PCI DSS – Was Sie wissen sollten

usd AG News, PCI Security Services

In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard. Starten Sie gut informiert in Ihre PCI-DSS-Zertifizierung.


Was ist der Payment Card Industry Data Security Standard?

Kreditkartendaten sind ein äußerst begehrtes Ziel für Kriminelle. Sie lassen sich mitunter leicht erbeuten und relativ unkompliziert in Geld umwandeln. Ob professionelle Hacker oder böswillige Insider am Werk sind – die Kriminellen sind meist bestens organisiert und das Geschäft mit gestohlenen Kreditkarteninformationen floriert.

Wird ein Diebstahl von Kreditkarteninformationen aufgedeckt, so zieht dies zunächst einmal kostspielige Untersuchungen nach sich, womöglich gefolgt von Schadensersatzansprüchen und Strafzahlungen. Eine Veröffentlichung des Vorfalls durch die Presse sorgt für eine Rufschädigung, die kaum zu beheben ist. Das Vertrauen der Kunden schwindet und die Geschäftstätigkeit trägt einen nachhaltigen Schaden davon.

Die Kreditkartenindustrie hat daher im Oktober 2004 das Payment Card Industry Security Standards Council (PCI SSC) gegründet. Durch die Vereinheitlichung der Sicherheitsleitlinien der einzelnen Kreditkartenorganisationen entstand so der international gültige Payment Card Industry Data Security Standard (PCI DSS).

Der PCI DSS basiert auf Best Practices und wird ständig an aktuelle Bedrohungen angepasst. Er stellt die Basis für eine einheitliche Vorgehensweise zum Schutz von Kreditkartendaten dar und umfasst dabei sowohl technische als auch organisatorische Maßnahmen. Werden die Maßnahmen umgesetzt, so sorgt deren Zusammenspiel für ein Mindestmaß an Sicherheit von Kreditkarteninformationen. Der Nachweis der Einhaltung des PCI DSS kann im Falle von Kreditkartendiebstahl die Haftungsfrage erheblich beeinflussen. Dazu muss nachgewiesen werden, dass zum Zeitpunkt des Zwischenfalls alle notwendigen Maßnahmen des PCI DSS umgesetzt und befolgt wurden.

Worauf haben es Kriminelle abgesehen?

Im Zentrum des Interesses stehen nicht die physischen Karten selbst, sondern die Kreditkartendaten. Die von Kriminellen begehrten Informationen sind vor allem:

  • Name des Karteninhabers
  • Gültigkeitsdatum
  • Kreditkartennummer (PAN)
  • Prüfziffer (CVC2/CVV2/…)

Diese befinden sich auf der Karte, zum einen in Form von Beschriftung, zum anderen gespeichert auf Chip und Magnetstreifen. Gelangen diese Informationen in den Besitz von Kriminellen, so können diese – z. B. im Internet – auf Kosten des eigentlichen Karteninhabers Zahlungen tätigen. In einigen wenigen Fällen reicht dafür sogar die Kartennummer (ohne Prüfziffer) bereits aus. Häufig verkaufen Kreditkartendiebe die erbeuteten Daten weiter – Für gestohlene Kreditkartendaten gibt es einen organisierten Schwarzmarkt im Internet. Das Risiko für die Kriminellen ist dabei vergleichsweise gering. Sie sind meist bestens organisiert und agieren international. Eine Rückverfolgbarkeit ist so gut wie unmöglich.

Die vom PCI DSS vorgegebenen Maßnahmen gehen gezielt auf mögliche Angriffswege ein und verbessern dadurch den Schutz der Kreditkarteninformationen signifikant.


Haben Sie Fragen zum PCI DSS oder zu Ihrem PCI DSS-Compliance-Nachweis? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.