PCI DSS – Was ist der Scope und wie lässt er sich reduzieren?

usd AG News, PCI Security Services

In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard. Starten Sie gut informiert in Ihre PCI-DSS-Zertifizierung.


Was ist der PCI DSS Scope?

Als „Scope“ bezeichnet man den Prüfumfang einer PCI DSS-Zertifizierung. Er umfasst alle Komponenten der Umgebung eines Unternehmens, die die Kontrollziele des PCI DSS erfüllen müssen. Wie der Scope festzulegen ist, wird vom PCI Security Standards Council (PCI SSC) vorgegeben. Im Mai 2017 kam eine aktualisierte „Scoping Guidance“ heraus, die die Sichtweise des PCI SSC zum Scoping darlegt. 

Zunächst definiert der Council hierfür die „CDE“ (Cardholder Data Environment), also die Karteninhaberdatenumgebung. Die CDE setzt sich aus allen Personen, Prozessen und Technologien zusammen, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.

Der PCI DSS Scope umfasst alle Systemkomponenten, die in der CDE enthalten oder mit dieser verbunden („connected-to“) sind und solche Systeme, die einen Einfluss auf die Sicherheit der CDE haben könnten („Security Impact“).

Die Verantwortung für die korrekte Definition des eigenen PCI DSS Scopes obliegt zunächst dem Unternehmen selbst. Ein akkreditierter Qualified Security Assessor verifiziert die korrekte Festlegung des Scopes, bevor das PCI DSS Assessment stattfindet. Es empfiehlt sich für Unternehmen, die eine PCI DSS-Zertifizierung anstreben, alle Systeme, die Kartendaten speichern, verarbeiten und weiterleiten, zu dokumentieren.

Was sind verbundene Systeme und Systeme mit Sicherheitseinfluss?

Als verbundene Systeme und Systeme mit Sicherheitseinfluss auf die CDE gelten alle Systeme, die:

  • sich in anderen Netzwerken befinden, aber Verbindung zur oder Zugriff auf die CDE haben
  • Verbindung oder Zugriff auf die CDE über dritte Systeme (z.B. Jump Server) haben
  • Einfluss auf die Konfiguration oder Sicherheit der CDE haben oder Einfluss darauf haben, wie Kartendaten verarbeitet werden (z.B. Workstations von Administratoren)
  • Dienste zur Absicherung der CDE bereitstellen (z.B. Firewalls)
  • Dienste zur Erfüllung von PCI DSS-Anforderungen bereitstellen (z.B. Logserver)
  • der Segmentierung der CDE von anderen Netzen dienen (z.B. Switches)

Die Verbindung kann physischer (Ethernet, Powerline, USB etc.), drahtloser (WLANs, GPRS, Bluetooth, Mobilfunk etc.) oder virtueller (virtuelle Netzwerke, virtuelle Maschinen, virtuelle Firewalls, virtuelle Switches etc.) Natur sein.

Welche Systeme fallen nicht in den Scope?

Lediglich Systeme, die:

  • keine Kartendaten speichern, verarbeiten oder übertragen und
  • nicht im gleichen Netzwerk wie die CDE liegen und
  • keine Verbindung oder Zugriff auf Systeme in der CDE haben und
  • weder Zugriff auf die CDE noch auf andere Systeme haben, die im Scope sind und keinen Einfluss auf die Sicherheit der CDE haben und
  • keine der genannten Kriterien für verbundene Systeme oder Systeme mit Sicherheitseinfluss erfüllen

können aus dem Scope des PCI DSS Assessments ausgeschlossen werden.

Wie lässt sich der Scope reduzieren?

Durch organisatorische und technische Maßnahmen kann der PCI DSS Scope reduziert werden:

  • System- & Anwendungsebene – Prüfung, ob die Kartendaten auf allen Systemen/Anwendungen benötigt werden.
  • Netzwerkebene – Prüfung, ob alle Systeme im gleichen Netzwerk betrieben
    werden müssen.
  • Logisch – Zugriffsrechte für Kartendaten minimieren.
  • Physisch – IT-Systeme mit Kartendaten nur auf einen Standort beschränken.

Was ist Netzwerksegmentierung?

Obwohl sie keine direkte Anforderung des PCI DSS darstellt, kann insbesondere eine angemessene Netzwerksegmentierung den Umfang der CDE und damit den Scope des PCI DSS Assessments deutlich reduzieren. Netzwerksegmentierung, auch als „Segmentierung“ oder „Isolation“ bezeichnet, isoliert Systemkomponenten, die Kartendaten speichern, verarbeiten oder übertragen, von Systemen, die dies nicht tun. Ohne Netzwerksegmentierung („flat network“) müssen die PCI DSS Anforderungen für das gesamte Netzwerk und alle angebundenen IT-Systeme erfüllt werden.

Nicht segmentiertes Netzwerk / flat network
Segmentiertes Netzwerk mit verringertem Scope

Was sind die Folgen von inkorrektem Scoping?

Ein unsachgemäßes Scoping kann für Unternehmen große Nachteile ergeben. Wenn der Scope falsch festgelegt wird und mehr umfasst, als er muss, sind nicht nur das Assessment selbst, sondern auch potentielle Korrekturmaßnahmen aufwändiger und kostenintensiver. Wird der Scope hingegen zu gering festgelegt, sodass Personen, Prozesse, Systeme oder Netzwerke ausgeschlossen werden, die die Sicherheit der CDE beeinträchtigen können, können Karteninhaberdaten oder sensible Authentifizierungsdaten unzureichend geschützt und somit gefährdet sein.  Es ist daher wichtig, dass Unternehmen bei der Planung, Konzeption und Überprüfung ihres PCI DSS Scopes ein hohes Maß an Sorgfalt walten lassen. Professionelle Beratung durch qualifizierte PCI-Experten kann hierbei enorm hilfreich sein.


Haben Sie Fragen oder benötigen Sie Unterstützung bei der Identifikation oder Reduktion Ihres PCI DSS Scopes? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.