PCI DSS 4.0.1 – Sicherheitsstandards im Fokus
zurück zur Übersicht
Weißer Hintergrund, oben ein grüner Streifen mit leichtem Farbverlauf (von hell auf der linken Seite zu dunkler auf der rechten), darin in weiß die Headline: Die PCI DSS 4.0.1 Richtlinie; darunter in grün Text: Sicherheitsstandards für den Zahlungsverkehr; unten in grün das Logo der PCI DSS Zertifizierung
08. Juli 2025

PCI DSS 4.0.1 – Sicherheitsstandards im Fokus

Die stetig wachsende Nutzung von Kreditkarten im globalen Zahlungsverkehr macht Sicherheitsstandards unerlässlich, um sowohl die Kundendaten zu schützen als auch das Vertrauen in Zahlungssysteme aufrechtzuerhalten.

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein solcher Standard, der von großer Bedeutung für alle Unternehmen ist, die mit Kreditkartendaten arbeiten. Er ist ein wesentlicher Bestandteil der Risikominimierung für jedes Unternehmen, das Zahlungen per Kreditkarte anbietet.

PCI SSC – Rat der globalen Zahlungssicherheit

Der PCI Security Standards Council (PCI SSC) wurde 2006 von den fünf größten Kreditkartenunternehmen - Visa, Mastercard, American Express, Discover und JCB - gegründet, um Sicherheitsstandards für die Kreditkartenindustrie zu entwickeln und zu pflegen.

Der Hauptzweck dieser Standards ist es, die Sicherheit von Kartendaten zu gewährleisten, Verstößen gegen den Datenschutz vorzubeugen und das Vertrauen in elektronische Zahlungssysteme zu stärken.

Die Standards sind in mehrere Teile unterteilt, die zusammen ein umfassendes Sicherheitsframework bilden:

  • Das Software Security Standard Framework: Richtet sich an Software, die die Sicherheit von Kreditkartendaten gewährleisten soll.
  • Der Secure Software Lifecycle Standard: Ist auf die Entwicklung sicherer Software über deren gesamten Lebenszyklus hinweg fokussiert.
  • Der Data Security Standard (PCI DSS): Konzentriert sich auf den Schutz von Kreditkartendaten durch spezifische Sicherheitsmaßnahmen.

PCI DSS – Richtlinien für den sicheren Umgang mit Kreditkartendaten

Die Einhaltung des PCI DSS ist nicht nur eine Empfehlung, sondern für alle Händler, die Kreditkartenzahlungen anbieten, verbindlich. Dabei ist es egal, ob die Transaktion physisch oder über digitale Kanäle stattfindet. Selbst wenn Sie einen Zahlungsdienstleister nutzen und selbst keine Kreditkartendaten speichern, sind Sie dennoch dafür verantwortlich, sicherzustellen, dass Ihr Unternehmen und Ihre Systeme mit den PCI DSS-Standards konform sind.

Die PCI DSS Standards kategorisieren Händler in verschiedene Level, basierend auf ihrem jährlichen Transaktionsvolumen. Jedes Level hat spezifische Anforderungen zur Compliance, die sicherstellen, dass der Schutz von Kreditkartendaten gewährleistet ist.

  • Level 1: Händler, die jährlich über sechs Millionen Transaktionen abwickeln, fallen unter diese Kategorie. Diese Händler sind verpflichtet, sich einer jährlichen Vor-Ort-Prüfung durch einen Qualified Security Assessor (QSA) zu unterziehen und einen Compliance-Bericht (Report on Compliance, ROC) einzureichen.
  • Level 2: Händler, die zwischen einer und sechs Millionen Transaktionen pro Jahr verarbeiten. Diese Händler können in der Regel ihre Konformitätsanforderungen durch das Ausfüllen eines Self-Assessment Questionnaires (SAQ) erfüllen und benötigen eventuell auch eine Compliance-Bescheinigung (Attestation of Compliance, AOC).
  • Level 3: Diese Kategorie umfasst Händler, die jährlich zwischen 20.000 und einer Million Transaktionen verarbeiten. Ähnlich wie Level-2-Händler, können sie ihre Compliance durch einen SAQ und einen AOC nachweisen.
  • Level 4: Händler, die weniger als 20.000 E-Commerce-Transaktionen oder insgesamt bis zu einer Million Transaktionen pro Jahr abwickeln, gehören zu diesem Level. Diese Händler nutzen in der Regel einen SAQ zur Bestätigung ihrer Compliance.

Eine wichtige Maßnahme sind die regelmäßigen Netzwerkscans durch zugelassene externe Sicherheitsunternehmen (Approved Scanning Vendors, ASVs). Diese müssen regelmäßig von allen Unternehmen durchgeführt werden, die Kreditkartendaten in irgendeiner Form verarbeiten. Dies schließt auch Unternehmen mit ein, die alle Zahlungsvorgänge an einen konformen Drittanbieter ausgelagert haben. Der Standard fordert mindestens vierteljährliche Schwachstellenscans. Die Häufigkeit der Scans kann jedoch vorbehaltlich spezifischer Anforderungen oder möglicher Risiken variieren.

Aktuell liegen die Richtlinien in der Version 4.0.1 vor. Die PCI DSS Standards unterliegen regelmäßigen Aktualisierungen, um den sich ändernden Sicherheitsanforderungen und Technologien gerecht zu werden. Die letzte große Aktualisierung fand im Januar 2025 statt, um neue Kriterien für die E-Commerce-Sicherheit hinzuzufügen und Anforderungen zu entfernen, die als überholt angesehen wurden.

Die Nichteinhaltung der PCI DSS Standards kann nicht nur zu finanziellen Sanktionen führen, sondern auch das Vertrauen von Kunden und Partnern beeinträchtigen. Neben Geldstrafen droht auch der Verlust des Rechts, Kreditkartenzahlungen zu akzeptieren, was für viele Händler eine existenzielle Bedrohung darstellt. Daher ist es entscheidend, dass alle betroffenen Unternehmen die notwendigen Maßnahmen ergreifen, um die Einhaltung der Richtlinien zu gewährleisten.

Anforderungen und Maßnahmen

Um die PCI DSS-Standards einzuhalten, ist es erforderlich, einige Sicherheitsmaßnahmen zu implementieren. Je nach Level können sich diese Anforderungen unterscheiden. Welche Anforderungen für Ihr Unternehmen gelten, können Sie dem Self-Assessment Questionnaire A entnehmen. Darunter fallen beispielsweise:

  • Änderung von Standardzugangsdaten: Es ist entscheidend, dass Standardzugangsdaten wie "admin" nicht mehr mit dem Standardpasswort verwendet werden und diese durch sichere, individuelle Passwörter ersetzt werden. Auch beim Einsatz individueller Benutzernamen muss das Standardpasswort geändert werden.
  • Sicherheitsschwachstellen verwalten: Händler müssen sich kontinuierlich über Sicherheitslücken in ihren Softwarekomponenten und dem Shopsystem informieren. Kritische Sicherheitsupdates sollten innerhalb eines Monats nach Veröffentlichung installiert werden, um das Risiko von Angriffen zu minimieren.
  • Benutzeridentifizierung und Authentifizierung: Jeder Benutzer muss eindeutig identifiziert werden können, um nachzuvollziehen, welcher Mitarbeiter welche Änderungen vorgenommen hat. Der Zugang von gekündigten Mitarbeitern sollte sofort widerrufen werden. Es wird empfohlen, starke Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung (2FA) einzusetzen. Passwörter sollten mindestens 12 Zeichen enthalten und Kombinationen aus Buchstaben und Zahlen umfassen.
  • Regelmäßige ASV-Scans: Es sind vierteljährliche Schwachstellenscans durch einen Approved Scanning Vendor (ASV) erforderlich, zusätzlich nach jedem größeren Update der Systeme.
  • Dokumentation und Überprüfung von Zahlungsdienstleistern: Verträge mit Zahlungsdienstleistern sollten sorgfältig dokumentiert werden. Eine Überprüfung der Leistungen und Konformität der Zahlungsdienstleister sollte mindestens einmal jährlich erfolgen, um sicherzustellen, dass sie weiterhin den Anforderungen entsprechen.
  • Plan für Sicherheitsvorfälle: Ein klar dokumentierter Plan zur Reaktion auf Sicherheitsvorfälle ist unerlässlich. Dieser sollte detailliert beschreiben, welche Schritte bei einem Sicherheitsvorfall unternommen werden müssen, um schnell und effektiv darauf reagieren zu können.

ASV-Scans

ASV-Scans (Approved Scanning Vendor Scans) sind Sicherheitsbewertungen, die von einem genehmigten Scanning-Anbieter durchgeführt werden müssen, um die Netzwerkinfrastruktur eines Unternehmens auf Schwachstellen zu überprüfen, die die Sicherheit von Kreditkartendaten gefährden könnten. Diese Scans sind ein wesentlicher Bestandteil der Einhaltung des PCI DSS und müssen in regelmäßigen Abständen durchgeführt werden.

Hier sind einige wichtige Punkte über ASV-Scans:

  • Zielsetzung: ASV-Scans zielen darauf ab, externe Schwachstellen in den Netzwerken zu identifizieren, die in direktem Zusammenhang mit der Speicherung, Verarbeitung oder Übertragung von Kreditkartendaten stehen.
  • Genehmigte Anbieter: Die Scans müssen von einem Anbieter durchgeführt werden, der vom PCI Security Standards Council als Authorised Scanning Vendor (ASV) zertifiziert wurde. Diese Anbieter haben die erforderliche Qualifikation, um diese Scans durchzuführen.
  • Regelmäßigkeit: Unternehmen, die Kreditkartenzahlungen anbieten, sind verpflichtet, regelmäßig ASV-Scans durchzuführen, in der Regel einmal im Quartal, um die PCI DSS-Konformität zu belegen.
  • Kosten: Die Kosten für einen ASV-Scan können je nach Anbieter und den spezifischen Anforderungen Ihres Unternehmens variieren. In der Regel bewegen sich die Gebühren für einen Scan zwischen 100 und 500 Euro pro Scan. Es ist ratsam, Angebote von verschiedenen Anbietern einzuholen und die Leistungen zu vergleichen, um die für Ihr Unternehmen passende Lösung zu wählen.
  • Scan-Berichte: Nach Abschluss eines Scans erstellt der ASV einen Bericht, der alle gefundenen Schwachstellen und die entsprechenden Empfehlungen zu deren Behebung enthält. Unternehmen müssen die identifizierten Sicherheitslücken beheben und gegebenenfalls nach einem weiteren Scan den Konformitätsstatus erneut prüfen lassen.

Um Sie bei der PCI DSS-konformen Konfiguration Ihres Servers zu unterstützen, stellen wir Ihnen einen Leitfaden bereit. Sollte es bei einem AV-Scan Auffälligkeiten geben oder Sie Unterstützung benötigen, nehmen Sie Kontakt zu uns auf.

Zum Leitfaden

Konkrete Schritte zur PCI DSS-Konformität

Die Einhaltung der PCI DSS-Standards kann auf den ersten Blick komplex erscheinen. Die folgenden Schritte helfen Ihnen dabei, sicherzustellen, dass Ihr Unternehmen PCI DSS-konform ist:

  1. Kartendatenverarbeitende Systeme identifizieren und bewerten: Verstehen Sie, welche Systeme und Prozesse Kreditkartendaten verarbeiten und bewerten Sie deren Sicherheitsstatus.

  2. Den Self-Assessment Questionnaire (SAQ) ausfüllen: Nutzen Sie den passenden SAQ, um Ihre aktuellen Sicherheitsmaßnahmen selbst zu überprüfen und zu dokumentieren.

  3. Regelmäßige ASV-Scans und Netzwerkaudits durchführen lassen: Setzen Sie auf regelmäßige Schwachstellenscans durch akkreditierte Anbieter, um potenzielle Sicherheitslücken frühzeitig zu entdecken und zu schließen.

  4. Organisatorische und technische Sicherheitsmaßnahmen implementieren: Stellen Sie sicher, dass die erforderlichen Maßnahmen zur Sicherung Ihrer Systeme implementiert sind.

  5. Jährliche Attestierung der PCI DSS-Compliance: Weisen Sie Ihre Compliance jährlich mithilfe der oben genannten Maßnahmen entsprechend Ihrem Level nach, um die Konformität zu bestätigen und potenzielle Sanktionen zu vermeiden.

Teaser-Grafik zur verkürzten SSL-Zertifikat-Gültigkeit ab 24.02.2026 mit Serverrack- und Schloss-Motiv sowie Hinweis auf nur noch 200 Tage Laufzeit.
18. Februar 2026

Verkürzte SSL-Zertifikatslaufzeiten ab 24.02.2026

Die Laufzeiten von SSL-Zertifikaten werden ab Februar 2026 deutlich verkürzt. Für Sie bleibt die jährliche Abrechnung unverändert, doch Zertifikate werden innerhalb des Zeitraums häufiger automatisch erneuert. Wir erklären, was sich ändert.
Teaser-Grafik mit roter Überschrift auf weißem Grund: Fehler 413 Request Entity Too Large, darunter weißer Text auf grünem Grund: Neuer Leitfaden: Wie Sie diesen Fehler beheben
11. Februar 2026

nginx: 413 Request Entity Too Large

Wenn Sie Dateien auf eine Webseite hochladen, die nginx-Hosting nutzt, kann es vorkommen, dass der Upload mit einer Fehlermeldung abbricht, vor allem, wenn einzelne Dateien größer als 1MB sind: Fehler 413 Request Entity Too Large.
Teaser-Grafik zu verbesserten Managed vServern mit Hinweis ‚NEU‘, Server-Hardware-Abbildung und Aussage zu mehr Leistung bei gleichem Preis inklusive Call-to-Action zum Weiterlesen.
04. Februar 2026

Mehr Leistung, gleiche Preise: Neue Managed vServer-Modelle im Überblick

Mehr Leistung ohne Mehrkosten: Unsere Managed vServer wurden umfassend modernisiert. Profitieren Sie von deutlich mehr CPU-Kernen, RAM und Speicherplatz bei gleichbleibenden Preisen. Erfahren Sie jetzt alle Details zu den neuen Servermodellen.

Testen Sie uns 14 Tage kostenlos Jetzt testen