Der PCI DSS Penetrationstest ist eine der kostspieligsten und am häufigsten missverstandenen Pflichten des Standards. Viele Händler verwechseln Penetrationstests mit Schwachstellenscans, unterschätzen die Kosten oder sind sich nicht sicher, wann sie genau verpflichtend sind. Anforderung 11.4 von PCI DSS v4 legt präzise fest, wer den Pen Test durchführen muss, wie oft und nach welchen Kriterien. Die Reduzierung des zu testenden Perimeters durch Tokenisierung ist der effektivste Hebel zur Senkung der Kosten dieser wiederkehrenden Pflicht.
Die Pen-Test-Pflicht in PCI DSS: Anforderungen und Häufigkeit
PCI DSS verlangt Penetrationstests für Händler, die über eigene Systeme in ihrer CDE (Cardholder Data Environment) verfügen. Er gilt nicht für Händler mit SAQ-A-Scope, die keine eigenen Systeme haben, die Kartendaten berühren. Für alle anderen legt Anforderung 11.4 von PCI DSS v4 fest, dass der Pen Test mindestens einmal jährlich und nach jeder wesentlichen Änderung der Infrastruktur oder Anwendungen im CDE-Perimeter durchgeführt werden muss. Die Anforderung gilt sowohl für Webanwendungen als auch für die Netzwerkinfrastruktur, mit unterschiedlichen Ansätzen für beide Ebenen.
Der PCI DSS Pen Test muss einer anerkannten Methodik (OWASP, PTES, NIST SP 800-115 oder gleichwertig) folgen und muss sowohl Tests von außen (externer Pen Test) als auch von innerhalb des Perimeters (interner Pen Test) umfassen. Er muss Netzwerksegmentierungskontrollen testen und überprüfen, ob die CDE effektiv vom Rest des Unternehmensnetzwerks isoliert ist. In PCI DSS v4 wurden die Anforderungen an die Dokumentation von Ergebnissen und Sanierungsplänen gestärkt: Es reicht nicht aus, den Test durchzuführen – man muss nachweisen, dass kritische identifizierte Schwachstellen innerhalb der vorgeschriebenen Fristen behoben wurden.
Was kostet ein PCI DSS Pen Test?
Die Kosten eines PCI DSS Pen Tests variieren erheblich je nach Infrastrukturkomplexität und Anzahl der Systeme im Perimeter. Für einen mittelgroßen Händler mit einer CDE, die Webserver, Datenbanken, Back-Office-Systeme und Netzwerkinfrastruktur umfasst, liegen die typischen Kosten eines jährlichen Pen Tests zwischen 8.000 und 30.000 €. Für komplexere Infrastrukturen oder Händler mit maßgeschneiderten Anwendungen können die Kosten höher sein. Hinzu kommen Sanierungskosten für identifizierte Schwachstellen und die Kosten eines Verifizierungs-Pen-Tests (Retest), den viele Acquirer nach der Behebung kritischer Schwachstellen verlangen.
Der Unterschied zwischen Penetrationstest und Schwachstellenscan ist grundlegend für das Verständnis der Kosten. Der Schwachstellenscan ist ein automatisierter Prozess, der bekannte Schwachstellen durch Vergleich mit Datenbanken wie CVE identifiziert. PCI DSS verlangt vierteljährliche Schwachstellenscans durch einen genehmigten ASV, mit Kosten ab einigen hundert Euro pro Scan. Der Pen Test hingegen ist eine manuelle Aktivität, die von Sicherheitsexperten durchgeführt wird, die aktiv versuchen, identifizierte Schwachstellen auszunutzen, um die tatsächliche Auswirkung zu überprüfen. Er kann nicht durch automatisierte Schwachstellenscans ersetzt werden, auch wenn sich die beiden Tools ergänzen.
Pen-Test-Kosten durch Perimeter-Reduzierung senken
Die Kosten eines PCI DSS Pen Tests sind direkt proportional zur Größe und Komplexität des zu testenden Perimeters. Jedes System in der CDE muss in den Pen-Test-Scope einbezogen werden: Mehr Systeme bedeuten mehr Arbeitsstunden und höhere Kosten. Eine CDE mit 10 Servern, 3 Datenbanken, 2 Webanwendungen und einem segmentierten Netzwerk kostet ein Vielfaches mehr zu testen als eine minimale CDE.
Tokenisierung reduziert die CDE und damit den Pen-Test-Perimeter. Wenn Ihre Server niemals PANs verarbeiten, müssen sie nicht in den PCI DSS Pen Test einbezogen werden: Der Test konzentriert sich nur auf die Komponenten, die Token verwalten, und die Kommunikationsschnittstellen mit dem PCI Proxy EU Vault, der bereits Level-1-zertifiziert ist. Die jährlichen Einsparungen beim Pen Testing allein können die Kosten der Tokenisierungslösung übersteigen.
Häufig gestellte Fragen
Muss ein PCI Pen Test von einem zertifizierten Anbieter durchgeführt werden?
PCI DSS verlangt nicht, dass der Pen Test von einem speziell zertifizierten Anbieter durchgeführt wird, anders als der Schwachstellenscan, der von einem genehmigten ASV durchgeführt werden muss. PCI SSC verlangt, dass der Pen Test von qualifiziertem und unabhängigem Personal (intern oder extern) mit nachweisbaren Offensiv-Sicherheitskenntnissen durchgeführt wird. In der Praxis akzeptieren die meisten Acquirer und QSAs Pen Tests von Sicherheitsunternehmen mit anerkannten Zertifizierungen wie OSCP, CEH oder CREST.
Was passiert, wenn der Pen Test kritische Schwachstellen findet?
Wenn der Pen Test kritische Schwachstellen identifiziert, muss der Händler sie innerhalb der Fristen seines Sanierungsplans beheben und typischerweise einen Verifizierungs-Pen-Test (Retest) durchführen, um zu bestätigen, dass die Schwachstellen effektiv behoben wurden. PCI DSS v4 verlangt die Dokumentation des Sanierungsprozesses. Wenn kritische Schwachstellen nicht behoben werden, kann der Händler PCI DSS-Konformität für diesen Bewertungszyklus nicht bestätigen, was zu Sanierungsanforderungen des Acquirers führen kann.
Mit einer reduzierten CDE ist der Pen Test wirklich günstiger?
Ja, erheblich. Die Kosten eines Pen Tests hängen von der Anzahl der Systeme, Anwendungen und Netzwerkschnittstellen im Perimeter ab. Eine auf wenige Systeme (oder eliminiertete) CDE reduziert die Testkosten proportional. Ein SAQ-A-Händler hat keine eigene CDE und ist nicht der Pen-Test-Anforderung unterworfen: Die Einsparung beträgt 100 % bei diesem Posten. Ein Händler mit einer auf 3–5 Systeme reduzierten CDE zahlt einen 5–10-mal günstigeren Pen Test als ein Händler mit einer vollständigen CDE von 50 Komponenten.
Reduzierter Perimeter bedeutet schnelleren, günstigeren Pen Test – und oft gar keine Anforderung: Tokenisierung ist die effizienteste Investition zur Senkung der laufenden PCI DSS-Compliance-Kosten. PCI Proxy EU entdecken.