Autor/-in
Veröffentlicht am
8 Juli 2026
Lesezeit
Benötigtes Wissen
2004 etablierte das Payment Card Industry Security Standards Council (PCI SSC) den Payment Card Industry Data Security Standard (PCI DSS). Diesem unabhängigen Gremium gehören die führenden Kreditkartenunternehmen Visa, MasterCard, American Express, Discover und JCB an. Der Standard bildet die Grundlage für technische und betriebliche Anforderungen zum Schutz von Kontodaten und gilt weltweit für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen.
Bedarf für eine neue Version des Standards
Die Einführung von PCI DSS 4.0 war notwendig, um den sich ständig weiterentwickelnden Bedrohungen und Technologien Rechnung zu tragen. Die Hauptgründe für die Änderungen in der Version 4.0 sind:
Beispiele für Bedrohungen und Technologien
Die sich ständig weiterentwickelnden Bedrohungen und Technologien machen die neue Standardversion notwendig:
Multi-Faktor-Authentifizierung
Ein wesentlicher Unterschied zwischen den Versionen 3.2.1 und 4.0 ist die Erweiterung der Anforderungen an die Multi-Faktor-Authentifizierung (MFA). Während MFA in der alten Version hauptsächlich für den Fernzugriff auf Netzwerke und für nicht-konsolenbasierte administrative Zugriffe auf die Karteninhaberdatenumgebung (CDE) erforderlich war, hat das PCI SSC die Anforderungen in der neuen Version erheblich erweitert. Nun ist MFA für jeden Zugriff auf die CDE notwendig, unabhängig davon, ob es sich um administrative oder nicht-administrative Zugriffe handelt – auch in Cloud-Umgebungen, gehosteten Systemen und anderen Systemkomponenten. Dies beinhaltet auch die Implementierung von Phishing-resistenten MFA wie Hardware-Token und biometrische Verfahren (z. B. Fingerabdruck oder Gesichtserkennung) durch die Organisationen. Diese Massnahmen erschweren es Cyberkriminellen, sich unberechtigten Zugang zu Systemen zu verschaffen, selbst wenn sie Kreditkartendaten gestohlen haben.
Karteninhaber-Datenumgebung
Die CDE umfasst alle Systemkomponenten, die Kreditkartendaten speichern, verarbeiten oder übertragen. PCI DSS 4.0 legt einen stärkeren Fokus auf die Absicherung der CDE durch erweiterte MFA-Anforderungen und die Einführung neuer Sicherheitskontrollen. Diese Massnahmen sollen sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten haben und dass die Organisationen diesen Zugriff kontinuierlich überwachen.
Risikobasierter Ansatz und Sicherheitskontrollen
Ein weiterer wesentlicher Unterschied zwischen PCI DSS 3.2.1 und 4.0 ist der Übergang zu einem risikobasierten Ansatz. Während die alte Version hauptsächlich auf vordefinierten Sicherheitskontrollen basierte, fördert die neue Version einen präventiven und dynamischeren Ansatz zur Risikobewertung. Vordefinierte Sicherheitskontrollen sind festgelegte Massnahmen und Verfahren, die unabhängig von der spezifischen Risikosituation umzusetzen sind. Diese Kontrollen sind standardisiert und gelten für alle Organisationen gleichermassen. Beispiele hierfür sind die regelmässige Aktualisierung von Antivirensoftware, die Implementierung von Firewalls und die Verschlüsselung von Daten bei der Übertragung und Speicherung.
Im Gegensatz dazu fördert die aktuelle Version einen vorausschauenden und dynamischeren Ansatz zur Risikobewertung und Sicherheitskontrolle. Dies bedeutet, dass Unternehmen und andere Organisationen, die Kreditkartendaten verarbeiten, ihre Sicherheitslage kontinuierlich überwachen und an aktuelle Bedrohungen und Schwachstellen anpassen müssen. Vorbeugende Massnahmen umfassen die regelmässige Durchführung von Penetrationstests, die Überwachung von Netzwerkaktivitäten in Echtzeit und die Implementierung von Threat Intelligence Systemen, die potenzielle Angriffe frühzeitig erkennen und abwehren können. Gerade bei mobilen Bezahlsystemen wird es immer wichtiger, dass diese robust gegen Angriffe wie Ghost Tap sind. Dabei handelt es sich um eine Methode, bei der Cyberkriminelle gestohlene Kreditkartendaten nutzen, die mit mobilen Bezahlsystemen wie Apple Pay oder Google Pay verknüpft sind. Bei dieser Technik wird der NFC-Datenverkehr zwischen den Geräten umgeleitet, um Transaktionen durchzuführen, ohne dass die physische Karte oder das Gerät des Opfers anwesend sein muss (siehe Kasten). PCI DSS 4.0 kann dazu beitragen, solche Angriffe zu verhindern, insbesondere durch die Implementierung von Sicherheitsmechanismen wie sichere Kommunikationsprotokolle und die Überwachung von Anomalien im NFC-Datenverkehr.
Algorithmen und Verschlüsselung
PCI DSS 4.0 bringt auch Änderungen in Bezug auf Verschlüsselungsalgorithmen und Schlüsselmanagement mit sich. Die neue Version fordert den Einsatz stärkerer Verschlüsselungsalgorithmen, um die Sicherheit der Kartendaten während der Übertragung und Speicherung zu gewährleisten. Darüber hinaus müssen Organisationen, die Kreditkartendaten verarbeiten, sicherstellen, dass sie ihre Verschlüsselungsschlüssel sicher aufbewahren und regelmässig wechseln. Diese Massnahmen sollen es Cyberkriminellen erschweren, diese Daten abzufangen und zu missbrauchen.
Stand der Umsetzung
Die Umsetzung von PCI DSS 4.0 ist auch in der Schweiz noch im Gang. Die neuen Anforderungen werden ab dem 31. März 2025 verbindlich. Kartenverarbeiter wie Worldline und spezialisierte Unternehmen, die zur Durchführung von Audits berechtigt sind, unterstützen Unternehmen bei der Anpassung ihrer Sicherheitsmassnahmen an die neuen Standards und bieten Schulungen und Beratung an, um den Übergang zu erleichtern.
Auswirkungen für Unternehmen und Kartenverarbeiter
Die Einführung der neuen Version bringt sowohl Herausforderungen als auch Vorteile für Unternehmen und Kartenverarbeiter mit sich. Der Aufwand, die neuen Anforderungen einzuhalten, kann erheblich sein, da Unternehmen ihre bestehenden Sicherheitsmassnahmen überprüfen und gegebenenfalls anpassen müssen. Dies kann Investitionen in neue Technologien, Mitarbeiterschulungen und die Implementierung zusätzlicher Sicherheitskontrollen erfordern.
Der Ertrag dieser Investitionen ist jedoch ebenfalls beträchtlich. Die neue Version verspricht eine verbesserte Sicherheit von Kreditkartendaten, die das Risiko von Datenpannen und Betrug deutlich reduziert. Dies führt nicht nur zu einem besseren Schutz der sensiblen Daten, sondern stärkt auch das Vertrauen der Kundschaft in die Sicherheitsmassnahmen des Unternehmens. Langfristig können Unternehmen ihre Reputation schützen und potenzielle finanzielle Verluste durch Sicherheitsvorfälle vermeiden, indem sie die neuen Standards einhalten.
Ablauf einer Ghost Tap Attack
Gabriel Juri SIX
Focus
KI ist aus dem Bankenalltag nicht mehr wegzudenken. Hochwertige Zahlungsdaten sind entscheidend für massgeschneiderte Erlebnisse und effiziente KI-Anwendungen. Payment Enrichment verbessert die Datenqualität und optimiert wichtige Prozesse.
Experts
Servicebüros sind seit den 1990er Jahren zentrale Akteure im Schweizer Zahlungsverkehr. Sie übermitteln Zahlungsaufträge und stellen die Datenintegrität sicher. Die SNB hat formale Anforderungen veröffentlicht, um Sicherheit und Effizienz zu gewährleisten.
Panorama
Ein einziges Land betreibt sowohl ein CBDC als auch ein Instant Payments-System, um die finanzielle Inklusion und Effizienz zu erhöhen. Unterschiedliche Standards und Technologien erschweren jedoch die Interoperabilität. Einige Länder erwägen stattdessen Wholesale CBDCs.
Im deutschen E-Commerce-Handel fallen bei einigen Zahlungsverfahren hohe Prozesskosten an. Im Durchschnitt kostet es 10 Euro, wenn bei einem Kauf- und Bezahlvorgang etwas schief läuft. Jede 20. Überweisung per Vorkasse und Zahlung auf Rechnung erfordert eine händische Bearbeitung.
Die Integration von KI und Deep Learning wird die Zukunft der Zahlungssysteme beeinflussen, auch für grenzüberschreitende Transaktionen. Forschungsergebnisse deuten darauf hin, dass KI mehr Effizienz, Sicherheit und Compliance für traditionelle Zahlungssysteme leistet.
Talk
Helge Kraas, PPI AG, spricht über künstliche Intelligenz im Zahlungsverkehr. Im Fokus stehen Betrugserkennung, Instant Payments, E-Rechnungen, Request to Pay, personalisierte Finanzdienstleistungen, Regulierung sowie Finanzkriminalität und nachvollziehbare KI-Entscheidungen.
PAY NEWSLETTER
Treten Sie unserer Community bei und verpassen Sie keine Updates mehr!
Rubriken