Sie sind hier: Home » Markt » Hinweise & Tipps

PCI-DSS und Sichtbarkeit


PCI-DSS-Compliance: Card-Payment-Sicherheit ist kein komplizierter Kartentrick
Wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird



Von Tiho Saric, Senior Sales Director bei Gigamon

Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

Kreditkartenbetrug: Seit Anfang des Jahres gerät ein deutscher Automobilclub zunehmend ins Visier von Cyber-Kriminellen, die sich über Phishing- und Social-Engineering-Angriffen Zugangsdaten von ADAC-Kunden verschaffen. Damit konzentrieren sie sich vor allem darauf, Zugriff auf Kreditkarten zu bekommen und unautorisierte Einkäufe und Abbuchungen vorzunehmen.

Fälle wie diese zeigen, wie raffiniert Angreifer inzwischen vorgehen und wie wichtig ist es, Daten und Systeme rigoros zu schützen. Dafür reicht der Einsatz einer Antiviren-Software allein jedoch nicht aus. Der Payment-Card-Industry-Data-Security-Standard (PCI-DSS) verlangt ein umfassendes IT-Sicherheitskonzept, um sicherzustellen, dass Anbieter von kreditkartenbasierten Transaktionen alle notwendigen Mittel zum Schutz der Bankdaten ihrer Kunden einsetzen.

Der PCI-DSS deckt alles ab
Die Anforderungsliste umfasst insgesamt zwölf Punkte, die Unternehmen einhalten müssen – darunter die Installation einer Firewall und verschlüsselte Datenübertragung, aber auch strenge Richtlinien für eingeschränkten Datenzugriff (Least Privilege), eindeutige Nutzererkennungen sowie die Nachvollziehbarkeit aller Zugriffe auf Daten von Kreditkarteninhabern. Zudem schreibt das Regelwerk regelmäßige Tests vor, die Schwachstellen aufdecken sollen, um Betrugsversuchen zuvorzukommen.

All das erfordert eine Reihe von Maßnahmen wie Netzwerksegmentierung, ein umfassendes Identity- und Access-Management sowie diverse Prüfmechanismen. Unternehmen, die den Anforderungen nicht nachkommen, müssen mit schwerwiegenden Konsequenzen wie hohe Bußgelder bei Datenschutzverletzungen, juristische Verfahren sowie irreparable Rufschäden rechnen.

Ohne Sichtbarkeit keine PCI-DSS-Compliance
Wer sensible Daten und relevante Systeme schützen, Zugriffsprivilegien managen und Schwachstellen identifizieren will, muss sein Netzwerk in- und auswendig kennen und lückenlose Einsicht haben. Denn über sogenannte Blind Spots können Angreifer ungesehen Malware einschleusen und Daten abfließen lassen. Zu den beliebtesten Blind Spots zählen zum Beispiel verschlüsselter Datenverkehr und Ost-West-Traffic. Sobald Angreifer Zugang zum Netzwerk haben, verbleiben sie im Verborgenen und planen das weitere Vorgehen. Bis zu einem akuten Angriff können mehrere Stunden, Tage oder sogar Monate vergehen.

Herkömmliche Sicherheits- und Monitoring-Lösungen, die oftmals für lokale Netzwerkumgebungen konzipiert wurden, sich auf eine metrik-, event-, log- und tracebasierte (MELT) Überwachung beschränken und keine 100-prozentige Sichtbarkeit garantieren, reichen schon lange nicht mehr aus. Anders verhält es sich mit Deep Observability – also vollständige Sichtbarkeit, die bis hinunter zur Netzwerkebene reicht. Eine solche Lösung befindet sich zwischen Netzwerk und Security-/Monitoring-Lösungen. Sie sammelt den gesamten Datenverkehr aus sämtlichen Systemen, analysiert gründlich alle Informationen und leitet sie dann erst an die entsprechenden Lösungen weiter.

Auf diesem Wege werden Blind Spots selbst in den komplexesten Umgebungen effektiv aufgedeckt, was zu hoher Sichtbarkeit führt. Diese wiederum bildet die Grundlage für Zero-Trust- und Least-Privilege-Modelle, da sie ein detailliertes Identity- und Access-, aber auch Asset-Management erlaubt. Außerdem fördert diese Transparenz die Überprüfbarkeit und Nachvollziehbarkeit von Zugriffen. Somit nimmt Deep Observability eine entscheidende Rolle innerhalb der Sicherheitsstrategie von Unternehmen ein, die Kreditkartentransaktionen anbieten. (Gigamon: ra)

eingetragen: 14.05.25

Gigamon: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Echtzeitüberweisungen gemäß IPR Resilienz kritischer Infrastrukturen stärken

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen