PCI-DSS 4.0 wird schneller kommen, als Sie denken, und es ist eine Gelegenheit, die Cyber-Resilienz Ihres Unternehmens zu verbessern
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Anfang dieses Jahres hat der PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung rollenbasierter Sicherheitsschulungen und regelmäßiger Schulungen zur sicheren Codierung für Entwickler.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Er wurde hier aktualisiert und syndiziert.
Anfang dieses Jahres hat das PCI Security Standards Council die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) vorgestellt. Auch wenn Unternehmen die Version 4.0 erst im März 2025 vollständig erfüllen müssen, ist diese Aktualisierung die bisher einschneidendste und erfordert von den meisten Unternehmen eine Bewertung (und wahrscheinlich ein Upgrade) komplexer Sicherheitsprozesse und Elemente ihres technischen Stacks. Dies geschieht zusätzlich zur Implementierung von rollenbasierten Sicherheitsschulungen und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der von Menschen gesteuerten Cyber-Resilienz einzuläuten.
Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?
Genauso wie das Sicherheitsprogramm eines Unternehmens allumfassend ist, mit Feinheiten, die auf die jeweiligen geschäftlichen Anforderungen und verfügbaren Ressourcen abgestimmt sind, decken die neuen PCI DSS-Standards ein weites Feld ab. Sie zeigen jedoch eine deutliche Verschiebung in Richtung Flexibilität bei den Ansätzen zur Erfüllung der Sicherheitsanforderungen, und das ist in einer Branche, in der sich Tools, Bedrohungen, Strategien und Maßnahmen zur Einhaltung der Vorschriften im Handumdrehen ändern können, von großer Bedeutung.
PCI DSS 4.0 umfasst das Konzept, dass es viele Wege gibt, um das gleiche Ziel von luftdichten Best Practices für die Sicherheit zu erreichen. Das ist richtig, aber es scheint am besten für Organisationen mit fortgeschrittener Sicherheitsreife geeignet zu sein und lässt viel Raum für Fehler, insbesondere für diejenigen, die ihre tatsächliche interne Sicherheitsreife nicht realistisch eingeschätzt haben assessment . Letztendlich müssen Unternehmen bereit sein, Sicherheit als einen kontinuierlichen, sich entwickelnden Prozess zu betrachten und nicht als eine einmalige Übung zum Einstellen und Vergessen". Eine starke Sicherheitskultur ist ein Muss, mit einer unternehmensweiten Verpflichtung zum Sicherheitsbewusstsein.
Diejenigen, die an den Werkzeugen auf der Code-Ebene arbeiten - die Entwickler - müssen in die Lage versetzt werden, in jeder Geschäftsumgebung, in der digitale Werte und Transaktionen verarbeitet werden, konforme und sichere Software zu liefern.
Sind Ihre Entwickler darauf vorbereitet, konforme Software zu liefern?
Entwickler sind ein integraler Bestandteil des Erreichens eines hervorragenden Zustands der Softwaresicherheit, und dies ist besonders relevant für mehr als nur die Einhaltung von PCI DSS-Token. Es ist von entscheidender Bedeutung, dass Entwickler das breitere Bild von PCI DSS 4.0 in Bezug darauf verstehen, was sie kontrollieren und als Teil ihres Standardansatzes in eine Softwareerstellung integrieren können.
Die für das Entwicklungsteam relevantesten Änderungen betreffen drei Schlüsselbereiche, die sich wie folgt aufschlüsseln lassen:
- Authentifizierung: Ein praktikabler Plan für die Zugangskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität, aber Version 4.0 setzt noch einen drauf und erfordert eine sorgfältige Implementierung sowohl intern als auch extern. Die Multi-Faktor-Authentifizierung (MFA) wird zum Standard, ebenso wie verschärfte Regeln für Passwortkomplexität und Timeouts.
Da Authentifizierungs- und Zugangskontroll-Sicherheitsprobleme nun die häufigsten Probleme sind, mit denen ein durchschnittlicher Entwickler konfrontiert wird, ist es zwingend erforderlich, dass eine präzise Schulung durchgeführt wird, um diese Probleme im eigentlichen Code zu erkennen und zu beheben. - Verschlüsselung und Schlüsselverwaltung: Wir leben in einer Welt, in der wir auf einige unserer sensibelsten Daten über mehrere Zugangspunkte zugreifen können, z. B. über unser Online-Banking. Da diese hochwertigen Daten gefährdet sind, sind Verschlüsselung und starke Kryptografieverfahren ein Muss. Die Entwickler müssen sicherstellen, dass sie immer auf dem Laufenden sind, wo die Daten übertragen werden, wie die Benutzer auf sie zugreifen können und dass sie selbst dann, wenn sie in die falschen Hände geraten, für Bedrohungsakteure unlesbar sind.
- Bösartige Software: In den vorangegangenen Leitlinien wurden Sicherheitskontrollen zum Schutz vor bösartigem Code als "Antiviren-Software" bezeichnet, was jedoch zu sehr vereinfacht, da es sich um einen mehrschichtigen Ansatz handelt, der weit mehr als nur Viren abdeckt. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo es notwendig ist, und eine kontinuierliche Protokollierung und Überwachung ist obligatorisch.
Außerdem ist es wichtig, dass die Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten abdecken, zumal die meisten Codebasen zumindest teilweise auf den Code von Drittanbietern angewiesen sind.
Was ist eine "ausreichende" Schulung für Entwickler?
Ähnlich wie frühere Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler "mindestens" jährlich geschult werden. Wenn man jedoch davon ausgeht, dass einmal im Jahr ein Berührungspunkt für die Erstellung sicherer Software ausreicht, ist dies bei weitem nicht ausreichend und wird wahrscheinlich nicht zu sicherer, konformer Software führen.
Die Ausbildung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 sowie in allen anderen Schwachstellen beginnen, die für die Sprache relevant und geschäftskritisch sind. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und die Sicherheit nicht nur von Anfang an in die Softwareentwicklung, sondern auch in die Denkweise und die Herangehensweise an ihre Rolle einzubetten. Darüber hinaus müssen die Rollen und Verantwortlichkeiten für die Entwickler und ihre Vorgesetzten eindeutig geklärt sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie ordnungsgemäß erfüllt werden können.
Mit der Vorlaufzeit, die für die Vorbereitung auf die Einhaltung von PCI DSS 4.0 zur Verfügung steht, ist es möglich, erhebliche Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für die Entwicklung der sicherheitsbewusstesten Entwicklungsgruppe, die Sie je hatten.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
