Antwort 40 zu den 43 wichtigsten Security Controls: PCI-DSS Compliance
Wie oft überprüfen wir unsere Compliance mit dem PCI-DSS?
Spoiler: Einmal im Jahr reicht nicht.
Viele Unternehmen investieren Wochen in ihr PCI-DSS-Audit. Das eigentliche Risiko entsteht jedoch nicht während des Audits – sondern in den 364 Tagen danach. Denn PCI-DSS-Compliance ist kein jährliches Projekt. Sie ist ein kontinuierlicher Sicherheitsprozess. Die Frage lautet deshalb nicht:
„Sind wir dieses Jahr compliant?“
Sondern:
„Wie stellen wir sicher, dass wir morgen noch compliant sind?“
Du trägst Verantwortung für Systeme, auf denen echtes Geld fließt. Kartendaten, Zahlungsprozesse, Transaktionsinfrastruktur und die gesamte Cardholder Data Environment (CDE) gehören zu den sensibelsten Bereichen moderner IT-Landschaften. Ein einziger Fehler kann nicht nur teuer werden, sondern auch rufschädigend, regulatorisch gefährlich und im schlimmsten Fall existenzbedrohend sein.
Der PCI-DSS – der Payment Card Industry Data Security Standard – ist das Regelwerk, das genau diese Risiken adressiert. Und die ehrliche Antwort auf die Frage, wie oft Du Deine Compliance prüfen solltest, lautet: öfter, als Du wahrscheinlich denkst.
Das Missverständnis: Compliance ist kein Jahresprojekt
Viele Organisationen behandeln PCI-DSS wie eine Steuererklärung. Einmal im Jahr schmerzhaft durcharbeiten, Häkchen setzen, Report of Compliance (RoC) oder Self-Assessment Questionnaire (SAQ) einreichen – fertig. Bis zum nächsten Mal. Das Problem: Deine IT-Umgebung verändert sich nicht einmal im Jahr. Sie verändert sich täglich. Neue Anwendungen gehen live. Entwickler öffnen Ports. Dienstleister erhalten Zugänge. Konfigurationen driften. Updates verändern Systemverhalten. Was heute compliant ist, kann morgen eine offene Flanke sein – und Du bemerkst es möglicherweise erst beim nächsten Audit. Compliance ist kein Zustand. Es ist ein Prozess.
PCI DSS 4.0 Anforderungen: Welche Prüfungen wann erforderlich sind
Der PCI-DSS definiert klare Prüfrhythmen – und viele davon haben mit „einmal jährlich“ nichts zu tun.
Täglich
Sicherheitsrelevante Ereignisse in der Cardholder Data Environment (CDE) müssen kontinuierlich überwacht und kritische Logquellen mindestens täglich überprüft werden. Moderne SIEM- und Monitoring-Lösungen erkennen viele Auffälligkeiten nahezu in Echtzeit. Wer Logs nur quartalsweise auswertet, schaut einer Attacke monatelang beim Anrichten zu.
Wöchentlich
Kritische Systemdateien und Konfigurationen sollten automatisiert auf ungewollte Änderungen überwacht werden. File Integrity Monitoring (FIM) beziehungsweise Change Detection Mechanisms erkennen Veränderungen an sicherheitsrelevanten Dateien und alarmieren bei Auffälligkeiten. Das ist kein Nice-to-have, sondern ein explizites Anforderungsfeld des Standards.
Vierteljährlich
Hier wird es für viele Organisationen zur ersten echten Herausforderung: Externe und interne Vulnerability Scans müssen regelmäßig durchgeführt werden. Externe Scans müssen dabei von einem zugelassenen Approved Scanning Vendor (ASV) erfolgen. Das ist nicht optional – und kein einmaliger Jahrescheck deckt diese Anforderung ab. Ebenfalls regelmäßig zu überprüfen sind Firewall- und Netzwerkregelwerke. Nicht weil es irgendwie nett wäre, sondern weil Regelwerke wachsen und irgendwann niemand mehr weiß, warum Regel 247 eigentlich existiert. PCI-DSS 4.0 legt dabei besonderen Wert auf dokumentierte Begründungen, regelmäßige Reviews und risikobasierte Bewertungen bestehender Regeln.
Jährlich
Penetrationstests, die vollständige Überprüfung der Sicherheitsrichtlinien, Mitarbeiterschulungen sowie das jährliche Assessment gehören weiterhin zum Pflichtprogramm.
Dein Merchant Level entscheidet über den Prüfumfang
Nicht jede Organisation unterliegt denselben Anforderungen. Der Standard unterscheidet nach Transaktionsvolumen und den Vorgaben der jeweiligen Kartenorganisationen.
- Level 1 (in der Regel mehr als 6 Millionen Kartentransaktionen jährlich): Typischerweise wird ein vollständiger Report on Compliance (RoC) durch einen Qualified Security Assessor (QSA) gefordert. Hinzu kommen quartalsweise ASV-Scans und jährliche Penetrationstests.
- Level 2–4: Self-Assessment Questionnaires (SAQ), deren Umfang von der jeweiligen Zahlungsarchitektur abhängt – von SAQ A bei weitgehend ausgelagerten Zahlungsprozessen bis SAQ D bei eigener Kartendatenverarbeitung.
Hier liegt eine unterschätzte Gefahr: Viele Organisationen wählen das falsche SAQ-Formular. Sie denken, ihr Scope sei kleiner als er tatsächlich ist – und prüfen damit schlicht die falschen Dinge. Eine klare Scope-Definition ist deshalb nicht die Vorbereitung auf das Assessment. Sie ist das Assessment.
Die unterschätzte Frage: Was gehört überhaupt zu Deinem Scope?
Bevor Du weißt, wie oft Du prüfen sollst, musst Du wissen, was Du prüfst. Der PCI-Scope umfasst alle Systeme, die Kartendaten speichern, verarbeiten oder übertragen, sowie alle Systeme, die direkten Einfluss auf diese Umgebung haben. Ein Administrationssystem, das technisch Zugang zur CDE besitzt, gehört dazu. Ein Monitoring-Server, der CDE-Logs aggregiert, ebenfalls. Scope-Creep ist real. Und er passiert leise.
Deshalb: Überprüfe Deinen Scope nicht nur jährlich zur Auditzeit, sondern bei jeder relevanten Systemänderung.
- Neue Infrastruktur eingeführt? Scope-Check.
- Neuer Zahlungsdienstleister angebunden? Scope-Check.
- Cloud-Migration abgeschlossen? Scope-Check.
Was wirklich scheitert: die Zeit zwischen den Audits
In vielen Organisationen ist das PCI-DSS-Audit ein Sprint. Ein paar Wochen vorher wird aufgeräumt, dokumentiert und nachgezogen. Der QSA kommt, alles sieht gut aus. Dann kehrt der Alltag zurück. Das eigentliche Compliance-Problem ist nicht das Audit, sondern die elf Monate danach.
Continuous Monitoring etablieren
Nicht als Buzzword, sondern als gelebte Praxis. SIEM-Systeme, automatisierte Vulnerability-Scanner, Policy-as-Code und Security-Analytics helfen dabei, Abweichungen frühzeitig zu erkennen.
Compliance in den Änderungsprozess integrieren
Jede Änderung an CDE-relevanten Systemen sollte einen definierten Compliance-Check durchlaufen. Change Management und PCI-Compliance dürfen keine parallelen Welten sein.
Verantwortung verankern
PCI-DSS ist keine Aufgabe der IT allein. Einkauf, HR, Operations und Fachbereiche beeinflussen ebenfalls Prozesse rund um die Karteninfrastruktur. Entsprechend braucht es klare Zuständigkeiten und Verantwortlichkeiten.
Tokenisierung und P2PE: Scope-Reduktion als strategische Entscheidung
Ein oft unterschätzter Hebel: Du kannst Deinen Compliance-Aufwand strukturell reduzieren – nicht durch weniger Prüfung, sondern durch weniger Scope.
Tokenisierung
Eine korrekt implementierte Tokenisierung ersetzt echte PANs (Primary Account Numbers) durch nicht-sensitive Token-Werte. Systeme, die ausschließlich Token verarbeiten und keinen Zugriff auf die ursprünglichen Kartendaten haben, können den PCI-Scope deutlich reduzieren.
Point-to-Point Encryption (P2PE)
Point-to-Point Encryption verschlüsselt Kartendaten bereits bei der Erfassung und schützt sie während der Übertragung.
Besonders wirksam sind vom PCI Security Standards Council validierte P2PE-Lösungen, da sie den Scope erheblich reduzieren und gleichzeitig das Risiko eines Datendiebstahls minimieren können.
Beide Ansätze sind strategische Investitionen – mit direkter Auswirkung auf den PCI-Scope, den Prüfaufwand, die Angriffsfläche und das Restrisiko.
Die ehrliche Antwort auf die Titelfrage
Wie oft überprüfst Du also Deine PCI-DSS-Compliance?
- Täglich – durch kontinuierliches Monitoring und Log-Reviews.
- Wöchentlich – durch Integritäts- und Änderungsprüfungen.
- Vierteljährlich – durch Vulnerability Scans und Regelwerks-Reviews.
- Jährlich – durch Assessments, Penetrationstests und Richtlinienprüfungen.
- Anlassbezogen – bei jeder relevanten Änderung der Systemlandschaft.
Das klingt nach viel. Und ja, es ist Aufwand. Die finanziellen und reputativen Folgen eines Kartendaten-Breachs übersteigen die Kosten eines kontinuierlichen Compliance-Programms jedoch häufig deutlich. Compliance ist nicht das, was Du tust, um das Audit zu bestehen. Compliance ist das, was Du tust, wenn gerade niemand auditiert. Denn Angreifer orientieren sich nicht am Auditkalender.
PCI-DSS 4.0 verlangt weit mehr als ein jährliches Audit
Wer Compliance als kontinuierlichen Sicherheitsprozess versteht, reduziert Risiken, vereinfacht Assessments und erhöht die Resilienz seiner Zahlungsinfrastruktur nachhaltig.
Unsicher, ob Dein PCI-Scope korrekt definiert ist?
Genau hier entstehen in vielen Unternehmen die größten Compliance-Risiken. Eine saubere Scope-Definition, kontinuierliches Vulnerability Management, wirksames Monitoring und regelmäßige Sicherheitsprüfungen schaffen die Grundlage für nachhaltige PCI-DSS-Compliance – nicht nur zum Auditzeitpunkt, sondern das ganze Jahr über.
PCI-DSS Version 4.0 ist seit März 2024 verpflichtend. Die Version bringt unter anderem neue Anforderungen an Multi-Faktor-Authentifizierung, E-Commerce-Sicherheit, Script-Management auf Zahlungsseiten sowie einen stärker risikobasierten Ansatz mit sich. Falls Du Dich noch auf PCI-DSS 3.2.1 beziehst: Zeit für ein Update.
