Jetzt handeln: Neue PCI DSS v4.0-Anforderungen zielen auf browserbasierte Angriffe ab

Achtung Online-Händler und E-Commerce-Anbieter: Wenn es um den Schutz clientseitiger Daten und Online-Zahlungen vor digitalem Skimming und Magecart-Angriffen geht, gibt es eine neue Autorität.

Im März 2022 veröffentlichte das Security Standards Council der Payment Card Industry (PCI) eine überarbeitete Version seines Datensicherheitsstandards PCI DSS v4.0, der die Mindestsicherheitsanforderungen festlegt, die Händler bei der Speicherung, Verarbeitung und Übertragung von Karteninhaberdaten erfüllen müssen. Die überarbeiteten Anforderungen umfassen eine Reihe von Verbesserungen zur Gewährleistung sicherer Online-Transaktionen und zum Schutz von Verbrauchern, Unternehmen und Kartenausstellern bei kommerziellen Online-Transaktionen.

Die neuen Anforderungen konzentrieren sich auf die Notwendigkeit, browserbasierte JavaScript-Bibliotheken von Drittanbietern zu überwachen und zu verwalten, die in E-Commerce-Websites integriert sind, um sofort einsatzbereite Funktionen wie iFrames zur Zahlungsabwicklung, Chatbots, Werbung, Schaltflächen zum Teilen in sozialen Netzwerken und Tracking-Skripte bereitzustellen. Diese JavaScript-Bibliotheken helfen Unternehmen zwar dabei, die Website-Entwicklung zu beschleunigen, sie stellen jedoch auch eine breite Angriffsfläche für Cyberkriminelle dar, da diese Skripte durch digitales Skimming und Magecart-Angriffe leicht kompromittiert werden können, um Anmeldeinformationen, Kreditkarteninformationen und andere personenbezogene Daten zu stehlen.

Diese Verstöße sind zwar eindeutig schädlich für die betrogenen Verbraucher, aber auch schlecht für Ihr Unternehmen, da sie zu Compliance-Verstößen, Umsatzeinbußen, Kursrückgängen, feindseligen Bewertungen in den sozialen Medien und einer Schädigung des Markenwerts führen können.   

Obwohl die Einhaltung der neuen PCI DSS 4.0-Anforderungen erst im Jahr 2025 vorgeschrieben ist, sollten Sie nicht warten! Die Arten von Angriffen, auf die sich die Anforderungen beziehen, finden bereits heute statt. Jetzt ist es an der Zeit, den Ruf Ihres Unternehmens und Ihre Kunden vor Angriffen und Betrug zu schützen, indem Sie die erweiterten Schutzmaßnahmen so schnell wie möglich umsetzen.

Welche Gefahren bestehen durch clientseitige Angriffe?

Vor nicht allzu langer Zeit wurden kommerzielle Webanwendungen als monolithische Codestücke erstellt, die von einem lokalen Webserver bereitgestellt wurden. Die modernen Web-Anwendungen von heute unterscheiden sich jedoch stark davon. Sie werden häufig durch die Aneinanderreihung von JavaScript-Bibliotheken von Drittanbietern entwickelt, wobei ein Großteil der Verarbeitung clientseitig im Browser des Endverbrauchers erfolgt. Schätzungsweise 70–80 % einer typischen Webseite bestehen aus Bibliotheken von Drittanbietern, und einige dieser Skripte enthalten Code aus einem anderen Satz von Drittanbieter-Skripten. Diese lange Kette von Codeabhängigkeiten bedeutet, dass Unternehmen kaum Einblick in den Code haben oder ihn kaum kontrollieren können, der tatsächlich auf ihren Websites ausgeführt wird.

Bedrohungsakteure sind sich bewusst, dass Unternehmen aufgrund des Umfangs und Ausmaßes dieser N-Party-Abhängigkeiten Schwierigkeiten haben, den in ihrer Umgebung ausgeführten Code ordnungsgemäß zu verwalten, zu verfolgen und zu sichern, und nicht einmal erkennen können, wenn sich Code geändert hat oder ausgenutzt wird. Dieser Mangel an Transparenz bietet Cyberkriminellen die Möglichkeit, schädliche Skripte in den Code einer legitimen Webseite oder Webanwendung einzuschleusen und Angriffe zu starten, um Benutzersitzungen abzufangen, zu manipulieren und zu kapern. Sie sind dann in der Lage, personenbezogene Daten und Zahlungsinformationen abzugreifen, die Kontrolle über Websites zu übernehmen und diese zu verunstalten, gefälschte Inhalte bereitzustellen, neue Formulare zu erstellen oder legitime Formulare zu verändern – was alles den Boden für Betrug und die Übernahme von Konten bereiten kann.

Was PCI DSS v4.0 erfordert

Der überarbeitete Standard identifiziert insbesondere Verbesserungen der clientseitigen Websicherheit als entscheidend für jedes Unternehmen, das Online-Zahlungen akzeptiert. Der Standard schreibt vor, dass alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, umfassend verwaltet werden müssen. Konkret verlangt der neue Standard 6.4.3 von E-Commerce-Anbietern die Umsetzung von:

• Eine Methode zur Bestätigung, dass jedes Skript autorisiert ist
• Eine Methode zur Gewährleistung der Integrität jedes Skripts
• Eine Bestandsaufnahme aller Skripte mit schriftlicher Begründung, warum jedes Skript notwendig ist

Der neue Standard erfordert, dass Händler ihre Richtlinien und Verfahren überprüfen, um sicherzustellen, dass Prozesse für die Verwaltung aller Zahlungsseitenskripte definiert sind, die im Browser des Verbrauchers geladen und ausgeführt werden. Sie müssen außerdem verantwortliches Personal befragen sowie Bestandsaufzeichnungen und Systemkonfigurationen prüfen, um sicherzustellen, dass alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, in Übereinstimmung mit allen in dieser Anforderung angegebenen Elementen verwaltet werden.

Darüber hinaus verlangt Abschnitt 11.6 des überarbeiteten Standards, dass unbefugte Änderungen auf Zahlungsseiten erkannt und darauf reagiert wird. Dies erfordert einen Mechanismus zur Änderungs- und Manipulationserkennung, der das Personal auf nicht autorisierte Änderungen an den HTTP-Headern und dem Inhalt der Zahlungsseiten aufmerksam macht, die vom Browser des Verbrauchers empfangen werden. Die Konfigurationseinstellungen müssen mindestens alle sieben Tage oder in der in der Risikoanalyse der Organisation festgelegten Häufigkeit überprüft werden.

Das Erfüllen dieser Anforderungen mit manuellen oder veralteten Lösungen ist kostspielig und ressourcenintensiv. Da Zahlungsformular-Skripte auf der Clientseite ausgeführt werden, haben Händler kaum Einblick in ihr Verhalten, wodurch Schadcode leicht unentdeckt bleiben kann. Darüber hinaus haben Händler wenig Kontrolle über Code von Drittanbietern, etwa über die dynamischen JavaScript-Bibliotheken, die Webseitenfunktionen wie Zahlungsprozessoren, Cookie-Einverständniserklärungen, Chatbots oder Werbetracker betreiben, weil diese häufig aktualisiert und geändert werden, oft ohne das Wissen des Händlers.

Vorhandene Erkennungstechniken wie Sub-Resource Integrity (SRI), das Integritätsprüfungen durchführt, um sicherzustellen, dass Skripte nicht manipuliert wurden, und Content Security Policy (CSP), die die Standorte einschränken, von denen Browser ein Skript laden und wohin sie Daten senden können, reichen nicht mehr aus, um die sich ständig ändernden Web-Anwendungen von heute zu schützen.

Unterstützen Sie Ihr Unternehmen bei der Einhaltung von PCI DSS v4.0, und zwar so schnell wie möglich

Es gibt keinen Grund, mit der Erfüllung der Sicherheitsanforderungen des PCI DSS v4.0 bis 2025 zu warten. Handeln Sie jetzt, um Ihr Unternehmen vor Angriffen und Ihre Kunden vor Betrug und Kontoübernahme zu schützen.

Mit F5 Distributed Cloud Client-Side Defense können Sie die neuen PCI DSS v4.0-Anforderungen sofort erfüllen und sich vor Magecart-, Formjacking-, Digital Skimming- und PII-Harvesting-Angriffen schützen, indem die Überwachung von Webseiten auf verdächtigen Code automatisiert wird, umsetzbare Warnungen generiert werden und die Datenexfiltration sofort mit einer Ein-Klick-Mitigation gestoppt wird.

Weitere Informationen dazu, wie Sie die Privatsphäre Ihrer Kunden und Ihr Unternehmen vor Compliance-Verstößen schützen und gleichzeitig das Vertrauen der Verbraucher und den Ruf Ihrer Marke bewahren können, finden Sie in dieser Lösungsübersicht oder in dieser Produktdemo.