laufende Systeme leicht stören können. Doch bei neuen Sicherheitslücken oder alten Systemen mit auslaufendem Support sind Aktualisierungen zwingend notwendig. Unterhalten Firmen eine Vielzahl von Servern, stellt das eine große Hürde dar: Die Umstellung kostet Zeit und Ressourcen gleichermaßen.

Die dritte Herausforderung liegt in der Schaffung von Bewusstsein: Mitarbeiter, vom Rezeptionisten im Hotel bis zur Kassiererin in der Filiale, müssen wissen, wie Bezahlterminals und Zahlungen sicher betrieben werden. Dazu gehören zwei Faktoren: Zum einen muss das Gerät selbst sicher sein, zum anderen auch sein Umfeld. Gerade, wenn Daten gespeichert werden sollen, steigen die Anforderungen für Schutz, Verschlüsselung und Zugriffskontrolle schnell. Dann ist nicht nur das entsprechende IT-Tool notwendig, sondern auch ein fachkundiger Mitarbeiter, der es konfigurieren kann.

Darüber hinaus steht die Dienstleisterbeziehung oft nicht genug im Fokus. Es mangelt an ausreichenden Prüfungen und es herrschen Unklarheiten über die Verantwortlichkeiten für die Aufrechterhaltung einzelner Schutzmaßnahmen. Damit besteht das Risiko, dass die Schutz-Kette unterbrochen wird.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Konformität mit Hilfe erlangen

Kennen Unternehmen die Anforderungen der Standards von Anfang an und berücksichtigen diese, erleichtert das vieles. Mit dem Kauf und der Einrichtung der notwendigen Systeme ist es aber noch nicht getan, vielmehr müssen regelmäßige Aufwände einkalkuliert werden, um sie auf dem aktuellen Stand zu halten. Um Notwendigkeiten zur Anpassung zu erkennen, sind außerdem regelmäßige Reviews wichtig. Diese Aufrechterhaltung der Konformität erfordert Knowhow und Ressourcen, was gerade kleine Händler oft nicht besitzen. Ein externer Berater, wie die SRC Security Research & Consulting GmbH, kann unterstützen, die Anforderungen zu verstehen und umzusetzen.

Fazit

Um Prozesse und technische Infrastruktur wie gefordert ausrichten zu können, müssen Unternehmen nicht nur wissen, welche PCI Standards und welche Anforderungen für sie gelten. Sie sollten zudem wiederkehrende Aufwände durch die Notwendigkeit der steten Aktualisierung einberechnen und das Bewusstsein der Mitarbeiter für die Anforderungen schulen.

Über die Autorin: Jana Ehlers ist Bereichsleiterin PCI bei der SRC Security Research & Consulting GmbH.

(ID:46881149)