F5 Distributed Cloud Client-Side Defense bereitet Kunden auf PCI DSS v4.0.1 vor

In den letzten Jahren haben Formjacking und Magecart-Angriffe zu den größten Bedrohungen im E-Commerce- und digitalen Zahlungsbereich geführt. Bei diesen clientseitigen Angriffen werden vertrauliche Daten wie Kreditkartennummern, Anmeldedaten und personenbezogene Daten (PII) unbemerkt direkt aus den Browsern der Benutzer abgegriffen, ohne jemals die Server des Unternehmens zu berühren. Die Angriffe umgehen herkömmliche Perimeter- und serverseitige Abwehrmaßnahmen, indem sie schädliches JavaScript in Skripte von Drittanbietern oder direkt in den Front-End-Code einschleusen.

Beim Formjacking wird schädliches JavaScript in Online-Formulare eingeschleust, um Benutzereingaben auf Browserebene zu erfassen. Dies geschieht häufig durch Ausnutzen von Schwachstellen in Skripten von Drittanbietern oder Content Delivery Networks (CDNs), was die Erkennung mithilfe serverseitiger Sicherheitstools erschwert.

Magecart ist ein Überbegriff für eine Reihe von Cyberkriminellengruppen, die auf Web-Skimming spezialisiert sind. Diese Cyberkriminellengruppen kompromittieren E-Commerce-Sites typischerweise, indem sie JavaScript-Code einschleusen, der beim Bezahlvorgang Zahlungsdaten stiehlt. Diese gestohlenen Daten werden dann in von Angreifern kontrollierte Domänen exfiltriert und dabei oft verschleiert oder hinter legitim aussehenden Anfragen versteckt.

Beide Angriffsarten haben einen gemeinsamen Vektor: den Browser. Und ihr Erfolg hängt davon ab, wie wenig Einblick die Organisationen in die tatsächlichen Vorgänge auf der Clientseite haben.

Mit der Veröffentlichung des Payment Card Industry Datensicherheit Standard (PCI DSS) v4.0.1 geht das PCI Security Standards Council direkt auf die wachsende Bedrohung durch clientseitige Angriffe ein. Zum ersten Mal enthält der PCI SSC mit Wirkung zum 31. März 2025 zwei clientseitige Anforderungen, um diesen neuen Angriffsvektor direkt anzugehen:

Anforderung 6.4.3: Alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, werden wie folgt verwaltet:

• Es ist eine Methode implementiert, um zu bestätigen, dass jedes Skript autorisiert ist.
• Es wird eine Methode implementiert, um die Integrität jedes Skripts sicherzustellen.
•  Es wird ein Inventar aller Skripte geführt, mit einer schriftlichen geschäftlichen oder technischen Begründung, warum jedes Skript erforderlich ist.

Anforderung 11.6.1 – Ein Mechanismus zur Änderungs- und Manipulationserkennung wird wie folgt eingesetzt:

• Um das Personal auf nicht autorisierte Änderungen (einschließlich Anzeichen einer Gefährdung, Änderungen, Ergänzungen und Löschungen) an den sicherheitsrelevanten HTTP-Headern und den Skriptinhalten der Zahlungsseiten aufmerksam zu machen, wie sie vom Browser des Verbrauchers empfangen werden.
• Der Mechanismus ist so konfiguriert, dass er die empfangenen HTTP-Header und Zahlungsseiten auswertet.

Diese neuen Mandate berücksichtigen eine grundlegende Wahrheit: Clientseitige Skripte sind jetzt ein kritischer Teil der PCI-Angriffsfläche. Für viele Unternehmen ist die Erfüllung dieser Anforderungen jedoch mit betrieblichen und technischen Hürden verbunden, insbesondere angesichts der dynamischen Natur von JavaScript-Ökosystemen und der Abhängigkeit von Diensten Dritter.

Herkömmliche Web Application Firewalls (WAFs), Security Information and Event Management-Lösungen (SIEMs) und Endpunkt-Tools werden auf dem Server- oder Netzwerkperimeter ausgeführt. Ihnen fehlt die Einsicht in die endgültige Ausführungsumgebung: den Browser des Benutzers. Ist Schadcode erst einmal eingeschleust – sei es durch einen kompromittierten Tag-Manager, ein CDN oder einen Angriff auf die Lieferkette eines Drittanbieters –, übersehen serverseitige Tools die Sicherheitslücke häufig vollständig. Hier kommt F5 Distributed Cloud Client-Side Defense ins Spiel greift ein.

Im Gegensatz zu serverseitigen Tools wird Distributed Cloud Client-Side Defense im Browser selbst ausgeführt und bietet Echtzeitüberwachung, Integritätsvalidierung und Warnungen bei bösartigem Verhalten, sobald es auftritt. Und wir haben den Dienst vor Kurzem aktualisiert, sodass er speziell auf die in den PCI DSS v4.0.1-Anforderungen 6.4.3 und 11.6.1 beschriebenen Bedrohungen zugeschnitten ist.

So hilft es:

• Skriptinventar und Autorisierung :  Distributed Cloud Client-Side Defense verfolgt und verwaltet kontinuierlich ein Inventar aller auf Zahlungsseiten ausgeführten Skripts – Erstanbieter- und Drittanbieter-Skripts. Organisationen können eine Zulassungsliste mit Skripten und schriftlichen Begründungen erstellen und werden benachrichtigt, wenn neue oder nicht autorisierte Skripte auftauchen. Dies trägt dazu bei, die Einhaltung von 6.4.3 nachzuweisen.
• Validierung der Skriptintegrität:  Distributed Cloud Client-Side Defense validiert die Integrität von Skripten, indem es die Laufzeit der Application instrumentiert, um auf bedeutsame Verhaltensänderungen zu achten, die auf unerwartetes und potenziell bösartiges Verhalten hinweisen, insbesondere neue Netzwerkanforderungen und neue Datenzugriffe.
• · Überwachung des HTTP-Headers mit Auswirkungen auf Skripts und Sicherheit :  Distributed Cloud Client-Side Defense überprüft regelmäßig Skripte und HTTP-Header mit Auswirkungen auf die Sicherheit auf nicht autorisierte Änderungen und gibt bei erkannten Änderungen eine Warnung aus, um Unternehmen dabei zu helfen, die Einhaltung von 11.6.1 nachzuweisen.
• Exfiltrationserkennung: Erweiterte Bedrohungsmodelle überwachen ausgehende Anfragen auf Anzeichen einer Datenexfiltration. Wenn ein Skript versucht, erfasste Formulardaten an einen verdächtigen Endpunkt zu senden, werden Warnungen ausgelöst und Unternehmen können direkte Gegenmaßnahmen ergreifen, um Netzwerkaufrufe und das Lesen von Formularfeldern zu blockieren.
• Unternehmenstaugliche Warnungen und Berichte : Sicherheits- und Compliance-Teams erhalten umfassende Telemetriedaten zum Skriptverhalten, zu Domänenbeziehungen und browserseitigen Datenflüssen – ideal für PCI-Audit-Trails und forensische Untersuchungen.