Dynamische Sicherheit zum Schutz von Kartendaten

Autor/-in

Gabriel Juri

Veröffentlicht am

8 Juli 2026

Lesezeit

Minuten

Benötigtes Wissen

  • Grundkenntnisse im Bereich der Informationssicherheit
  • Vertrautheit mit der Finanzbranche und Zahlungssystemen

2004 etablierte das Payment Card Industry Security Standards Council (PCI SSC) den Payment Card Industry Data Security Standard (PCI DSS). Diesem unabhängigen Gremium gehören die führenden Kreditkartenunternehmen Visa, MasterCard, American Express, Discover und JCB an. Der Standard bildet die Grundlage für technische und betriebliche Anforderungen zum Schutz von Kontodaten und gilt weltweit für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen.

Bedarf für eine neue Version des Standards

Die Einführung von PCI DSS 4.0 war notwendig, um den sich ständig weiterentwickelnden Bedrohungen und Technologien Rechnung zu tragen. Die Hauptgründe für die Änderungen in der Version 4.0 sind:

  • Sicherstellung, dass der Standard weiterhin die Sicherheitsanforderungen der Payment-Branche erfüllt
  • Förderung von Sicherheit als kontinuierlichen und dynamischen Prozess
  • Verbesserung der Validierungsverfahren, um sie robuster zu machen
  • Unterstützung zusätzlicher Methoden zur Erreichung der Sicherheitsziele, um den Einsatz neuer Technologien und innovativer Kontrollen zu ermöglichen

Beispiele für Bedrohungen und Technologien

Die sich ständig weiterentwickelnden Bedrohungen und Technologien machen die neue Standardversion notwendig:

  • Cyberkriminalität und künstliche Intelligenz: Cyberkriminelle nutzen zunehmend generative künstliche Intelligenz (KI), um mit gefälschten Videos und personalisierten Phishing-Nachrichten Geld oder Daten zu stehlen. Auch Unternehmen nutzen KI, um Bedrohungen in Echtzeit vorherzusagen und zu neutralisieren.
  • Instant Payments: Die Einführung von Instant Payments erhöht die Anforderungen an die Sicherheit und die Fähigkeit, Transaktionen in Echtzeit zu überwachen und zu schützen.
  • Blockchain-Technologie: Der Einsatz von Blockchain im Zahlungsverkehr erfordert neue Sicherheitsmassnahmen, um die Integrität und Sicherheit von Transaktionen zu gewährleisten.
  • Starke Kundenauthentifizierung (SCA): Die Anforderungen an eine starke Kundenauthentifizierung gemäss der EU-Zahlungsdiensterichtlinie PSD2 erfordern robuste Sicherheitsmechanismen, um die Benutzeridentität zu verifizieren und Betrug zu verhindern.
  • Mobile Payment Security: Die Veröffentlichung von PCI DSS 4.0 ist ein wichtiger Meilenstein, insbesondere im Hinblick auf die zunehmende Nutzung mobiler Bezahllösungen. Die Sicherheit mobiler Systeme ist zu einem ernsthaften Problem geworden, da Cyberangriffe sowohl an Zahl als auch an Raffinesse zunehmen.

Multi-Faktor-Authentifizierung

Ein wesentlicher Unterschied zwischen den Versionen 3.2.1 und 4.0 ist die Erweiterung der Anforderungen an die Multi-Faktor-Authentifizierung (MFA). Während MFA in der alten Version hauptsächlich für den Fernzugriff auf Netzwerke und für nicht-konsolenbasierte administrative Zugriffe auf die Karteninhaberdatenumgebung (CDE) erforderlich war, hat das PCI SSC die Anforderungen in der neuen Version erheblich erweitert. Nun ist MFA für jeden Zugriff auf die CDE notwendig, unabhängig davon, ob es sich um administrative oder nicht-administrative Zugriffe handelt – auch in Cloud-Umgebungen, gehosteten Systemen und anderen Systemkomponenten. Dies beinhaltet auch die Implementierung von Phishing-resistenten MFA wie Hardware-Token und biometrische Verfahren (z. B. Fingerabdruck oder Gesichtserkennung) durch die Organisationen. Diese Massnahmen erschweren es Cyberkriminellen, sich unberechtigten Zugang zu Systemen zu verschaffen, selbst wenn sie Kreditkartendaten gestohlen haben.

Karteninhaber-Datenumgebung

Die CDE umfasst alle Systemkomponenten, die Kreditkartendaten speichern, verarbeiten oder übertragen. PCI DSS 4.0 legt einen stärkeren Fokus auf die Absicherung der CDE durch erweiterte MFA-Anforderungen und die Einführung neuer Sicherheitskontrollen. Diese Massnahmen sollen sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten haben und dass die Organisationen diesen Zugriff kontinuierlich überwachen.

Risikobasierter Ansatz und Sicherheitskontrollen

Ein weiterer wesentlicher Unterschied zwischen PCI DSS 3.2.1 und 4.0 ist der Übergang zu einem risikobasierten Ansatz. Während die alte Version hauptsächlich auf vordefinierten Sicherheitskontrollen basierte, fördert die neue Version einen präventiven und dynamischeren Ansatz zur Risikobewertung. Vordefinierte Sicherheitskontrollen sind festgelegte Massnahmen und Verfahren, die unabhängig von der spezifischen Risikosituation umzusetzen sind. Diese Kontrollen sind standardisiert und gelten für alle Organisationen gleichermassen. Beispiele hierfür sind die regelmässige Aktualisierung von Antivirensoftware, die Implementierung von Firewalls und die Verschlüsselung von Daten bei der Übertragung und Speicherung.

Im Gegensatz dazu fördert die aktuelle Version einen vorausschauenden und dynamischeren Ansatz zur Risikobewertung und Sicherheitskontrolle. Dies bedeutet, dass Unternehmen und andere Organisationen, die Kreditkartendaten verarbeiten, ihre Sicherheitslage kontinuierlich überwachen und an aktuelle Bedrohungen und Schwachstellen anpassen müssen. Vorbeugende Massnahmen umfassen die regelmässige Durchführung von Penetrationstests, die Überwachung von Netzwerkaktivitäten in Echtzeit und die Implementierung von Threat Intelligence Systemen, die potenzielle Angriffe frühzeitig erkennen und abwehren können. Gerade bei mobilen Bezahlsystemen wird es immer wichtiger, dass diese robust gegen Angriffe wie Ghost Tap sind. Dabei handelt es sich um eine Methode, bei der Cyberkriminelle gestohlene Kreditkartendaten nutzen, die mit mobilen Bezahlsystemen wie Apple Pay oder Google Pay verknüpft sind. Bei dieser Technik wird der NFC-Datenverkehr zwischen den Geräten umgeleitet, um Transaktionen durchzuführen, ohne dass die physische Karte oder das Gerät des Opfers anwesend sein muss (siehe Kasten). PCI DSS 4.0 kann dazu beitragen, solche Angriffe zu verhindern, insbesondere durch die Implementierung von Sicherheitsmechanismen wie sichere Kommunikationsprotokolle und die Überwachung von Anomalien im NFC-Datenverkehr.

Algorithmen und Verschlüsselung

PCI DSS 4.0 bringt auch Änderungen in Bezug auf Verschlüsselungsalgorithmen und Schlüsselmanagement mit sich. Die neue Version fordert den Einsatz stärkerer Verschlüsselungsalgorithmen, um die Sicherheit der Kartendaten während der Übertragung und Speicherung zu gewährleisten. Darüber hinaus müssen Organisationen, die Kreditkartendaten verarbeiten, sicherstellen, dass sie ihre Verschlüsselungsschlüssel sicher aufbewahren und regelmässig wechseln. Diese Massnahmen sollen es Cyberkriminellen erschweren, diese Daten abzufangen und zu missbrauchen.

Stand der Umsetzung

Die Umsetzung von PCI DSS 4.0 ist auch in der Schweiz noch im Gang. Die neuen Anforderungen werden ab dem 31. März 2025 verbindlich. Kartenverarbeiter wie Worldline und spezialisierte Unternehmen, die zur Durchführung von Audits berechtigt sind, unterstützen Unternehmen bei der Anpassung ihrer Sicherheitsmassnahmen an die neuen Standards und bieten Schulungen und Beratung an, um den Übergang zu erleichtern.  

Auswirkungen für Unternehmen und Kartenverarbeiter

Die Einführung der neuen Version bringt sowohl Herausforderungen als auch Vorteile für Unternehmen und Kartenverarbeiter mit sich. Der Aufwand, die neuen Anforderungen einzuhalten, kann erheblich sein, da Unternehmen ihre bestehenden Sicherheitsmassnahmen überprüfen und gegebenenfalls anpassen müssen. Dies kann Investitionen in neue Technologien, Mitarbeiterschulungen und die Implementierung zusätzlicher Sicherheitskontrollen erfordern.

Der Ertrag dieser Investitionen ist jedoch ebenfalls beträchtlich. Die neue Version verspricht eine verbesserte Sicherheit von Kreditkartendaten, die das Risiko von Datenpannen und Betrug deutlich reduziert. Dies führt nicht nur zu einem besseren Schutz der sensiblen Daten, sondern stärkt auch das Vertrauen der Kundschaft in die Sicherheitsmassnahmen des Unternehmens. Langfristig können Unternehmen ihre Reputation schützen und potenzielle finanzielle Verluste durch Sicherheitsvorfälle vermeiden, indem sie die neuen Standards einhalten.

 

Gabriel Juri
SIX

Entdecken Sie mehr

Künstliche Intelligenz: Zahlungsdaten, die den Unterschied machen

Focus

Künstliche Intelligenz: Zahlungsdaten, die den Unterschied machen

KI ist aus dem Bankenalltag nicht mehr wegzudenken. Hochwertige Zahlungsdaten sind entscheidend für massgeschneiderte Erlebnisse und effiziente KI-Anwendungen. Payment Enrichment verbessert die Datenqualität und optimiert wichtige Prozesse.

8 Juli 2026

5 Minuten
Servicebüros: kaum bekannte Schlüsselakteure im Schweizer Zahlungsverkehr

Experts

Servicebüros: kaum bekannte Schlüsselakteure im Schweizer Zahlungsverkehr

Servicebüros sind seit den 1990er Jahren zentrale Akteure im Schweizer Zahlungsverkehr. Sie übermitteln Zahlungsaufträge und stellen die Datenintegrität sicher. Die SNB hat formale Anforderungen veröffentlicht, um Sicherheit und Effizienz zu gewährleisten.

8 Juli 2026

6 Minuten
CBDC und Instant Payments: eine Kombination mit Tücken

Panorama

CBDC und Instant Payments: eine Kombination mit Tücken

Ein einziges Land betreibt sowohl ein CBDC als auch ein Instant Payments-System, um die finanzielle Inklusion und Effizienz zu erhöhen. Unterschiedliche Standards und Technologien erschweren jedoch die Interoperabilität. Einige Länder erwägen stattdessen Wholesale CBDCs.

8 Juli 2026

4 Minuten
Ein Blick auf die Kosten von Zahlungsverfahren

Panorama

Ein Blick auf die Kosten von Zahlungsverfahren

Im deutschen E-Commerce-Handel fallen bei einigen Zahlungsverfahren hohe Prozesskosten an. Im Durchschnitt kostet es 10 Euro, wenn bei einem Kauf- und Bezahlvorgang etwas schief läuft. Jede 20. Überweisung per Vorkasse und Zahlung auf Rechnung erfordert eine händische Bearbeitung.

8 Juli 2026

3 Minuten
Geht KI cross-border?

Panorama

Geht KI cross-border?

Die Integration von KI und Deep Learning wird die Zukunft der Zahlungssysteme beeinflussen, auch für grenzüberschreitende Transaktionen. Forschungsergebnisse deuten darauf hin, dass KI mehr Effizienz, Sicherheit und Compliance für traditionelle Zahlungssysteme leistet.

8 Juli 2026

3 Minuten
«Maschine schlägt Mensch» – das gilt nicht nur beim Schach, sondern auch im Zahlungsverkehr

Talk

«Maschine schlägt Mensch» – das gilt nicht nur beim Schach, sondern auch im Zahlungsverkehr

Helge Kraas, PPI AG, spricht über künstliche Intelligenz im Zahlungsverkehr. Im Fokus stehen Betrugserkennung, Instant Payments, E-Rechnungen, Request to Pay, personalisierte Finanzdienstleistungen, Regulierung sowie Finanzkriminalität und nachvollziehbare KI-Entscheidungen.

8 Juli 2026

9 Minuten