Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Post-Quanten-Kryptographie

Vorbereitung auf morgen: Die Rolle von PCI DSS 4.0 beim Übergang zur quantensicheren Kryptografie

Geschrieben vonParnashree Saha 6 Мinuten
Datensicherheitsstandard der Zahlungskartenindustrie
Inhaltsverzeichnis

Was ist PCI DSS?

PCI DSS steht für Payment Card Industry Data Security Standard. Es handelt sich um eine Reihe von Sicherheitsstandards, die sicherstellen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übermitteln, eine sichere Umgebung gewährleisten. Dieser Standard wurde entwickelt, um sensible Zahlungskartendaten, wie z. B. Kreditkartennummern, vor Diebstahl und Betrug zu schützen.

Das Payment Card Industry Data Security Standard (PCI DSS) ist eine Sammlung von Sicherheitsprotokollen, die 2004 in Zusammenarbeit zwischen Visa, MasterCard, Discover Financial Services, JCB International und American Express entwickelt wurden. Dieses vom Payment Card Industry Security Standards Council (PCI SSC) regulierte Compliance-Framework soll Kredit- und Debitkartentransaktionen vor unbefugtem Zugriff schützen. Datenverstößeund betrügerische Aktivitäten.

Was ist PCI DSS v4.0?

PCI DSS ist die nächste Evolutionsstufe des Payment Card Industry Data Security Standard (PCI DSS). Mit der neuen Version sind die folgenden übergeordneten Ziele des PCI Standards Security Council für PCI v4.0 festgelegt.

  • Erfüllen Sie weiterhin die Sicherheitsanforderungen der Zahlungsbranche
  • Fördern Sie die Sicherheit der Karteninhaber als kontinuierlichen Prozess.
  • Fügen Sie Flexibilität und Unterstützung anderer Methoden hinzu, um die Zahlungssicherheitsansätze zu verbessern.
  • Verbesserte Validierungsmethoden und -verfahren zur Optimierung des Compliance-Prozesses.

Darüber hinaus werden folgende technische Bereiche für mögliche Anpassungen im Rahmen von PCI DSS 4.0 berücksichtigt:

  • Authentifizierungsprotokolle und Passwortempfehlungen.
  • Verbesserte Kriterien zur Systemüberwachung.
  • Anleitung zur Implementierung von Multi-Faktor-Authentifizierungsmaßnahmen.

Erfahren Sie mehr über die PCI DSS 4.0-Anforderungen werden auf dieser Seite erläutert

Zeitplan für die Implementierung von PCI DSS 4.0

Hier erfahren Sie, was Sie zum Einstieg benötigen PCI-DSS 4.0.

31. MÄRZ 2022

PCI DSS 4.0-Version

31. MÄRZ 2024

PCI DSS 3.2.1 außer Dienst gestellt. Best Practices-Anforderungen 4.0

31. MÄRZ 2025

PCI DSS 4.0 Best Practices-Anforderungen obligatorisch

Vorbereitung auf die Post-Quanten-Kryptografie (PQC) mit PCI DSS 4.0.

Das Weiße Haus veröffentlichte das „National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems“, auch bekannt als NSM-10. NSM-10 diskutiert ausführlich die Reduzierung der Risiken, die Quantencomputer für Verschlüsselung. Es beschreibt verschiedene Schritte, die Bundesbehörden befolgen müssen, wenn das National Institute of Standards and Technology (NIST) neue Post-Quantenkryptographie (PQC) Codes im Jahr 2024.

Der Zeitplan für die formelle Einführung von NSM-10 im privaten Sektor ist nicht bekannt. Organisationen, die PCI DSS-Konformität haben bereits die Anforderungen 12.3.3. Bei PCI wird DSS 4.0 nach dem 31. März 2025 obligatorisch; bis dahin ist es optional und kann als Best Practice angesehen werden.

PQC-Beratungsdienste

Erreichen Sie die Post-Quanten-Bereitschaft mit einer von Experten geleiteten kryptografischen Bewertung, einer Migrationsstrategie und einer praktischen Implementierung gemäß den NIST-Standards.

Mehr erfahren

Definierter Ansatz durch PCI DSS 4.0 für kryptografische Verschlüsselungssammlungen und Protokollanforderungen (12.3.3)

Die verwendeten kryptografischen Chiffrensammlungen und Protokolle werden mindestens alle 12 Monate dokumentiert und überprüft, wobei mindestens Folgendes zu berücksichtigen ist:

  • Ein aktuelles Inventar aller kryptografischen Chiffrensammlungen und Protokolle, einschließlich Zweck und Einsatzort.
  • Aktive Überwachung von Branchentrends hinsichtlich der fortgesetzten Lebensfähigkeit aller kryptografischen Verschlüsselungssammlungen und Protokolle.
  • Eine dokumentierte Strategie zur Reaktion auf erwartete Änderungen bei kryptografischen Schwachstellen.

Testverfahren (12.3.3)

Untersuchen Sie die Dokumentation der verwendeten kryptografischen Suiten und Protokolle, befragen Sie das Personal, um die Dokumentation zu verifizieren, und überprüfen Sie sie, um sicherzustellen, dass sie alle in der PCI DSS 4.0-Anforderung angegebenen Elemente erfüllt. 

Warum ist die Planung für Post-Quanten-Kryptografie (PQC) wichtig?

Protokolle und Verschlüsselungsstärken können sich aufgrund von Schwachstellen oder Designfehlern schnell ändern oder veralten. Um aktuelle und zukünftige Datensicherheitsanforderungen zu erfüllen, müssen Unternehmen wissen, wo Kryptografie eingesetzt wird und wie sie schnell auf Änderungen reagieren können, die die Stärke ihrer kryptografischen Implementierungen beeinträchtigen.

Unternehmen müssen die Umstellung auf PQC verstehen und sich entsprechend darauf vorbereiten. Dazu gehört die Bewertung ihrer aktuellen kryptografischen Infrastruktur, die Identifizierung potenzieller Schwachstellen und die Planung der Einführung neuer Verschlüsselungsmethoden. Auf diese Weise können Unternehmen die Risiken veralteter Verschlüsselungstechniken minimieren und die Sicherheit sensibler Daten, insbesondere der Karteninhaberinformationen, gewährleisten.

Darüber hinaus ist die Anpassung kryptografischer Strategien an die PCI DSS 4.0-Anforderungen unerlässlich, um die Compliance aufrechtzuerhalten und Zahlungskartendaten zu schützen. Dazu gehört die Implementierung robuster Verschlüsselungsprotokolle, die Einhaltung bewährter Sicherheitspraktiken und die ständige Information über regulatorische Aktualisierungen.

NSM-10 sieht vor, dass die Behörden innerhalb eines Jahres nach Veröffentlichung der neuen Standards einen Migrationsplan für die Umstellung auf Post-Quantum-Kryptografie (PQC) entwickeln. Dieser Plan sollte Meilensteine ​​enthalten, die den Abschluss der Migration bis 2035 belegen.

Ein solcher Plan dient als Nachweis für den letzten Bestandteil der Anforderung 12.3.3: „Eine dokumentierte Strategie zur Reaktion auf erwartete Änderungen kryptografischer Schwachstellen.“ Der PQC-Migrationsplan befasst sich zwar mit Schwachstellen in der Kryptografie, die von Quantencomputern ausgenutzt werden können, doch müssen auch andere potenzielle kryptografische Schwachstellen analysiert werden. Entsprechende Minderungspläne müssen dokumentiert werden, um die vollständige Einhaltung der Anforderung 12.3.3 zu gewährleisten. Die Implementierung von PQC sollte Teil der Datenschutzstrategie jeder Organisation sein, die Geheimschrift.

Überwachung der wichtigsten Ereignisse und Anforderungen für den Übergang zu Post-Quanten-Kryptographie (PQC) und PCI DSS 4.0-Konformität:

Event-Beschreibung Zeitplan/Anforderungen
NIST veröffentlicht neue Standards für PQC In 2024
Vorschlag des Handelsministers zur Abschaffung des Zeitplans für quantenanfällige Chiffren 90 Tage nach der NIST-Veröffentlichung
Überprüfung und Anpassung des oben genannten Veraltungszeitplans Jährlich
Branchenüberwachung der Ergebnisse veralteter Chiffren Kontinuierliche Überwachung erforderlich
Überwachung der Durchführbarkeit kryptografischer Verschlüsselungen Laufende Beurteilung
Dokumentation der Überwachungsverfahren und -ergebnisse Das dokumentierte Verfahren mit Schlussfolgerungen
Unterstützung für PCI DSS 4.0-Konformität Erforderliche Nachweise für die Einhaltung
Aktionsplan für NIST-Abwertungen Ergänzt den Nachweis der PCI-Konformität

CBOM

Erhalten Sie vollständige Transparenz durch kontinuierliche kryptografische Erkennung, automatisierte Inventarisierung und datengesteuerte PQC-Sanierung.

Demo buchen

Fazit

Die Implementierung von PCI DSS 4.0 ist für Unternehmen entscheidend, um sich auf die Umstellung auf quantensichere Kryptografie vorzubereiten. Angesichts der zunehmenden Bedrohungen für die Cybersicherheit müssen Unternehmen ihre Sicherheitsstrategien aktualisieren, um neuen Risiken wirksam zu begegnen. Durch die Einhaltung der PCI DSS 4.0-Richtlinien und die ständige Aktualisierung der Branchenentwicklungen können Unternehmen sensible Daten proaktiv schützen, selbst angesichts der Fortschritte im Quantencomputing.

Dieser proaktive Ansatz stärkt die Sicherheitsmaßnahmen und schafft Vertrauen bei den Beteiligten in einer zunehmend digitalen Landschaft. Wachsamkeit und Bereitschaft sind der Schlüssel zum Schutz vor neuen Bedrohungen und zur Gewährleistung der kontinuierlichen Sicherheit von Zahlungskartendaten.

Zusammenfassend verlangt die PCI DSS 4.0-Anforderung 12.3.3 von Organisationen:

  • Eine dokumentierte Strategie zur Reaktion auf erwartete Änderungen bei kryptografischen Schwachstellen.
  • Jährliche Dokumentation und Überprüfung der verwendeten Kryptografie.
  • Eine aktuelle Bestandsaufnahme der Kryptografie, einschließlich Zweck und Einsatzort.
  • Aktive Überwachung der Durchführbarkeit der verwendeten Kryptografie.

Insgesamt betrachtet PCI DSS 4.0 bewährte Verfahren für das Kryptografiemanagement und die Krypto-Agilität, um schnell auf zukünftige Entwicklungen bei Schwachstellen in kryptografischen Protokollen reagieren zu können.

Referenzen: (Die Referenzliste bleibt in der wissenschaftlichen Zitierweise erhalten)

Nationales Sicherheitsmemorandum zur Förderung der Führungsrolle der Vereinigten Staaten im Quantencomputing bei gleichzeitiger Minderung der Risiken für anfällige kryptografische Systeme

PCI DSS v4.0-Ressourcen-Hub

Entdecken Sie unsere

Verwandte Blogs

pqc-deployed-on-iss

Leitfaden des CISO zur Planung und Durchführung der PQC-Migration

22. Juni 2026
kryptographisches Haltungsmanagement

Kryptografisches Statusmanagement erklärt: Einblick in die CBOM-Sicherheitsplattform

17. Juni 2026
kryptografische Konformität

Kryptografische Konformität: Wie CBOM Secure die relevanten Vorgaben erfüllt

16. Juni 2026

Entdecken

Weitere Themen