Wie oft muss ein PCI-DSS-Pentest durchgeführt werden?

Mindestens alle 12 Monate und zusätzlich nach jeder signifikanten Änderung an Infrastruktur oder Anwendungen der CDE. Wird Segmentierung genutzt, müssen Service Provider deren Wirksamkeit alle 6 Monate testen, andere Organisationen mindestens jährlich.

Was ist die Cardholder Data Environment (CDE)?

Die CDE umfasst alle Personen, Prozesse und Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen – inklusive direkt verbundener Systeme. Sie bestimmt den Scope des Penetrationstests.

Was ist ein Segmentierungstest?

Wenn die CDE durch Netzwerksegmentierung vom restlichen Netz getrennt wird, verlangt PCI DSS einen Test, der bestätigt, dass diese Trennung wirksam ist und keine Angriffspfade aus Out-of-Scope-Netzen in die CDE bestehen.

Welche PCI-DSS-Version gilt aktuell?

Aktuell ist PCI DSS v4.0 bzw. die Pflege-Version v4.0.1. Version 4.0 hat v3.2.1 abgelöst; die zukunftsdatierten Anforderungen sind seit dem 31. März 2025 verbindlich umzusetzen.

PCI DSS v4.0 · Requirement 11.4

PCI DSS Penetrationstest Pflicht nach Requirement 11.4

Q: Verlangt PCI DSS einen Penetrationstest?

Ja. Requirement 11.4 des PCI DSS fordert eine dokumentierte Pentest-Methodik sowie interne und externe Penetrationstests mindestens alle zwölf Monate und nach signifikanten Änderungen der Cardholder Data Environment.

Der PCI DSS (Payment Card Industry Data Security Standard) verlangt von allen Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen, regelmäßige interne und externe Penetrationstests. Wir liefern PCI-konforme Pentests inklusive Segmentierungsprüfung.

Kostenlose PCI-DSS-Erstberatung Penetrationstest

Was ist der PCI DSS?

Der PCI DSS ist der Sicherheitsstandard der Kreditkartenindustrie, herausgegeben vom PCI Security Standards Council (gegründet von u. a. Visa, Mastercard, American Express). Er definiert in zwölf übergeordneten Anforderungen, wie Karteninhaberdaten zu schützen sind. Die aktuelle Version ist v4.0 (bzw. v4.0.1).

Für Penetrationstests ist Requirement 11.4 maßgeblich: Es verlangt eine dokumentierte Pentest-Methodik sowie interne und externe Penetrationstests mindestens alle zwölf Monate und nach signifikanten Änderungen. Wird die Cardholder Data Environment (CDE) durch Segmentierung vom übrigen Netz getrennt, muss zusätzlich die Wirksamkeit dieser Segmentierung getestet werden.

Herausgeber

PCI SSC

Pflicht

Requirement 11.4

Turnus

mind. alle 12 Monate

Was verlangt Requirement 11.4?

Requirement 11.4 fordert einen strukturierten, wiederkehrenden Pentest-Prozess für die Cardholder Data Environment – auf Netzwerk- und Applikationsebene, von innen und außen.

Dokumentierte, anerkannte Pentest-Methodik (z. B. angelehnt an NIST SP 800-115)

Externer und interner Penetrationstest mindestens alle 12 Monate und nach signifikanten Änderungen

Prüfung auf Netzwerk- und Applikationsebene über den gesamten CDE-Perimeter

Segmentierungstest zur Bestätigung, dass die CDE wirksam isoliert ist (Service Provider: alle 6 Monate)

Der Weg zum PCI-Pentest-Nachweis

Scope & CDE

Karteninhaberdaten-Umgebung und Perimeter abgrenzen

Externer Pentest

Internetseitig erreichbare Systeme der CDE prüfen

Interner Pentest

Angriffspfade aus dem internen Netz in die CDE testen

Segmentierungstest

Wirksamkeit der Netz-Trennung bestätigen

Bericht & Re-Test

Findings beheben und prüffähig nachweisen

Konsequenzen bei Nichteinhaltung

Was droht ohne PCI-DSS-Konformität?

PCI DSS ist eine vertragliche Pflicht gegenüber Banken und Kartenanbietern. Verstöße werden über die Acquirer und Card Brands durchgesetzt – besonders teuer wird es nach einem Datenleck.

Vertragsstrafen

Fines durch Card Brands

Acquirer-Banken können bei Nichtkonformität monatliche Strafzahlungen verhängen und weiterreichen.

Höhere Haftung

Teure Folgen nach Datenpanne

Bei einem Vorfall ohne Nachweis der Konformität drohen Haftung, Forensik-Kosten, Wiederausstellung von Karten und Reputationsschaden.

Akzeptanzverlust

Verlust der Kartenakzeptanz

Im Extremfall kann die Fähigkeit, Kartenzahlungen zu akzeptieren, eingeschränkt oder entzogen werden.

Unsere PCI-DSS-Penetrationstests

Wir decken die in Requirement 11.4 geforderten Testarten ab – mit nachvollziehbarer, prüffähiger Dokumentation.

Externer Pentest

Prüfung der von außen erreichbaren Systeme der CDE auf ausnutzbare Schwachstellen.

Interner Pentest

Test der Angriffspfade aus dem internen Netzwerk in die Karteninhaberdaten-Umgebung.

Segmentierungstest

Nachweis, dass die CDE wirksam von Out-of-Scope-Netzen getrennt ist – wie von 11.4 gefordert.

Applikations-Pentest

Prüfung der zahlungsrelevanten Anwendungen auf Schwachstellen (passend zu Requirement 6).

Wer braucht einen PCI-DSS-Pentest?

PCI DSS betrifft jede Organisation, die Karteninhaberdaten speichert, verarbeitet oder überträgt – unabhängig von der Größe.

Händler (Merchants)

Online- und stationäre Händler, die Kartenzahlungen akzeptieren.

Payment Service Provider

Zahlungsdienstleister und Payment-Gateways mit Zugriff auf Kartendaten.

E-Commerce-Plattformen

Webshops und Plattformen, die Zahlungsdaten verarbeiten oder weiterleiten.

Service Provider

Dienstleister, die kartendatenrelevante Systeme für andere betreiben (verkürzter Segmentierungs-Turnus).

Unser Vorgehen

Ein klar strukturierter Prozess – von der ersten Beratung bis zum prüffähigen Nachweis.

Erstgespräch & Scoping

Kostenlos: Wir grenzen Ihre CDE ab und bestimmen den passenden Testumfang nach 11.4.

Externer & interner Pentest

Netzwerk- und Applikationsebene über den gesamten CDE-Perimeter.

Segmentierungstest

Bestätigung der wirksamen Isolierung der Karteninhaberdaten-Umgebung.

Bericht & Maßnahmen

Prüffähige Dokumentation mit priorisiertem Maßnahmenkatalog.

Re-Test

Nachtest der behobenen Findings als Konformitätsnachweis.

Weitere Standards & Regularien

Wir decken die gängigen Sicherheits- und Compliance-Anforderungen ab. Sehen Sie sich verwandte Themen an.

ISO 27001

Internationaler Standard für Informationssicherheits-Managementsysteme.

DORA

EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor.

Penetrationstest

Manuelle Angriffssimulation für Web, API, Netzwerk & mehr.

Häufige Fragen

PCI DSS Penetrationstest betrifft Sie? Sprechen wir darüber.

Kostenlose Erstberatung – wir analysieren Ihre Ausgangslage und zeigen den schnellsten Weg zur Konformität.

Kostenlose Erstberatung anfragen Zum Penetrationstest