Zum Inhalt springen

Künstliche Intelligenz treibt das Wachstum des Cybersicherheitsbudgets bis 2026 an, doch ihren Wert nachzuweisen, ist die eigentliche Herausforderung.Den Bericht anfordern.

Demo anfordern

PCI-Audit: Anforderungen und 5 Schritte zur Vorbereitung auf Ihr Audit

  • 8 minutes to read

Inhaltsverzeichnis

    Was ist ein PCI-Audit?

    Das PCI Security Standards Council (SSC), das Prozessorunternehmen, Finanzunternehmen, Softwareentwickler, Anbieter und Händler vertritt, hat den Payment Card Industry Data Security Standard (PCI DSS) entwickelt. Die PCI-Konformität zielt darauf ab, die Offenlegung und den unerlaubten Gebrauch von Karteninhaber- und Kreditkarteninformationen zu verhindern.

    Um Kreditkartentransaktionen abwickeln zu können, müssen alle Internetanbieter und Händler kontinuierlich dafür sorgen, dass Karteninhaber- und Kreditkarteninformationen vor unbefugter Nutzung und unbefugtem Zugriff geschützt sind. Ein PCI-Audit überprüft die Wirksamkeit der Sicherheitsmaßnahmen Ihres Unternehmens und stellt sicher, dass Kreditkartendaten von Anfang bis Ende gemäß den Richtlinien verarbeitet werden.

    Während dieses Prozesses prüft Ihr interner Sicherheitsgutachter (ISA) oder ein externer qualifizierter Sicherheitsgutachter (QSA) den Erfolg der Datensicherheitskontrollmaßnahmen Ihres Unternehmens. Um die Zertifizierung zu erhalten, muss Ihr Zahlungssystem 281 Kriterien des PCI DSS erfüllen. Alle Dienstleister und Händler müssen diese Kriterien einhalten, wenn sie Karteninhaberdaten direkt speichern und verarbeiten.

    Hinweis: Die in diesem Artikel und auf dieser Seite behandelten Informationen dienen ausschließlich der allgemeinen Information über wirtschaftliche, rechtliche und andere Themen. Sie stellen keine Rechtsberatung dar und dürfen nicht als solche verstanden werden. Die Informationen in diesem Artikel werden „wie besehen“ und ohne jegliche ausdrückliche oder stillschweigende Garantien oder Zusicherungen bereitgestellt. Wir geben keine Garantien oder Zusicherungen in Bezug auf den Inhalt dieses Artikels und lehnen jegliche Haftung für Handlungen, die in Bezug auf den Inhalt dieses Artikels vorgenommen oder unterlassen wurden, ausdrücklich ab. Die Informationen in diesem Artikel ersetzen keine Rechtsberatung durch einen Rechtsanwalt oder Anwalt. Bei konkreten Fragen zu Rechtsfragen wenden Sie sich bitte an Ihren Anwalt oder einen anderen Rechtsanwalt. Dieser Artikel kann Links zu verschiedenen Websites Dritter enthalten. Diese Links dienen ausschließlich der Benutzerfreundlichkeit; wir unterstützen oder empfehlen die Informationen auf Websites Dritter nicht.

    Über diesen Erklärer:

    Dieser Inhalt ist Teil einer Serie überPCI-Konformität.

    Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

    PCI-Audit-Anforderungen

    Wenn Ihr Unternehmen einen PCI DSS einreichen oder ein Audit vor Ort bestehen muss, müssen Sie bestimmte Regeln einhalten. Je nach Klassifizierung Ihres Unternehmens können folgende Anforderungen gelten:

    • Beauftragen Sie einen vom PCI DSS verifizierten QSA mit der Durchführung eines Vor-Ort-Audits Ihrer Datensicherheitsrichtlinien, -kontrollen und -praktiken in Bezug auf Ihre Cardholder Data Environment (CDE).
    • Versorgen Sie den internen Prüfer Ihres Unternehmens mit einer PCI SSC-Zertifizierung und einer Schulung als ISA, damit jeder einzelne Prüfer jedes Jahr PCI DSS-Audits durchführen kann.
    • Erfüllen Sie die Anforderungen der Prüfung, damit der ISA oder QSA der erwerbenden Bank einen ROC vorlegen kann
    • Stellen Sie die Einhaltung der Vorschriften bis zu Ihrem nächsten jährlichen Audit sicher, indem Sie regelmäßig Kontrolltests, Schwachstellenscans und Penetrationstests durchführen, um sicherzustellen, dass Ihre Netzwerke und Systeme die Sicherheit und Privatsphäre der Kredit- und Debitkarteninhaber sowie der Kartendaten gewährleisten.
    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zu den PCI DSS-Anforderungen.

    Wer muss ein PCI DSS-Audit durchführen?

    Alle Dienstleister und Händler, die Debit- oder Kreditkarteninformationen verarbeiten, akzeptieren, übermitteln oder speichern, müssen die PCI DSS-Regeln einhalten. Dies erfordert die Implementierung einer Informationssicherheitsmethodik mit 281 Richtlinien und 12 Kernanforderungen.

    Nur Händler, die jährlich über 1 Million oder 6 Millionen Zahlungskartentransaktionen abwickeln (dies kann je nach den von Ihnen erkannten Kartenmarken variieren) und Dienstanbieter, die jährlich über 300.000 Kartentransaktionen speichern, übermitteln oder verarbeiten, müssen auf PCI DSS-Konformität geprüft werden.

    Für Händler, die mit einem kleineren Datenumfang arbeiten, reicht es in der Regel aus, einen Self Assessment Questionnaire (SAQ) auszufüllen und eine Attestation of Compliance (AOC) auszufüllen.

    Unabhängig von der Größe und Art der Organisation müssen alle Dienstanbieter und Händler, die Opfer von Datenlecks geworden sind, bei denen Zahlungskarteninformationen offengelegt wurden, außerdem ein jährliches Audit vor Ort bestehen, um die PCI-Konformität sicherzustellen.

    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zu den PCI-Konformitätsstufen.

    Wie funktioniert ein PCI DSS-Audit?

    Das Hauptziel des Audits besteht darin, Verstöße aufzudecken, Anleitungen zur Behebung der Verstöße zu geben und nachzuweisen, dass Sie alle Probleme behoben haben.

    Der erste Schritt besteht darin, einen geeigneten QSA für die Durchführung des Audits zu finden. Nur QSAs dürfen die Audits durchführen. Sie werden vom PCI Council auf ihre Datensicherheitsstandards geprüft.

    Am einfachsten finden Sie einen QSA, indem Sie ihn aus der PCI-Website auswählen. Es empfiehlt sich, mit mehreren QSAs zu sprechen, da nicht alle QSAs über die gleiche Erfahrung verfügen. Beauftragen Sie kein Unternehmen, das behauptet, ein QSA zu sein, wenn es nicht auf der PCI-Liste steht. Solche Unternehmen verkaufen Ihnen entweder andere Dienstleistungen oder lagern Ihre Aufgaben aus.

    Sobald der Prüfer vor Ort ist, untersucht er verschiedene Bereiche Ihres Unternehmens. Dazu gehört beispielsweise Ihre Karteninhaberdatenumgebung, die alle Komponenten, Geräte, Netzwerke und Anwendungen umfasst, die Karteninhaberinformationen verarbeiten, übertragen oder speichern. Auch Ihre Verfahren und Richtlinien zur Nutzung solcher Systeme gehören dazu.

    Der PCI-Auditor ist dafür verantwortlich, die Gefährdung von Karteninhaberinformationen zu verhindern, nicht aber, Ihr Unternehmen zu bestrafen. Sofern Sie engagiert und kooperativ bleiben, wird der Auditor Ihnen Verbesserungsvorschläge unterbreiten und Sie dabei unterstützen.

    Um diese Änderungen effektiv umzusetzen, können Sie einen Compliance-Verantwortlichen aus Ihrem Unternehmen ernennen. Diese Person übernimmt die Verantwortung für die Einhaltung der Vorschriften, sollte aber auch die Befugnis haben, Veränderungen in Ihren Teams herbeizuführen.

    Tipps vom Experten

    Steve Moore

    Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

    Meiner Erfahrung nach gibt es hier Tipps, wie Sie sich besser auf ein PCI DSS-Audit vorbereiten und es bestehen und gleichzeitig Ihre Sicherheitslage verbessern können:

    Beginnen Sie mit einer umfassenden Überprüfung des Umfangs

    Stellen Sie sicher, dass die Karteninhaberdatenumgebung (CDE) genau definiert ist. Ein falscher Umfang führt zu Compliance-Verstößen oder unnötigem Prüfungsaufwand. Berücksichtigen Sie bei Ihrer Überprüfung auch Datenflüsse, verbundene Systeme und Dienste von Drittanbietern.

    Nutzen Sie während des Audits eine rollenbasierte Dokumentation

    Stellen Sie maßgeschneiderte Dokumentationen für verschiedene Audit-Rollen (z. B. IT-Administrator, Geschäftsführer) bereit, um die konsequente Anwendung von Kontrollen nachzuweisen. Rollenbasierte Materialien vereinfachen die Kommunikation mit dem Auditor.

    Einführung einer kontinuierlichen Compliance-Überwachung

    Behandeln Sie PCI nicht als einmaliges Ereignis. Nutzen Sie Tools wie SIEM und Konfigurationsmanagement, um die Compliance das ganze Jahr über zu überwachen und potenzielle Probleme bereits vor dem Audit zu erkennen.

    Erstellen Sie ein Beweisarchiv

    Zentralisieren Sie Nachweise wie Richtlinien, Verfahren, Systemkonfigurationen und Überwachungsprotokolle. Nutzen Sie Tools, die automatisch prüffähige Berichte erstellen, um Zeit bei der Beweiserhebung zu sparen.

    Testen Sie die Zugriffskontrollen vor dem Audit

    Stellen Sie sicher, dass alle Zugriffskontrollen (z. B. geringste Berechtigungen, eindeutige IDs und Zwei-Faktor-Authentifizierung) wie erforderlich funktionieren. Testen Sie regelmäßig, dass keine unnötigen Konten Zugriff auf CDE-Ressourcen haben.

    5 Schritte zur Vorbereitung auf Ihr PCI DSS-Audit

    Bevor Sie einem PCI-Audit unterzogen werden, stellen Sie sicher, dass Sie die folgenden Vorgehensweisen durchführen.

    Bewerten Sie Ihren PCI DSS-Konformitätsstatus mit einer Lückenanalyse

    Möglicherweise erfüllen Sie dieses Jahr nicht die Vorschriften, selbst wenn Sie den Compliance-Test im Vorjahr bestanden haben. Unternehmen können frühzeitig mit einem QSA zusammenarbeiten, um sicherzustellen, dass sie PCI DSS-Konformität nachweisen.

    Die Erstellung eines lokalen PCI-DSS-Compliance-Audits kann ohne entsprechende Vorbereitung einige Zeit in Anspruch nehmen. Zunächst könnte ein QSA Ihr Unternehmen vorab prüfen, um festzustellen, ob Sie Maßnahmen ergreifen, die nicht den PCI-DSS-Anforderungen entsprechen. Anschließend kann der QSA eine PCI-DSS-Lückenanalyse durchführen.

    Dies könnte Ihnen dabei helfen, eine effektivere (und kostengünstigere) Compliance-Strategie zu entwickeln. Außerdem können Sie so etwaige Lücken vor einem Audit erkennen und vor dem PCI DSS-Audit vor Ort Maßnahmen ergreifen.

    Sammeln Sie Ihre Aufzeichnungen und relevanten Daten

    Dokumentieren Sie alle Vorsichtsmaßnahmen und Sicherheitsmaßnahmen, damit Prüfer mögliche Probleme leicht erkennen können. Je detaillierter Ihre Aufzeichnungen sind, desto reibungsloser und schneller verläuft der Prüfprozess.

    Manche Organisationen empfinden die Dokumentation als lästigen und aufwändigen Prozess. Dennoch schützt eine detaillierte Dokumentation das Unternehmen, insbesondere wenn Sie Ihre Sicherheitsmaßnahmen offenlegen. Idealerweise sollten Sie sicherstellen, dass alle Ihre Dokumente regelmäßig aktualisiert werden.

    Ihre Dokumentation muss Informationen zu Ihren Verschlüsselungsprotokollen, Verfahren zur Sicherung gespeicherter Karteninformationen und Methoden zur Schlüsselverwaltung enthalten. Solche Aufzeichnungen belegen, dass das Unternehmen die Compliance-Anforderungen erfüllt und über kontrollierte und organisierte Methoden verfügt, um die Auditanforderungen weiterhin zu erfüllen.

    Wenn Ihr Unternehmen seine Richtlinien oder Kartendatenmethoden ändert, aktualisieren Sie Ihre Dokumentation entsprechend, da sich solche Änderungen auf Ihren PCI-Konformitätsstatus auswirken können.

    Bewerten Sie Ihr Risikoniveau

    Das zentrale Ziel der PCI-Compliance besteht darin, die Wahrscheinlichkeit von Kreditkartenmissbrauch zu reduzieren. Ein guter erster Schritt für Unternehmen besteht darin, die Verbindung zwischen ihrem Zahlungsabwicklungssystem und ihrer IT-Infrastruktur abzubilden. So erhalten Sie ein klares Bild der potenziellen Schwachstellen, die die Vermögenswerte Ihres Unternehmens bedrohen.

    Eine Risikoanalyse umfasst die Risikostufen der kritischen Hard- und Softwareressourcen eines Unternehmens. So können Sie eine Liste der zu ergreifenden Maßnahmen und deren Zeitpunkt erstellen. Sie benötigen einen Benchmark, um zu wissen, wie Sie Ihre Sicherheit verbessern können.

    Testen Sie Ihre Infrastruktur regelmäßig

    Verwalten Sie Ihr CDE proaktiv. Informationssicherheitsberater, Cybersicherheitsprüfer und QSA unterstützen Sie bei der Einhaltung der PCI DSS-Vorschriften und beim Schutz Ihrer Sicherheit.

    Sie sollten die hier genannten Tests durchführen und entsprechend den erhaltenen Ergebnissen die notwendigen Maßnahmen ergreifen:

    • Tests von Webanwendungen– jährliche Tests von Webanwendungen sind erforderlich, um die Berichts- und Testanforderungen der PCI DSS-Anforderung 6.6 zu erfüllen.
    • Schwachstellenscans– Bewertet Ihre externen Netzwerksysteme durch einen autorisierten Scan-Anbieter, um die PCI DSS-Anforderung 11.2 einzuhalten. Planen Sie vierteljährlich einen ASV-Scan ein.
    • Lokale Netzwerk-Schwachstellenscans– ermöglichen die Isolierung von Schwachstellen im lokalen Netzwerk. Führen Sie vierteljährlich lokale Netzwerk-Schwachstellenscans durch.
    • Penetrationstests– Sie müssen jährlich einen Penetrationstest durchführen, um die PCI DSS-Anforderung 11.3 einzuhalten.

    Konsultieren Sie externe Experten

    Oft ist die Zusammenarbeit mit Dritten sinnvoll. Jede Organisation hat ihren eigenen Schwerpunkt und ihre eigene Expertise. Durch die Zusammenarbeit mit Dritten gewinnen Sie eine neue Perspektive auf bestehende Methoden. Externe Experten verfügen eher über die nötige Distanz, um eine objektive Bewertung vorzunehmen.

    Sie können die folgenden Aktivitäten auslagern:

    • Quellcode analysieren
    • Überprüfen der Firewall-Regeln
    • Aktualisieren von Dokumenten
    • Erkennen und Beheben von Schwachstellen

    Wie SIEM Sie bei Ihrem Audit unterstützen kann

    Hier sind einige Möglichkeiten, wie die SIEM-Technologie (Security Information and Event Management) Sie bei Ihrem PCI-Audit unterstützen kann:

    Protokolle sammeln

    Der PCI DSS verpflichtet Unternehmen zur kontinuierlichen Überwachung der in ihre CDE integrierten Sicherheitskontrollen. Insbesondere bezieht sich PCI DSS-Anforderung 10 auf die Überwachung von Netzwerken und Anforderung 11.5 auf die Implementierung von Mechanismen zur Änderungserkennung.

    Diese beiden Aspekte sind für die PCI-Compliance besonders wichtig, da Systemprotokolle die Untersuchung und Reaktion bei Sicherheitsvorfällen ermöglichen. SIEM-Lösungen können zur Erreichung dieser Compliance-Ziele beitragen, indem sie Protokolle aller Sicherheitskontrollen innerhalb des Unternehmens sammeln und diese Umgebungen kontinuierlich überwachen.

    Berichte erstellen

    SIEM-Lösungen erfassen nicht nur Protokolle und überwachen Systeme und Netzwerke, sondern liefern auch die für Audits erforderlichen regelmäßigen Berichte. SIEM-Tools können außerdem Warnmeldungen auslösen, wenn bestimmte verdächtige Aktivitäten erkannt werden – typischerweise Vorfälle, die Ihre Daten gefährden können.

    Benutzer überwachen

    PCI verlangt von Unternehmen die Aufrechterhaltung von Benutzerkontrollen. So kann SIEM helfen:

    • Entwickeln Sie ein SIEM-Szenario für alle Ereignisse, die zum Löschen, Ändern und Hinzufügen von Benutzeranmeldeinformationen, IDs und anderen identifizierenden Objekten führen.
    • Überwachen Sie alle Authentifizierungsereignisse aller gekündigten Benutzer.
    • Überwachen Sie alle Zugriffsaktivitäten im Zusammenhang mit inaktiven Konten.

    Sammeln von Antivirenprotokollen

    Der PCI DSS verpflichtet Unternehmen dazu, Antivirenlösungen einzusetzen und kontinuierlich zu patchen. SIEM-Tools unterstützen Unternehmen dabei, diese Ziele zu erreichen, indem sie ihnen das Sammeln von Antivirenprotokollen ermöglichen. Sie können außerdem eine Liste aller unsicheren Dienste und Ports erstellen, die während eines Anrufs gefunden werden.

    Darüber hinaus können Organisationen Feeds von Drittanbietern integrieren und dann das SIEM-Tool alle Protokolle, Dienste und Ports erkennen lassen, die für Sicherheitslücken bekannt sind.

    Erreichen der Kontrollanforderungen

    Hier sind einige Möglichkeiten, wie SIEM zur Erfüllung von Kontrollanforderungen beitragen kann:

    • Sammeln von Systemprotokollen
    • Beschränken des Zugriffs auf Benutzer mit Administrator- oder Root-Rechten
    • Aktivieren der Überwachung in Überwachungsdateien und Überprüfen zugriffsbezogener Ereignisse
    • Sie werden benachrichtigt, wenn Objekte auf Systemebene, einschließlich Datenbanken, gespeicherte Prozeduren oder Tabellen, gelöscht oder erstellt werden.
    • Ausgabe von Warnungen, wenn Audit-Dienste auf dem Compliance-Host gestoppt werden.

    PCI-Konformität mit Exabeam Fusion SIEM

    Exabeam Fusion SIEM, eine Cloud-basierte Lösung, kombiniert konventionelles SIEM mit einem effektiven, ergebnisorientierten Ansatz für die Anforderungen der Bedrohungserkennung und Vorfallreaktion (TDIR), erkennt Bedrohungen mithilfe von Verhaltensanalysen und automatisiert Erkennung, Untersuchung und Reaktion. Fusion SIEM unterstützt Sie bei Ihren Checklisten und Ihrer Governance zur PCI-Compliance und bietet Ihnen folgende Vorteile:

    • Erkennen und kontrollieren Sie alle privilegierten, gemeinsam genutzten und Executive-Konten
    • Stellen Sie sicher, dass Benutzer nur auf geeignete Systeme zugreifen können, und erkennen Sie Verstöße
    • Verfolgen und überwachen Sie alle privilegierten, administrativen und leitenden Konten sowie ungewöhnliche Zugriffe auf sensible Systeme
    • Identifizieren Sie alle Benutzer eindeutig, auch wenn sie versuchen, ihre Identität durch Geräte- oder Kontowechsel zu verschleiern
    • Analysieren und identifizieren Sie jegliches anomale Verhalten, sei es durch privilegierte, reguläre oder Maschinenkonten, und melden Sie diese Aktivitäten und unterstützen Sie deren Untersuchung.
    • Präsentieren Sie vorgefertigte PCI-Berichte, um Ihrem Audit-Team dabei zu helfen, Compliance-Ziele zu erreichen

    Mehr über Exabeam erfahren

    Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.