PCI DSS bildet die Basis: Warum Sie Web-App- und API-Schutz im E-Commerce benötigen

Obwohl der neueste PCI-Standard nicht neu ist, erweitert er den Umfang seiner Leitlinien erheblich. Ein weit verbreitetes Missverständnis über die Jahre lässt sich wie folgt zusammenfassen: „ Alles ist gut, ich habe eine Firewall, alles klar. “ Dieses Missverständnis kann heute als Mythos betrachtet werden.

Die Modernisierung von Anwendungen, der Anstieg digitaler Omnichannel-Kontaktpunkte und die stetig wachsende Raffinesse von Angreifern verlangen, dass Sie zahlreiche Sicherheitskontrollen implementieren, um PCI DSS einzuhalten – darunter Sicherheit von Zahlungsskripten, Schutz von APIs, schnelle Erkennung und Reaktion auf kompromittierte Anmeldedaten sowie regelmäßige Schwachstellenscans.

Wie im Gartner Market Guide for Cloud Web Application and API Protection 2025 erklärt, gewinnt clientseitiger Schutz zunehmend an Bedeutung, da der aktuelle PCI-Standard Sicherheitskontrollen für alle Zahlungsskripte vorschreibt.

Webanwendungen werden zunehmend komplexer, da sich die Architektur dezentralisiert und Softwarekomponenten über hybride und Multi-Cloud-Umgebungen verteilen. Durch die Entkopplung der Anwendungsinfrastruktur und die Ausweitung der Software-Lieferketten schaffen Sie Angriffsflächen, die Geschäftslogik und Browser der Nutzer im Rahmen des industrialisierten Angriffslebenszyklus ins Visier nehmen.

Clientseitige Angriffe wie Infostealer erbeuten Ihre Anmeldedaten, um damit groß angelegte automatisierte Angriffe durchzuführen. Wenn Sie diese Angriffe nicht abwehren, riskieren Sie Kontoübernahmen und Betrug.

Beim Formjacking injiziert man schädliches JavaScript in Online-Formulare, um Benutzereingaben auf Browserebene abzugreifen. Häufig nutzen Angreifer Schwachstellen in Skripten von Drittanbietern aus, was herkömmliche, zentralisierte Sicherheitskontrollen nur schwer erkennen können.

Magecart fasst verschiedene Cyberkriminelle Gruppen zusammen, die sich auf Web-Skimming spezialisiert haben. Sie zielen auf E-Commerce-Seiten ab, indem sie JavaScript-Code einschleusen, der während des Bezahlvorgangs Zahlungsdaten stiehlt.

Web Application Firewalls (WAFs) sind weiterhin ein zentraler Sicherheitskontrollpunkt, vor allem, da der neue Standard verlangt, jede Sicherheitslücke als potenzielle Angriffsgefahr regelmäßig zu beheben. Viele WAFs schützen APIs, doch die hohe Geschwindigkeit moderner Anwendungsentwicklung erfordert erweiterte Fähigkeiten: Endpunkte, die tief in der Geschäftslogik verborgen oder innerhalb von Drittanbieter-Ökosystemen aufgerufen werden, müssen wirksam erkannt und automatisch geschützt werden – idealerweise bereits im Code und während der Tests.

Während Software-Lebenszyklusprozesse und sichere Codierungstechniken der Nordstern sind, müssen Risikobewertungen kontinuierlich erfolgen und Minderungsmaßnahmen erfordern oft eine robuste Laufzeitsicherheit in der Produktion, einschließlich im Client-Browser, in der Frontend-Application und in den Backend-APIs, um Angriffe über mehrere Bedrohungsvektoren für hochgradig vernetzte digitale Erlebnisse wirksam zu vereiteln. 

Schwachstellen sind Fehler oder Schwächen in Software, die von Angreifern ausgenutzt werden können. Da Anwendungen mittlerweile im Wesentlichen API-basierte Systeme sind, besteht für die Backend-Geschäftslogik hohe Risiken des Missbrauchs.

F5 Labs erklärt, dass der E-Commerce-Sektor einen der höchsten Anteile an fortschrittlichen Angriffen aufweist und 44,82 % der mobilen Credential-Stuffing-Angriffe als fortschrittlich eingestuft sind. Angreifer setzen verschiedene Werkzeuge ein, um Browser-, Mobilgeräte- und Nutzerverhalten zu simulieren und so die Erkennung zu umgehen. Dazu gehören das Erzeugen gültiger Tokens, das Vortäuschen von Telemetriesignalen und die Nachahmung von Tastatur- und Mauseingaben. Angreifer passen ihre Methoden laufend an, um Schutzmaßnahmen zu überlisten, indem sie von Web-Apps auf mobile Apps wechseln oder ihre Taktiken, Techniken und Abläufe verschärfen.

Angreifer im E-Commerce setzen auch Reseller-Bots ein, die die Warenkorb-Funktion ausnutzen und so echten Kunden den Abschluss von Transaktionen erschweren. Über 20 % der aus mehr als 200 Milliarden Web- und API-Anfragen analysierten Warenkorb-Transaktionen laufen automatisiert ab.

Bots verfälschen Nutzerbewertungen, um glaubwürdige gefälschte Rezensionen zu erzeugen – oft setzen sie dabei generative KI ein.

Selbst im E-Commerce hat F5 LabsForschung herausgefunden, dass die Modebranche am stärksten von Scraping-Tools betroffen ist, die große Daten- und Inhaltsmengen von ihren Zielen entziehen und damit 53,23 % des gesamten Webverkehrs ausmachen. Scraping kann das Unternehmen im Preiswettbewerb benachteiligen und das geistige Eigentum gefährden.

Das neueste PCI DSS enthält mehrere Empfehlungen für den Einsatz gezielter Risikoanalysen im Vergleich zu traditionellen unternehmensweiten Risikobewertungen.

Insbesondere adressiert der aktualisierte Standard die wachsende Bedrohung durch clientseitige Angriffe mit zwei clientseitigen Anforderungen, die ab dem 31. März 2025 in Kraft treten, aber legt nicht vordefiniert fest, wie Organisationen diese erfüllen sollen.

Die neuen Vorgaben erkennen an, dass bösartige Client-seitige Skripte eine zunehmende Gefährdung im Zahlungsverkehr darstellen.  Bewährte Verfahren wie Content Security Policies (CSPs) zur Verhinderung unberechtigter Codeinjektionen und Subresource Integrity (SRI)-Methoden, um sicherzustellen, dass Drittanbieter-Apps unverändert sind, erfordern viel Aufwand bei Umsetzung und Wartung – vor allem im KI-Zeitalter, in dem der Wettbewerb um Kundenaufmerksamkeit ständige Verbesserungen der digitalen Angebote fordert.

Kunden erwarten einfache Transaktionen und akzeptieren keine Verzögerungen, Störungen oder Sicherheitsvorfälle. Weit verbreitete Sicherheitskontrollen, wie Web Application Firewalls, schützen oft weder den Client-Browser noch Backend-APIs ausreichend. Bot-Management-Lösungen, die Nutzer mit CAPTCHAs herausfordern, schrecken talentierte Cyberkriminelle kaum ab, verärgern dafür aber Ihre Nutzer. Sogar Multi-Faktor-Authentifizierung lässt sich umgehen.

Angreifer setzen je nach Plattform, Branche und Geschäftslogik, die sie ausnutzen können, unterschiedliche Techniken ein. Im E-Commerce ist es eine erhebliche Bedrohung, wenn ein potenzieller Käufer keinen Artikel in seinen Warenkorb legen kann. Auf dem Spiel stehen die Transaktion, die daraus erzielten Umsätze und die Kundentreue.