Jetzt handeln: Neue PCI DSS v4.0-Anforderungen zielen auf browserbasierte Angriffe ab

Achtung Online-Händler und E-Commerce-Anbieter: Wenn es um den Schutz clientseitiger Daten und Online-Zahlungen vor digitalem Skimming und Magecart-Angriffen geht, gibt es eine neue Autorität.

Im März 2022 veröffentlichte das Security Standards Council der Payment Card Industry (PCI) eine überarbeitete Version seines Datensicherheitsstandards PCI DSS v4.0, der die Mindestsicherheitsanforderungen festlegt, die Händler bei der Speicherung, Verarbeitung und Übertragung von Karteninhaberdaten erfüllen müssen. Die überarbeiteten Anforderungen umfassen eine Reihe von Verbesserungen zur Gewährleistung sicherer Online-Transaktionen und zum Schutz von Verbrauchern, Unternehmen und Kartenausstellern bei kommerziellen Online-Transaktionen.

Die neuen Anforderungen konzentrieren sich auf die Notwendigkeit, browserbasierte JavaScript-Bibliotheken von Drittanbietern zu überwachen und zu verwalten, die in E-Commerce-Websites integriert sind, um sofort einsatzbereite Funktionen wie iFrames zur Zahlungsabwicklung, Chatbots, Werbung, Schaltflächen zum Teilen in sozialen Netzwerken und Tracking-Skripte bereitzustellen. Diese JavaScript-Bibliotheken helfen Unternehmen zwar dabei, die Website-Entwicklung zu beschleunigen, sie stellen jedoch auch eine breite Angriffsfläche für Cyberkriminelle dar, da diese Skripte durch digitales Skimming und Magecart-Angriffe leicht kompromittiert werden können, um Anmeldeinformationen, Kreditkarteninformationen und andere personenbezogene Daten zu stehlen.

Diese Verstöße sind zwar eindeutig schädlich für die betrogenen Verbraucher, aber auch schlecht für Ihr Unternehmen, da sie zu Compliance-Verstößen, Umsatzeinbußen, Kursrückgängen, feindseligen Bewertungen in den sozialen Medien und einer Schädigung des Markenwerts führen können.   

Obwohl die Einhaltung der neuen PCI DSS 4.0-Anforderungen erst im Jahr 2025 vorgeschrieben ist, sollten Sie nicht warten! Die Arten von Angriffen, auf die sich die Anforderungen beziehen, finden bereits heute statt. Jetzt ist es an der Zeit, den Ruf Ihres Unternehmens und Ihre Kunden vor Angriffen und Betrug zu schützen, indem Sie die erweiterten Schutzmaßnahmen so schnell wie möglich umsetzen.

Welche Gefahren bestehen durch clientseitige Angriffe?

Vor nicht allzu langer Zeit wurden kommerzielle Webanwendungen als monolithische Codestücke erstellt, die von einem lokalen Webserver bereitgestellt wurden. Die modernen Web-Anwendungen von heute unterscheiden sich jedoch stark davon. Sie werden häufig durch die Aneinanderreihung von JavaScript-Bibliotheken von Drittanbietern entwickelt, wobei ein Großteil der Verarbeitung clientseitig im Browser des Endverbrauchers erfolgt. Schätzungsweise 70–80 % einer typischen Webseite bestehen aus Bibliotheken von Drittanbietern, und einige dieser Skripte enthalten Code aus einem anderen Satz von Drittanbieter-Skripten. Diese lange Kette von Codeabhängigkeiten bedeutet, dass Unternehmen kaum Einblick in den Code haben oder ihn kaum kontrollieren können, der tatsächlich auf ihren Websites ausgeführt wird.

Bedrohungsakteure sind sich bewusst, dass Unternehmen aufgrund des Umfangs und Ausmaßes dieser N-Party-Abhängigkeiten Schwierigkeiten haben, den in ihrer Umgebung ausgeführten Code ordnungsgemäß zu verwalten, zu verfolgen und zu sichern, und nicht einmal erkennen können, wenn sich Code geändert hat oder ausgenutzt wird. Dieser Mangel an Transparenz bietet Cyberkriminellen die Möglichkeit, schädliche Skripte in den Code einer legitimen Webseite oder Webanwendung einzuschleusen und Angriffe zu starten, um Benutzersitzungen abzufangen, zu manipulieren und zu kapern. Sie sind dann in der Lage, personenbezogene Daten und Zahlungsinformationen abzugreifen, die Kontrolle über Websites zu übernehmen und diese zu verunstalten, gefälschte Inhalte bereitzustellen, neue Formulare zu erstellen oder legitime Formulare zu verändern – was alles den Boden für Betrug und die Übernahme von Konten bereiten kann.

Was PCI DSS v4.0 erfordert

Der überarbeitete Standard identifiziert insbesondere Verbesserungen der clientseitigen Websicherheit als entscheidend für jedes Unternehmen, das Online-Zahlungen akzeptiert. Der Standard schreibt vor, dass alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, umfassend verwaltet werden müssen. Konkret verlangt der neue Standard 6.4.3 von E-Commerce-Anbietern die Umsetzung von:

• Eine Methode zur Bestätigung, dass jedes Skript autorisiert ist
• Eine Methode zur Gewährleistung der Integrität jedes Skripts
• Eine Bestandsaufnahme aller Skripte mit schriftlicher Begründung, warum jedes Skript notwendig ist

Der neue Standard erfordert, dass Händler ihre Richtlinien und Verfahren überprüfen, um sicherzustellen, dass Prozesse für die Verwaltung aller Zahlungsseitenskripte definiert sind, die im Browser des Verbrauchers geladen und ausgeführt werden. Sie müssen außerdem verantwortliches Personal befragen sowie Bestandsaufzeichnungen und Systemkonfigurationen prüfen, um sicherzustellen, dass alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, in Übereinstimmung mit allen in dieser Anforderung angegebenen Elementen verwaltet werden.

Darüber hinaus verlangt Abschnitt 11.6 des überarbeiteten Standards, dass unbefugte Änderungen auf Zahlungsseiten erkannt und darauf reagiert wird. Dies erfordert einen Mechanismus zur Änderungs- und Manipulationserkennung, der das Personal auf nicht autorisierte Änderungen an den HTTP-Headern und dem Inhalt der Zahlungsseiten aufmerksam macht, die vom Browser des Verbrauchers empfangen werden. Die Konfigurationseinstellungen müssen mindestens alle sieben Tage oder in der in der Risikoanalyse der Organisation festgelegten Häufigkeit überprüft werden.

Manuelle oder veraltete Lösungen erfüllen diese Anforderungen nur mit hohem Kosten- und Ressourcenaufwand. Da Zahlungsformular-Skripte clientseitig ausgeführt werden, sehen Sie als Händler kaum, wie sie sich verhalten, was bösartigen Code unbemerkt lässt. Zudem kontrollieren Sie als Händler kaum den Drittanbietercode, etwa dynamische JavaScript-Bibliotheken für Webseitenfunktionen wie Zahlungsabwickler, Cookie-Einwilligung, Chatbots oder Werbetracker – denn diese werden häufig und oft ohne Ihr Wissen aktualisiert oder geändert.

Erkennungsmethoden wie Sub-Resource Integrity (SRI), das die Integrität von Skripten sicherstellt, und Content Security Policy (CSP), die beschreibt, von welchen Quellen Browser Skripte laden und wohin sie Daten senden dürfen, genügen nicht mehr, um die ständig wechselnden Webanwendungen von heute zu schützen.

Unterstützen Sie Ihr Unternehmen bei der Einhaltung von PCI DSS v4.0, und zwar so schnell wie möglich

Es gibt keinen Grund, mit der Erfüllung der Sicherheitsanforderungen des PCI DSS v4.0 bis 2025 zu warten. Handeln Sie jetzt, um Ihr Unternehmen vor Angriffen und Ihre Kunden vor Betrug und Kontoübernahme zu schützen.

Mit F5 Distributed Cloud Client-Side Defense können Sie die neuen PCI DSS v4.0-Anforderungen sofort erfüllen und sich vor Magecart-, Formjacking-, Digital Skimming- und PII-Harvesting-Angriffen schützen, indem die Überwachung von Webseiten auf verdächtigen Code automatisiert wird, umsetzbare Warnungen generiert werden und die Datenexfiltration sofort mit einer Ein-Klick-Mitigation gestoppt wird.

Weitere Informationen dazu, wie Sie die Privatsphäre Ihrer Kunden und Ihr Unternehmen vor Compliance-Verstößen schützen und gleichzeitig das Vertrauen der Verbraucher und den Ruf Ihrer Marke bewahren können, finden Sie in dieser Lösungsübersicht oder in dieser Produktdemo.