Neue PCI-DSS-Regeln

Strengere Sicherheitsregeln für Online-Bezahldienste

Kontaktloses Bezahlen, kontaktloses bezahlen umfrage 2025, smartphone zahlen 2025, Smartphone, Handy
LinkedInRedditWhatsApp

Die neuen PCI-DSS-Regeln verschärfen den Schutz vor Web-Skimming. Ein Prüfbericht zeigt, wie automatisierte Überwachung bei der Compliance hilft.

Beim Online-Bezahlvorgang laden Webseiten im Browser der Kunden regelmäßig zahlreiche Skripte von Drittanbietern, darunter Analyse-Werkzeuge, Tag-Manager oder Support-Widgets. Diese externen Code-Bestandteile können von Angreifern für sogenanntes Web-Skimming ausgenutzt werden, um Kreditkartendaten abzufangen. Nach Erkenntnissen des Sicherheitsunternehmens Sansec wurden bereits mehr als 100.000 Websites Opfer solcher Supply-Chain-Angriffe, die oft der Magecart-Gruppe zugeschrieben werden. Ein bekannter Fall war der Datendiebstahl bei British Airways im Jahr 2018, bei dem 380.000 Transaktionen kompromittiert wurden. Das Risiko besteht darin, dass Schadcode über bereits freigegebene Skripte eingeschleust wird, wenn Angreifer die Infrastruktur des Drittanbieters kompromittieren.

Anzeige

Neue Anforderungen für Online-Bezahldienste durch PCI DSS Version 4.0.1

Die aktualisierten Richtlinien des PCI DSS in der Version 4.0.1 adressieren diese Sicherheitslücken mit verbindlichen Vorgaben. Die Anforderung 6.4.3 schreibt vor, dass jedes Skript auf einer Bezahlseite inventarisiert, autorisiert und auf seine Integrität hin überprüft werden muss. Zudem verlangt die Anforderung 11.6.1 die Erkennung von Manipulationen an Seiteninhalten und HTTP-Headern direkt im Browser des Nutzers.

Eine manuelle Pflege dieser Listen gilt als kaum umsetzbar, da sich laut statistischen Erhebungen von Reflectiz rund 30 Prozent der Skripte auf Bezahlseiten innerhalb von zwei Wochen verändern. Seit Januar 2025 gelten diese verschärften Pflichten laut den offiziellen Richtlinien auch für Händler, die Bezahlfenster über eingebettete iFrames nutzen, da Angreifer die Daten auf der übergeordneten Seite abgreifen können, bevor sie den geschützten Rahmen erreichen.

Ergebnisse der Konformitätsprüfung durch Integrity360

Der unabhängige PCI-Prüfer Integrity360 Europe hat die Sicherheitsplattform von Reflectiz auf die Einhaltung der neuen Kriterien hin untersucht. Der Prüfbericht bestätigt, dass das System die Compliance-Anforderungen unterstützt. Die Analyse hob hervor, dass die Überwachung auf Verhaltensbasis und nicht nur auf Datei-Hashes beruht, wodurch auch kurzfristige Änderungen auf der Anbieterseite erfasst werden. Die Integration erfolgt ohne Code-Anpassungen auf den Servern der Händler. Zudem erstellt die Anwendung automatisierte Nachweise für Audits, welche die lückenlose Überprüfung der einzelnen Bezahlseiten dokumentieren.

Anzeige

(red)


Anzeige
Kontaktloses Bezahlen, kontaktloses bezahlen umfrage 2025, smartphone zahlen 2025, Smartphone, Handy
19. Juni 2026
Strengere Sicherheitsregeln für Online-Bezahldienste
Urlaub-Betrug
19. Juni 2026
Gezieltes Urlaubs-Phishing mit neuer Qualität
Betrugsprävention im E-Commerce
19. Juni 2026
Online-Falle: Wie Fake-Shops tausende Kunden abzocken
Sicherheitslücken, Schwachstellen, Cyberangriffe, Cyberattacken
19. Juni 2026
Cyberangriff: Stadt Oranienburg schaltet Verwaltungsnetz ab

Weitere Artikel

Online-Falle: Wie Fake-Shops tausende Kunden abzocken
Cyberangriff: Stadt Oranienburg schaltet Verwaltungsnetz ab
Windows-Updates blockieren Microsoft Office
GitLab erweitert Kooperation mit Google
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.