PCI DSS Penetrationstests sind eine der aufwändigsten Pflichten in Bezug auf Kosten und Vorbereitung: Ein Test auf einer mittelkomplexen CDE kann zwischen 5.000 und 20.000 € kosten, muss mindestens einmal jährlich durchgeführt werden und von einer qualifizierten unabhängigen Partei durchgeführt werden. Für einen Händler oder ein KMU, das die Compliance-Kosten kontrollieren möchte, ist die Reduzierung des dem Pen Test unterliegenden Perimeters eine strategische Priorität.
Wann PCI DSS Pen Testing Pflicht ist und wie oft
Anforderung 11.4 von PCI DSS v4.0 verlangt von Händlern, mindestens alle 12 Monate und nach jeder wesentlichen Änderung der Infrastruktur oder Anwendungen im CDE-Perimeter einen Penetrationstest durchzuführen. „Wesentliche Änderung" umfasst das Hinzufügen neuer Systeme, Änderungen der Netzwerktopologie, größere Updates von Zahlungsanwendungen und Änderungen der Zugriffskontrollen.
Der PCI DSS Pen Test muss sowohl die Netzwerkebene (Netzwerk-Penetrationstest) als auch die Anwendungsebene (Anwendungs-Penetrationstest) abdecken, einschließlich Webschnittstellen und exponierten APIs. Der Tester muss Angriffe sowohl von außen (externer Pen Test) als auch von innerhalb des Netzwerks (interner Pen Test) simulieren. Ergebnisse müssen dokumentiert, identifizierte Schwachstellen müssen behoben und die Sanierung muss mit einem Retest verifiziert werden.
Penetrationstest vs. Schwachstellenscan: Es ist nicht dasselbe
Ein häufiger Fehler ist die Verwechslung des Penetrationstests mit dem Schwachstellenscan. Der Schwachstellenscan ist ein automatisierter Prozess, der bekannte Schwachstellen durch Vergleich mit CVE-Datenbanken identifiziert: Er liefert eine Liste potenzieller Probleme, verifiziert aber nicht, ob sie tatsächlich ausnutzbar sind. PCI DSS verlangt vierteljährliche Schwachstellenscans durch einen zertifizierten ASV (Approved Scanning Vendor).
Der Penetrationstest hingegen ist eine manuelle Aktivität, die von einem Sicherheitsexperten durchgeführt wird, der aktiv versucht, identifizierte Schwachstellen auszunutzen. Er überprüft nicht nur, ob eine Schwachstelle vorhanden ist, sondern ob sie genutzt werden kann, um auf Kartendaten zuzugreifen oder sich lateral im Netzwerk zu bewegen. Die beiden Tools sind komplementär, nicht austauschbar, und PCI DSS verlangt beide in unterschiedlichen Häufigkeiten.
Weniger CDE, niedrigere Pen-Test-Kosten
Die Kosten eines Penetrationstests sind direkt proportional zur Größe und Komplexität des zu testenden Perimeters. Jedes System in der CDE muss in den Pen-Test-Scope einbezogen werden: Mehr Systeme bedeuten mehr Arbeitsstunden und höhere Kosten. Eine CDE mit 10 Servern, 3 Datenbanken, 2 Webanwendungen und einem segmentierten Netzwerk kostet ein Vielfaches mehr zu testen als eine minimale CDE.
Tokenisierung reduziert die CDE und damit den Pen-Test-Perimeter. Wenn Ihre Server niemals PANs verarbeiten, müssen sie nicht in den PCI DSS Pen Test einbezogen werden: Der Test konzentriert sich nur auf die Komponenten, die Token verwalten, und die Kommunikationsschnittstellen mit dem PCI Proxy EU Vault, der bereits Level-1-zertifiziert ist. Die jährlichen Einsparungen beim Pen Testing allein können die Kosten der Tokenisierungslösung übersteigen.
Häufig gestellte Fragen
Kann ich denselben Pen-Test-Bericht für PCI und andere Frameworks verwenden?
Teilweise. Der PCI DSS Pen Test hat spezifische Scope-, Methodik- und Dokumentationsanforderungen, die im Bericht explizit adressiert werden müssen. Einige Frameworks (wie ISO 27001 oder SOC 2) akzeptieren gemeinsame Pen-Test-Berichte, wenn sie dieselben Bereiche abdecken, aber der Bericht muss auf PCI-Anforderungen zugeschnitten sein und die Netzwerksegmentierungsüberprüfung enthalten, die ein PCI-spezifisches Element ist.
Führt der Cloud-Anbieter den Pen Test für mich durch?
Nein. Der Cloud-Anbieter (AWS, Azure, GCP) ist für die Sicherheit der physischen Infrastruktur und Cloud-Plattform verantwortlich (Shared-Responsibility-Modell), nicht für die Systeme und Anwendungen, die der Händler auf dieser Plattform deployt. Der PCI DSS Pen Test muss die Systeme und Anwendungen des Händlers abdecken, auch wenn sie in der Cloud laufen. Viele Anbieter verlangen eine vorherige Benachrichtigung, bevor Pen Tests auf ihrer Plattform durchgeführt werden.
Eliminiert Tokenisierung den Pen Test?
Sie eliminiert den Pen Test nicht, reduziert ihn aber erheblich. Mit einer minimalen CDE konzentriert sich der Pen Test auf die API-Schnittstellen mit dem Vault und die verbleibenden Zugriffskontrollen. Der PCI Proxy EU Vault ist bereits PCI DSS Level 1 zertifiziert und unterzieht sich seiner eigenen Pen-Test-Pflichten autonom: Sie müssen die Vault-Infrastruktur nicht in Ihren Testscope einbeziehen.
Möchten Sie den Pen-Test-Perimeter und die damit verbundenen Compliance-Kosten reduzieren? PCI Proxy EU entdecken.