PCI DSS rückt Skripte auf Bezahlseiten in den Mittelpunkt

Zusammenfassung

Auf modernen Checkout-Seiten läuft im Browser eines Kunden weit mehr als nur der eigene Code eines Händlers. Analyse-Tags, Tag-Manager, Support-Widgets und Zahlungs-iFrames laden zahlreiche Drittanbieter-Skripte nach — und jedes davon kann zum Einfallstor für Web-Skimming werden. Genau dieses Muster beschreibt Magecart: Laut Sansec wurden mehr als 100.000 Websites von Web-Skimming- und Supply-Chain-Angriffen getroffen. Als Beispiel nennt der Quelltext den Vorfall bei British Airways im Jahr 2018, bei dem 380.000 Transaktionen offengelegt wurden; die Geldbuße begann dort bei 183 Millionen Pfund. Das Problem aus Sicht der PCI-DSS-Regeln: Schädlicher Code kommt häufig nicht über ein neues, auffälliges Skript, sondern über ein bereits genehmigtes Drittanbieter-Skript, dessen Verhalten sich nachträglich ändert. PCI DSS v4.0.1 soll diese Lücke mit zwei inzwischen vollständig geltenden Anforderungen schließen: 6.4.3 verlangt ein Inventar aller Skripte auf Zahlungsseiten, deren Autorisierung sowie einen Nachweis ihrer Integrität. 11.6.1 fordert, Manipulationen an Seiteninhalten und HTTP-Headern zu erkennen, während sie im Browser empfangen werden.

Der Kern des Problems liegt in der Lieferkette von Webinhalten. Angreifer kompromittieren nach Darstellung des Quelltexts einen Drittanbieter, und der schädliche Programmteil gelangt dann über ein Skript auf die Bezahlseite, das dort oft schon seit Monaten eingebunden ist. Neu ist in solchen Fällen nicht die Präsenz des Skripts, sondern dessen verändertes Verhalten.

Nach PCI DSS v4.0.1 sind dafür zwei Kontrollen maßgeblich. Anforderung 6.4.3 verlangt, jedes Skript auf einer Zahlungsseite zu erfassen, zu autorisieren und dessen Integrität nachzuweisen. Anforderung 11.6.1 zielt darauf, Manipulationen an Seiteninhalten und HTTP-Headern zu erkennen, während der Browser sie lädt. Der Quelltext betont, dass eine manuelle Umsetzung über Hunderte von Skripten hinweg kaum skalierbar ist. Daten von Reflectiz zeigen demnach, dass sich ungefähr 30 Prozent der Skripte auf Zahlungsseiten innerhalb eines beliebigen Zwei-Wochen-Zeitraums ändern.

Einen zusätzlichen Fokus legt der Text auf SAQ A. Seit Januar 2025 können Händler die Anforderungen 6.4.3 und 11.6.1 aus SAQ A nur dann ausklammern, wenn sie bestätigen, dass ihre Website nicht anfällig für Skriptangriffe ist. Wer Nutzer vollständig an den Zahlungsabwickler weiterleitet, ist demnach voraussichtlich nicht betroffen. Wird dagegen ein Zahlungs-iFrame eingebettet, kann ein Skript auf der übergeordneten Seite den Checkout noch kapern, bevor die Daten den geschützten Frame erreichen. In diesem Fall muss nachgewiesen werden, dass genau das nicht möglich ist. Der Quelltext verweist dabei ausdrücklich auf PCI SSC FAQ Nr. 1588, die auf dieselben Kontrollen zurückführt.

Im Zentrum des Beitrags steht außerdem eine Bewertung von Reflectiz. Integrity360 Europe, bezeichnet als PCI Qualified Security Assessor und Mitglied der PCI SSC Global Executive Assessor Roundtable, hat die Reflectiz PCI DSS Platform laut Quelltext anhand beider Anforderungen geprüft. Das Ergebnis dieser Prüfung: Die Plattform kann die Compliance wirksam unterstützen.

Der Quelltext beschreibt diese Einschätzung als Urteil eines unabhängigen PCI-Prüfers. Zugleich verweist er auf ein vollständiges Whitepaper von Integrity360 Europe, das beide Anforderungen Zeile für Zeile aufschlüsselt, den Überwachungsablauf erläutert und konkret darlegt, was SAQ A nun von Händlern mit iFrame-Zahlungsseiten verlangt.

PCI DSS rückt Skripte auf Bezahlseiten in den Mittelpunkt

Ähnliche Artikel

Neueste Artikel