Die PCI DSS Netzwerksegmentierung ist technisch gesehen optional, in der Praxis jedoch der einzige realistische Weg, die Karteninhaber-Datenumgebung einzugrenzen, ohne Millionen für Compliance auszugeben. Ohne Segmentierung wird jedes System im internen Netzwerk Teil der PCI DSS CDE und muss alle vom Standard vorgeschriebenen Kontrollen erfüllen. Das eigentliche Problem besteht nicht darin, ob man sie implementiert, sondern darin zu verstehen, wie viel sie kostet, wer sie verwaltet und wann es sinnvoll ist, nach Alternativen zu suchen.
PCI DSS Netzwerksegmentierung: Was die Anforderung vorschreibt
PCI DSS schreibt keine spezifische Segmentierungsmethode vor, verlangt jedoch, dass Systeme außerhalb des Scopes so isoliert werden, dass sie die Sicherheit der CDE nicht beeinflussen können. In der Praxis bedeutet dies Firewalls mit dokumentierten Regeln, dedizierte VLANs, Access Control Lists zwischen Segmenten und eine jährliche Überprüfung der Isolierung. Anforderung 11.4.5 des Standards v4.0 verlangt spezifische Penetrationstests, um zu validieren, dass die Segmentierung tatsächlich funktioniert – nicht nur auf dem Papier.
Eine typische Architektur hat mindestens drei Zonen: das öffentliche Netzwerk, die DMZ mit Systemen, die Kartendaten empfangen, und das interne Segment, in dem Autorisierungssysteme und Datenbanken sich befinden. Jede Zone erfordert explizite Ein- und Ausgangsregeln, zentralisierte Protokolle und Change-Management-Verfahren. In Cloud-Umgebungen übersetzt sich die Segmentierung in dedizierte VPCs, granulare Security Groups und Ost-West-Datenverkehrskontrolle mit Tools wie AWS Network Firewall oder Azure Firewall.
Die tatsächlichen Kosten einer korrekten Segmentierung
Der häufigste Fehler ist die Unterschätzung der Betriebskosten im Verhältnis zu den Einrichtungskosten. Enterprise-Level-Firewall- und IDS-Hardware oder Cloud-Lizenzgebühren liegen für eine mittelgroße Architektur zwischen 15.000 und 60.000 €. Hinzu kommen die Stunden eines Netzwerkingenieurs für Design, Regeldokumentation und Change Management: durchschnittlich 20–40 Stunden/Jahr allein für die Routinewartung. Der jährliche Penetrationstest zur Segmentierung kostet im Durchschnitt 3.000 bis 8.000 €.
Für Unternehmen, die in Kubernetes- oder Container-Umgebungen tätig sind, steigen die Kosten weiter an. Ost-West-Datenverkehr-Mikrosegmentierung in einem Cluster erfordert Tools wie Calico, Cilium oder ein dediziertes Service Mesh. Die Betriebskomplexität wächst exponentiell mit der Anzahl der Microservices, die sensible Daten verarbeiten. Ein Team ohne Spezialisierung auf sicheres Networking riskiert die Erstellung von Konfigurationen, die konform erscheinen, es aber nicht sind – mit schwerwiegenden Folgen bei einem Audit oder einem Sicherheitsvorfall.
Tokenisierung vs. Segmentierung: Wann welche Methode sinnvoll ist
Segmentierung schützt den Perimeter rund um sensible Daten. Tokenisierung eliminiert sensible Daten aus dem Perimeter. Es sind komplementäre Ansätze, aber der Ausgangspunkt ändert das Ausmaß der erforderlichen Investitionen radikal. Wenn der PAN niemals in Ihre Infrastruktur gelangt, schrumpft die CDE drastisch und mit ihr die Segmentierungsanforderungen. Systeme, die zuvor dedizierte VLANs und Firewalls benötigten, verlassen den Scope vollständig.
Die effizienteste PCI DSS Scope-Reduzierungsstrategie kombiniert beide Ansätze: Tokenisierung zur Eliminierung der Daten an der Quelle, Restsegmentierung zum Schutz der Komponenten, die API-Aufrufe zum Vault verwalten. Auf diese Weise reduziert sich die mit Firewalls und ACLs zu schützende Oberfläche auf einige wenige klar definierte Endpunkte statt auf ein gesamtes Unternehmensnetzwerk. Das Ergebnis ist eine minimale CDE, schnellere Audits und strukturell niedrigere Wartungskosten.
Häufig gestellte Fragen
Unterscheidet sich die Cloud-Segmentierung von On-Premise für PCI?
Konzeptionell nein, aber die Tools ändern sich. In der Cloud werden VPCs, private Subnetze, Security Groups und Netzwerk-ACLs statt physischer VLANs und Hardware-Firewalls verwendet. PCI DSS akzeptiert beide Ansätze, sofern die Isolierung dokumentiert und getestet ist. Die geteilte Verantwortung mit dem Cloud-Anbieter deckt niemals die Anwendungssegmentierung ab: Diese bleibt stets beim Händler.
Kann ich die Segmentierung als Ausgleichsmaßnahme nutzen?
Die Segmentierung ist selbst eine Sicherheitskontrolle, keine Ausgleichsmaßnahme im strengen Sinne. PCI DSS-Ausgleichsmaßnahmen gelten, wenn eine spezifische Anforderung aufgrund dokumentierter technischer oder geschäftlicher Einschränkungen nicht erfüllt werden kann. Eine robuste Segmentierung kann jedoch das Restrisiko bei fehlenden anderen Kontrollen verringern und die Bewertung des QSA positiv beeinflussen.
Wie lange dauert die Implementierung der Netzwerksegmentierung?
Für eine mittelgroße On-Premise-Architektur dauert das typische Projekt 3 bis 6 Monate, einschließlich Design, Implementierung, Test und Dokumentation. In der Cloud sind die Zeitrahmen kürzer, erfordern aber spezifische Kenntnisse. Der kritische Faktor ist nicht die anfängliche Konfiguration, sondern die laufende Governance: Change Management, regelmäßige Überprüfungen und jährliche Validierungstests.
Möchten Sie den PCI-Perimeter reduzieren, bevor Sie überhaupt die Segmentierung entwerfen? PCI Proxy EU entdecken.