PCI DSS: Sicher online bezahlen mit Kreditkarte

Kreditkarte

Kreditkartenzahlungen gehören nach wie vor zu den beliebtesten Zahlungsarten im Onlinehandel – und gleichzeitig zu den attraktivsten Zielen für Cyberangriffe. Für Shopbetreiber:innen heißt das: Wer Kreditkarten akzeptiert, übernimmt Verantwortung. Für seine Kund:innen. Und für sich selbst.

Denn Sicherheitslücken an der Checkout-Seite oder in der Payment-Integration führen nicht nur zu Reputationsschäden – sie haben auch direkte Konsequenzen: von Rückbuchungen und Sperrungen über Vertragsstrafen bis hin zu massiven Datenschutzverstößen.

Um diese Risiken zu minimieren, gelten für Händler verbindliche Sicherheitsstandards – allen voran der international anerkannte Payment Card Industry Data Security Standard (PCI DSS). Die aktuelle Version 4.0 stellt dabei klar: 

Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess

Doch wo genau lauern die typischen Schwachstellen im Zahlungsprozess – und wie lassen sie sich absichern?

Was ist PCI DSS – und warum betrifft es mich?

Der PCI DSS wurde entwickelt, um Sicherheitslücken im Zahlungsprozess systematisch zu vermeiden – und Unternehmen stärker in die Verantwortung zu nehmen. 

Auch wenn es sich nicht um ein staatliches Gesetz handelt, sind Unternehmen durch ihre Verträge mit Zahlungsdienstleistern oder Acquirern verpflichtet, den Standard einzuhalten. Ohne gültigen PCI-DSS-Nachweis drohen im Ernstfall Bußgelder, Reputationsschäden oder der Verlust der Kartenakzeptanz.

Die aktuelle PCI Version 4.0 ist seit März 2024 in Kraft. Mit dem begleitenden Update 4.0.1 (Juni 2024) wurden einige Punkte präzisiert, ohne neue Anforderungen hinzuzufügen. 

Wichtig: Seit dem 31. März 2025 gelten nun auch alle zuvor als Best Practice gekennzeichneten Maßnahmen als verpflichtend. Das betrifft insbesondere regelmäßige Schwachstellenscans und technische Schutzmaßnahmen, die in vielen E-Commerce-Systemen bislang nur unzureichend umgesetzt sind.

👉 Tipp: Eine stets aktuelle Übersicht über die Anforderungen bietet die offizielle Dokumentenbibliothek des PCI Security Standards Council.

PCI Compliance: Sicherheit als kontinuierlicher Prozess in E-Commerce-Unternehmen

Die aktuelle Fassung der PCI DSS verfolgt vier übergeordnete Ziele:

  1. Den Standard an aktuelle Bedrohungslagen anpassen

  2. Flexiblere Methoden zur Erreichung von Sicherheit ermöglichen

  3. Sicherheit als kontinuierlichen Prozess im Unternehmen verankern

  4. Die Validierung robuster und aussagekräftiger gestalten

Gerade der dritte Punkt ist für viele Onlinehändler ein wichtiger Denkanstoß. Denn statt einmal jährlich Checklisten abzuhaken, verlangt PCI DSS 4.0 einen dauerhaften, strukturierten Umgang mit IT-Sicherheit – von der Technik bis zur Organisation.

Wie läuft ein ASV-Scan konkret ab?

Ein zentrales Element der PCI-Anforderungen ist der vierteljährliche Schwachstellenscan durch einen Approved Scanning Vendor (ASV). Dabei wird die öffentlich erreichbare Infrastruktur eines Shopsystems auf bekannte Sicherheitslücken geprüft – etwa offene Ports, veraltete Dienste oder Konfigurationsfehler.

Der Scan darf nur von zertifizierten Dienstleistern durchgeführt werden. Zugelassene Anbieter in Deutschland sind aktuell:

Nach einem bestandenen Scan (Status: „PASS“) kann ein Nachweis-Zertifikat heruntergeladen und beim Payment Service Provider (PSP) hinterlegt werden.

Welche Schwachstellen treten in der Praxis besonders häufig auf?

Die häufigsten Schwachstellen treten an zwei Stellen auf: im Frontend beim Bezahlen und in der zugrunde liegenden Infrastruktur.

Die Scan-Reports zeigen immer wieder ähnliche Muster:

  • Offene Ports oder IPs, die unnötig aus dem Internet erreichbar sind

  • Unsichere Remote-Zugänge, z. B. ohne Whitelist oder nur mit Passwortschutz

  • Veraltete Systemkomponenten ohne aktuelle Sicherheitspatches

  • Angriffsvektoren wie SQL-Injections oder Cross-Site-Scripting

  • Fehlende Zugangsbeschränkungen (z. B. bei Admin-Bereichen oder APIs)

  • Nicht dokumentierte oder fehlende Trennung von Test- und Produktivsystemen

  • Öffentliche Erreichbarkeit von sicherheitsrelevanten Systemen wie Datenbanken oder internen Services

Viele dieser Schwächen lassen sich durch gezielte Maßnahmen beheben:

  • Zugriff nur per SSH oder IP-Whitelist

  • Regelmäßiges Patch-Management

  • Dokumentation von geplanten Updates

  • Strikte Trennung von Test- und Produktivsystemen

  • Minimierung öffentlich erreichbarer IPs und Dienste

  • Monitoring und Logging aller sicherheitsrelevanten Zugriffe

Warum spielt die Hosting-Umgebung eine zentrale Rolle für sichere Online-Zahlungen?

In Standard-Shopsystemen mit offiziellen Payment-Plugins – etwa Shopware 6 mit dem Payone-Plugin – lassen sich die technischen Anforderungen meist problemlos umsetzen.

Komplexer wird es bei individuell entwickelten Integrationen, z. B. bei API-Anbindungen oder Sonderlogiken im Checkout. Hier sind häufig zusätzliche Konfigurationen nötig, damit der ASV-Scan erfolgreich verläuft.

Während klassische Hoster wie Profihost oder maxcluster mit Workarounds und Kommentierungen im ASV-Protokoll arbeiten, setzen hochspezialisierte Anbieter wie Decent Network auf vollständig maßgeschneiderte Setups.

Fazit: Die Wahl des Hostingpartners ist ein zentraler Erfolgsfaktor für PCI-DSS-Compliance, besonders bei komplexen Systemlandschaften.

Wie bereite ich mich optimal auf den PCI-Scan vor? – Tipps und Checkliste

Wichtige Hinweise für die Durchführung:

  • Kein Testmodus: Der Scan läuft immer auf produktiven Systemen. Wiederholungen sind meist nötig – aber in der Regel kostenlos.

  • Kommentarpflicht: Findings lassen sich durch fundierte, englischsprachige Kommentare erklären.

  • Englisch als Standardsprache: Sowohl der Bericht als auch alle Kommentare müssen auf Englisch eingereicht werden.

Textbausteine nutzen: Viele ASV-Anbieter stellen vorformulierte Kommentarmodule bereit – das spart Zeit und reduziert Rückfragen.

Checkliste für einen erfolgreichen PCI-DSS-Schwachstellenscan

Fazit: PCI DSS erfordert Verantwortung – und den richtigen Rahmen

PCI DSS ist kein lästiger Mehraufwand, sondern eine Grundvoraussetzung für sichere Online-Zahlungen. Wer Kreditkarten akzeptiert, muss nicht nur Technik, sondern auch Prozesse und Infrastruktur im Blick behalten.

Ob Standardsystem oder individuelle Integration: Eine gut vorbereitete Hosting-Umgebung, strukturierte Sicherheitsmaßnahmen und erfahrene Partner machen den Unterschied – und sorgen dafür, dass Sicherheit nicht nur auf dem Papier existiert, sondern im Alltag wirkt.

Cyber SecurityPayment
Connect

Sie wollen Ihre Zahlungsprozesse professionell absichern?

Wir unterstützen Sie – von der Sicherheitsanalyse über technische Umsetzung bis zur begleitenden PCI-Zertifizierung.

reger@digitalmanufaktur.com

Jetzt unverbindlich anfragen+49 511 - 76 38 44 90