Auf den Punkt: PCI DSS 4.0.1 verlangt Echtzeit-Überwachung aller Skripte auf Bezahlseiten gegen Web-Skimming, da etwa 30 Prozent derselben sich innerhalb von zwei Wochen verändern.
Die PCI-DSS-Version 4.0.1 verschärft die Sicherheitsanforderungen für Online-Bezahldienste, um Web-Skimming-Angriffe zu verhindern. Handlers müssen alle Skripte auf Bezahlseiten nun inventarisieren und auf Integrität prüfen, was manuelle Verfahren an ihre Grenzen treibt.
Web-Skimming ist ein Angriffsmuster, bei dem Kriminelle Schadcode über legitime Drittanbieter-Skripte einschleusen – etwa über Analyse-Werkzeuge, Tag-Manager oder Support-Widgets. Das Sicherheitsunternehmen Sansec dokumentierte bereits über 100.000 betroffene Websites. Ein prominentes Beispiel war der Datendiebstahl bei British Airways 2018, bei dem Angreifer der Magecart-Gruppe 380.000 Transaktionen kompromittierten. Das Risiko entsteht, wenn Angreifer die Infrastruktur eines Drittanbieters kapern und über diese den Zahlseiten der Händler Malware unterschieben.
Die PCI-DSS-Version 4.0.1 adressiert diese Lücke mit verbindlichen Kontrollvorgaben. Anforderung 6.4.3 schreibt vor, dass jedes Skript auf einer Bezahlseite inventarisiert, autorisiert und auf Integrität überprüft werden muss. Anforderung 11.6.1 verlangt die Erkennung von Manipulationen an Seiteninhalten und HTTP-Headern unmittelbar im Browser. Besonderheit: Seit Januar 2025 gelten diese Pflichten auch für iFrame-basierte Zahlseiten, da Angreifer Daten auf der übergeordneten Seite abgreifen können, bevor sie den geschützten Rahmen erreichen.
Manuelle Verwaltung dieser Listen ist praktisch nicht umsetzbar. Laut Daten von Reflectiz ändern sich etwa 30 Prozent der Skripte auf Bezahlseiten innerhalb von zwei Wochen. Der unabhängige PCI-Prüfer Integrity360 Europe bestätigte in einer Konformitätsprüfung, dass automatisierte Überwachungslösungen diese neuen Anforderungen erfüllen können. Relevant für Compliance-Teams: Solche Systeme arbeiten verhaltenbasiert statt nur auf Datei-Hashes und dokumentieren kontinuierlich die Überwachung für Audits.
Quelle: www.it-daily.net · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.