PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Anfang dieses Jahres hat der PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung rollenbasierter Sicherheitsschulungen und regelmäßiger Schulungen zur sicheren Codierung für Entwickler.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Ressourcen für den Einstieg
Equipping Developers for the Generative AI Era: Our Strategic Collaboration with AWS
I am proud to announce that Secure Code Warrior has signed a strategic collaboration agreement with Amazon Web Services (AWS). Given the rapid evolution of the threat landscape, this strategic collaboration could not come at a more mission-critical moment for both security leaders and future-focused developers.
Securing the Future of Software: Why Secure Code Warrior and KnowBe4 Are Joining Forces
I am thrilled to announce today an upcoming strategic partnership between Secure Code Warrior and KnowBe4. KnowBe4 is a world-renowned leader in comprehensively managing human and agentic AI risk, making them the perfect partner to help us distribute foundational security awareness to organizations across the globe.
Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.
