Die PCI DSS Netzwerksegmentierung ist die Praxis, Systeme, die Kartendaten verarbeiten, durch physische oder logische Netzwerkkontrollen vom Rest der Unternehmensinfrastruktur zu isolieren. Sie ist technisch gesehen nicht zwingend nach PCI DSS vorgeschrieben, aber ohne sie fällt das gesamte Unternehmensnetzwerk in den CDE-Perimeter – eine Situation, die die Compliance für jede mittelgroße Organisation praktisch unhaltbar macht. Zu verstehen, wie man sie implementiert, wie viel sie kostet und wann die Tokenisierung eine effizientere Alternative ist, ist für eine rationale Compliance-Strategie unerlässlich.
Was Netzwerksegmentierung ist und warum PCI DSS sie erfordert
Ohne Segmentierung fällt jedes System, das mit dem Unternehmensnetzwerk verbunden ist und auch nur eine indirekte Verbindung zu Zahlungssystemen hat, in die CDE. Das bedeutet, dass Workstations von Verwaltungsbüros, Videokonferenzsysteme, Netzwerkdrucker und Backup-Server alle PCI DSS-Anforderungen unterliegen können, wenn sie das gleiche Netzwerk wie die Zahlungssysteme teilen. Der Perimeter explodiert und mit ihm die Compliance-Kosten.
Die Netzwerksegmentierung löst dieses Problem, indem sie eine klare Trennung zwischen der CDE und dem Rest des Netzwerks schafft. Durch Firewalls, VLANs, Netzwerkzugriffskontrollen und DMZ-Zonen werden Zahlungssysteme in einem dedizierten Segment mit streng kontrollierten Zugängen isoliert. Nur Systeme, die einen dokumentierten technischen Bedarf zur Kommunikation mit der CDE haben, dürfen dies tun, und jeder Zugriff wird protokolliert und überwacht.
Kosten und Komplexität einer korrekten Segmentierung
Die korrekte Implementierung einer Netzwerksegmentierung ist nicht trivial. Sie erfordert dedizierte Firewalls zwischen Segmenten, granulare Filterregeln, vollständige Netzwerktopologiedokumentation, regelmäßige Tests der Segmentierungseffektivität (einschließlich Penetrationstests, die überprüfen, ob keine unautorisierten Pfade zwischen Segmenten existieren) und eine kontinuierliche Wartung, wann immer Systeme hinzugefügt oder Datenflüsse geändert werden.
Die Kosten einer korrekten Segmentierung umfassen: dedizierte Netzwerkhardware (von 5.000 bis 30.000 € für eine On-Premise-Infrastruktur), Beratungskosten für Design und Implementierung, Kosten für kontinuierliche Überwachung und Wartung sowie Testkosten zur Überprüfung, ob die Segmentierung im Laufe der Zeit wirksam bleibt. In Cloud-Umgebungen ist die Segmentierung flexibler, erfordert aber dennoch ein sorgfältiges Design von VPCs, Security Groups und Routing-Regeln.
Tokenisierung als Alternative zur Hardware-Segmentierung
Die Logik der Segmentierung lautet: Isolieren Sie die CDE vom Rest des Netzwerks, um die Risikooberfläche zu begrenzen. Die Tokenisierung erreicht dasselbe Ziel radikaler: Anstatt die CDE zu isolieren, eliminiert sie sie auf der Händlerseite fast vollständig. Wenn Ihre Systeme niemals PANs verarbeiten, haben Sie keine CDE zu isolieren. Die Segmentierung wird irrelevant, weil auf Ihren Servern nichts zu schützen ist.
Für Organisationen, die bereits in Netzwerksegmentierung investiert haben, fügt die Tokenisierung eine zweite Schutzschicht hinzu: Sie reduziert die CDE weiter und vereinfacht die Topologie. Für diejenigen, die die Segmentierung noch nicht implementiert haben, kann die vorrangige Einführung der Tokenisierung die Investition in eine dedizierte Netzwerkinfrastruktur vollständig vermeiden. Die Prioritätenreihenfolge hängt von der bestehenden Architektur und dem Compliance-Zeitplan ab.
Häufig gestellte Fragen
Reicht die VLAN-Segmentierung für PCI DSS aus?
VLANs allein werden von PCI DSS nicht als ausreichend angesehen, es sei denn, sie werden von Firewalls begleitet, die den Datenverkehr zwischen Segmenten filtern. Ein VLAN ohne Firewall ist eine logische Trennung, die durch Fehlkonfigurationen oder VLAN-Hopping-Angriffe umgangen werden kann. PCI DSS verlangt, dass die Segmentierung überprüfbar und im jährlichen Penetrationstest getestet wird.
Muss auch die Testumgebung segmentiert werden?
Ja, wenn die Testumgebung echte Kartendaten verwendet. PCI DSS fordert ausdrücklich, dass Testdaten keine echten Kartendaten sind und dass Entwicklungs- und Testumgebungen von der Produktionsumgebung getrennt sind. Wenn Sie diese Regel befolgen, fällt die Testumgebung nicht in die CDE und muss keine spezifische Segmentierung aufweisen.
Wie viele Firewalls werden benötigt, um die CDE zu isolieren?
Es gibt keine feste Zahl: Es hängt von der Netzwerktopologie und der Anzahl der Zugangspunkte zur CDE ab. In einer typischen Architektur werden mindestens eine Perimeter-Firewall, die die CDE vom Internet trennt, und eine, die die CDE vom internen Netzwerk trennt, benötigt. In komplexen Umgebungen mit mehreren DMZ-Zonen und mehreren Zugriffsflüssen kann die Zahl höher sein. Die Regel ist, dass jeder Zugriff auf die CDE eine Firewall mit expliziten Regeln passieren muss.
Möchten Sie den PCI-Scope reduzieren, ohne in Segmentierungsinfrastruktur zu investieren? PCI Proxy EU entdecken.