Kartenzahlungen sind für die meisten Unternehmen Alltag, im Onlineshop ebenso wie an der Ladenkasse. Wo Kartendaten fließen, entsteht ein attraktives Ziel für Angreifer und damit ein klar geregeltes Pflichtenheft: der Payment Card Industry Data Security Standard, kurz PCI DSS. Wer ihn ignoriert, riskiert Vertragsstrafen der Zahlungsdienstleister und im Ernstfall die Haftung für Kartenmissbrauch.
Was ist PCI DSS?
PCI DSS ist ein weltweit einheitlicher Sicherheitsstandard für den Umgang mit Karteninhaberdaten. Er wird vom PCI Security Standards Council gepflegt, einem Gremium der großen Kartenorganisationen, und aktuell in der Versionslinie 4 fortgeschrieben. Anders als ein Gesetz wirkt der Standard über Verträge: Händler und Dienstleister verpflichten sich gegenüber ihrer Bank beziehungsweise ihrem Acquirer zur Einhaltung.
Im Zentrum steht die Karteninhaberdaten-Umgebung, englisch Cardholder Data Environment (CDE). Dazu zählen alle Systeme, die Kartendaten speichern, verarbeiten oder übertragen, außerdem jedes System mit direkter Verbindung dorthin. Der Zuschnitt dieser Umgebung entscheidet über den Prüfumfang: Je mehr Systeme mit der CDE vernetzt sind, desto größer wird der Bereich, der sämtliche Anforderungen erfüllen und im Audit nachgewiesen werden muss.
So funktioniert es
Der Weg zur Konformität folgt einem wiederkehrenden Muster:
- Geltungsbereich bestimmen: Zuerst werden alle Datenflüsse von Kartendaten dokumentiert. Daraus ergibt sich, welche Systeme zur CDE gehören und welche Anforderungen wo greifen.
- Kernanforderungen umsetzen: Der Standard bündelt zwölf Anforderungen in sechs Zielbereichen. Grob zusammengefasst verlangt er abgesicherte Netzwerke mit kontrollierten Übergängen, Schutz gespeicherter Kartendaten und Verschlüsselung bei der Übertragung, gehärtete Systeme mit geregeltem Schwachstellenmanagement, strikte Zugriffskontrolle nach dem Need-to-know-Prinzip, lückenlose Protokollierung mit regelmäßigen Tests sowie verbindliche Sicherheitsrichtlinien für die Organisation.
- Prüfumfang reduzieren: Segmentierung trennt die CDE vom übrigen Netz, sodass große Teile der IT aus dem Audit herausfallen. Besonders präzise gelingt das mit Mikrosegmentierung , die Verbindungen bis auf einzelne Workloads einschränkt und die Wirksamkeit der Trennung belegbar macht. Auch Tokenisierung und ausgelagerte Zahlungsseiten verkleinern den Geltungsbereich erheblich.
- Nachweise erbringen: Je nach Transaktionsvolumen genügt ein Selbstauskunftsfragebogen (SAQ) oder es ist ein formelles Audit durch einen Qualified Security Assessor (QSA) nötig. Hinzu kommen vierteljährliche Scans durch einen zugelassenen Scan-Dienstleister (ASV) für extern erreichbare Systeme.
- Konformität aufrechterhalten: PCI DSS ist kein einmaliges Projekt. Die Nachweise sind jährlich zu erneuern, und die Version 4 verlangt an vielen Stellen belegbar gelebte Prozesse statt Momentaufnahmen.
Warum es wichtig ist
- Vertragliche Pflicht: Wer Kartenzahlungen akzeptiert, hat die Einhaltung gegenüber Acquirer und Kartenorganisationen zugesagt. Verstöße können erhöhte Gebühren oder den Verlust der Akzeptanzvereinbarung bedeuten.
- Haftung im Ernstfall: Nach einem Datenabfluss prüfen die Kartenorganisationen den Konformitätsstatus. Fehlende Nachweise verschieben Kosten für Kartenmissbrauch und Neuausstellung in Richtung des betroffenen Händlers.
- Reale Schutzwirkung: Die Anforderungen adressieren die häufigsten Angriffswege auf Zahlungsdaten, von schwachen Passwörtern bis zu ungepatchten Systemen im Kassennetz.
- Kostenhebel Prüfumfang: Ein sauber segmentierter Geltungsbereich senkt Audit-Aufwand und laufende Betriebskosten spürbar, oft um Größenordnungen.
- Vertrauen im Zahlungsökosystem: Banken, Zahlungsdienstleister und Geschäftskunden erwarten den Nachweis als Selbstverständlichkeit.
Typische Szenarien
Ein Onlinehändler leitet seine Kunden zur Bezahlung auf die gehostete Seite eines Zahlungsdienstleisters weiter. Kartendaten berühren seine Systeme nie, deshalb genügt ein kurzer Selbstauskunftsfragebogen. Der Aufwand bleibt klein, solange die Weiterleitung sauber implementiert ist.
Ein Filialhändler betreibt eigene Kassensysteme mit Kartenterminals. Sein Kassennetz gehört zur CDE und wird per Segmentierung strikt vom Büronetz getrennt. So bleiben Arbeitsplätze und Warenwirtschaft außerhalb des Prüfumfangs, und ein kompromittierter Büro-PC führt Angreifer in eine Sackgasse.
Ein IT-Dienstleister hostet Anwendungen, über die Kartendaten laufen. Er muss seinen Kunden gegenüber eigene PCI-DSS-Nachweise erbringen und wird dadurch Teil von deren Auditkette, inklusive klar abgegrenzter Verantwortlichkeiten.
PCI DSS vs. DSGVO
Die beiden Regelwerke werden oft verwechselt, verfolgen aber verschiedene Ziele. PCI DSS ist ein vertraglicher Branchenstandard und schützt genau eine Datenart: Karteninhaberdaten. Dafür macht er sehr konkrete technische Vorgaben, bis hin zu Passwortregeln und Scan-Intervallen. Die DSGVO ist ein Gesetz, gilt für sämtliche personenbezogenen Daten und formuliert risikobasierte Grundsätze statt detaillierter Technikvorgaben.
In der Praxis überschneiden sich beide: Der Name auf einer Kreditkarte ist zugleich ein personenbezogenes Datum. Ein Kartendatenleck kann deshalb parallel Meldepflichten nach DSGVO und Verfahren der Kartenorganisationen auslösen. Wer die PCI-DSS-Kontrollen sauber umsetzt, erfüllt damit zugleich einen relevanten Teil der technischen Anforderungen aus Artikel 32 DSGVO, ersetzt sie aber nicht.
So unterstützt KAEMI
KAEMI unterstützt Unternehmen dabei, den Geltungsbereich technisch sauber zu begrenzen und dauerhaft konform zu bleiben. Mit Mikrosegmentierung auf Basis von Illumio wird die Karteninhaberdaten-Umgebung präzise isoliert, inklusive der Visualisierung aller Verbindungen als Nachweis für Auditoren. Ergänzend begleiten die Professional Services von KAEMI die Vorbereitung auf Audits, vom Zuschnitt des Geltungsbereichs bis zur Härtung der Netzwerkarchitektur. Über die Kontaktseite erreichen Sie das Team für eine erste Einschätzung Ihrer Umgebung.