Whitepaper NIS2-Check EN

Compliance

PCI-DSS 4.0 Firewall: Deutsche Zahlungsdienstleister

NF Nick Falshaw· 6. Feb. 2026· 6 Min. Lesezeit
PCI-DSS Firewall-AnforderungenPCI-DSS 4.0 DeutschlandZahlungsdienstleister-Compliance
Ein PCI-DSS-4.0-Schild über einem von einer Firewall geschützten Zahlungsdienstleister

Die Firewall-Anforderungen von PCI-DSS 4.0 haben tiefgreifende Änderungen erfahren, die seit dem 31. März 2025 vollständig gelten. Für deutsche Zahlungsdienstleister, Händler und Service-Provider verlangen diese Änderungen eine strengere Netzwerksegmentierung, häufigere Regelüberprüfungen und eine umfassende Dokumentation von Änderungen. Ob Sie Girocard-Transaktionen verarbeiten, SCA-Abläufe für europäische Zahlungen abwickeln oder die Zahlungsinfrastruktur für Sparkassen oder Volksbanken betreiben – die aktualisierten Anforderungen wirken sich darauf aus, wie Sie jede Firewall in Ihrer Karteninhaberdatenumgebung verwalten.

Was sich in PCI-DSS 4.0 geändert hat

PCI-DSS 4.0 hat die firewall-spezifischen Anforderungen unter Requirement 1 neu strukturiert und erweitert. Die folgenreichsten Änderungen für deutsche Organisationen sind:

  • Erweiterter Geltungsbereich: Der Begriff „Firewalls“ wurde durch „Network Security Controls“ (NSCs) ersetzt. Damit erstreckt sich der Geltungsbereich neben klassischen Firewalls nun auch auf Cloud-Sicherheitsgruppen, WAFs und Mikrosegmentierungslösungen.
  • Strengere Regeldokumentation: Jede NSC-Regel muss nun über eine dokumentierte fachliche Begründung verfügen. Was zuvor eine Best Practice war, ist jetzt eine ausdrückliche Anforderung mit Auswirkungen auf das Audit. Regeln ohne Begründung gelten als Beanstandung.
  • Halbjährliche Überprüfungen: NSC-Konfigurationen müssen mindestens alle sechs Monate überprüft werden (Requirement 1.2.7). Die Überprüfung muss bestätigen, dass die Regeln weiterhin relevant und wirksam sind. Das ist neu – die vorherige Version verlangte jährliche Überprüfungen.

Zentrale Firewall-Anforderungen von PCI-DSS 4.0

Die Firewall-Anforderungen in PCI-DSS 4.0 sind in drei wesentliche Unteranforderungen gegliedert. Jede stellt spezifische Anforderungen an Dokumentation und Umsetzung:

Requirement 1.2 — NSC-Konfigurationsstandards

Dies ist die zentrale Anforderung, die regelt, wie Firewalls konfiguriert und verwaltet werden:

  • 1.2.1: Konfigurationsstandards werden definiert und auf alle NSCs angewendet. Voreingestellte Hersteller-Passwörter werden geändert, unnötige Dienste deaktiviert.
  • 1.2.2: Alle Änderungen an NSCs werden gemäß dem definierten Change-Control-Prozess genehmigt und verwaltet.
  • 1.2.4: Korrekte Netzwerkdiagramme, die alle Verbindungen zur und von der CDE darstellen und bei Änderungen aktualisiert werden.
  • 1.2.5: Alle erlaubten Dienste, Protokolle und Ports werden mit fachlicher Begründung dokumentiert.
  • 1.2.6: Für unsichere Dienste werden Sicherheitsmaßnahmen dokumentiert, mit Begründung und Genehmigung.
  • 1.2.7: NSC-Konfigurationen werden mindestens alle sechs Monate überprüft, um Relevanz und Wirksamkeit zu bestätigen.
  • 1.2.8 (Neu): Konfigurationsdateien für NSCs werden vor unbefugtem Zugriff geschützt und mit den aktiven Konfigurationen konsistent gehalten.

Requirement 1.3 — Beschränkungen des Netzwerkzugriffs

Kontrollen über den Datenverkehr zwischen der Karteninhaberdatenumgebung und anderen Netzwerken:

  • 1.3.1: Eingehender Datenverkehr in die CDE wird auf das Notwendige beschränkt.
  • 1.3.2: Ausgehender Datenverkehr aus der CDE wird auf das Notwendige beschränkt.
  • 1.3.3: NSCs werden zwischen allen WLAN-Netzwerken und der CDE installiert und so konfiguriert, dass sie den Datenverkehr verweigern oder kontrollieren.

Requirement 1.4 — Grenzen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken

Kontrollen an den Grenzen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken:

  • 1.4.1: NSCs werden zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken mit expliziten Regeln zur Verkehrssteuerung implementiert.
  • 1.4.2: Eingehender Datenverkehr aus nicht vertrauenswürdigen in vertrauenswürdige Netzwerke wird auf die notwendige Kommunikation beschränkt.
  • 1.4.3: Anti-Spoofing-Maßnahmen werden implementiert, um gefälschte Quelladressen zu erkennen und zu blockieren.
  • 1.4.4: Personal-Firewall-Software auf mobilen Endgeräten, die sich sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbinden.

Häufige Compliance-Lücken in deutschen Organisationen

Deutsche Zahlungsdienstleister und Händler stehen bei der Erfüllung der PCI-DSS-4.0-Firewall-Anforderungen vor spezifischen Herausforderungen. Dies sind die häufigsten Lücken, die bei Assessments festgestellt werden:

  • Altregeln ohne Begründung: Regelwerke, die über Jahre gewachsen sind, enthalten Hunderte von Regeln ohne dokumentierte fachliche Begründung. Unter PCI-DSS 4.0 benötigt jede Regel eine solche. Begründungen für Altregeln nachträglich zu dokumentieren ist zeitaufwendig, aber verpflichtend.
  • Fehlende Dokumentation von Änderungen: Firewall-Änderungen werden über informelle Prozesse vorgenommen – eine kurze E-Mail, eine mündliche Anfrage oder direkter CLI-Zugriff. PCI-DSS 4.0 verlangt einen formalen, dokumentierten Change-Management-Prozess mit Genehmigungsnachweisen für jede Änderung.
  • Unvollständige Segmentierung: Die Netzwerksegmentierung zwischen der CDE und anderen Umgebungen ist häufig unvollständig oder inkonsistent. Regeln, die einen breiten Zugriff zwischen Segmenten erlauben, untergraben die Segmentierungskontrollen und führen zu Audit-Beanstandungen.
  • Veraltete Regeln: Verdeckte Regeln, Redundanzen und ungenutzte Regeln sammeln sich im Laufe der Zeit in Regelwerken an. Die halbjährliche Überprüfungspflicht von PCI-DSS 4.0 bedeutet, dass Organisationen veraltete Regeln aktiv identifizieren und entfernen müssen – nicht nur auf dem Papier überprüfen.

Wie FwChange die PCI-DSS-Compliance unterstützt

Das Erreichen der PCI-DSS-4.0-Compliance im Firewall-Management erfordert sowohl Prozessdisziplin als auch geeignetes Tooling. FwChange adressiert die zentralen Anforderungen direkt:

  • Automatisierte Regeldokumentation: Jede Firewall-Regel wird mit fachlicher Begründung, Verantwortlichem, Erstellungsdatum und Prüfstatus dokumentiert. Die Erfüllung von Requirement 1.2.5 wird automatisiert statt manuell.
  • Workflow für halbjährliche Überprüfungen: Eine integrierte Überprüfungsplanung stellt sicher, dass jede Regel innerhalb des von 1.2.7 geforderten Sechs-Monats-Fensters überprüft wird. Prüfnachweise werden automatisch für Auditoren erfasst.
  • KI-gestützte Regelanalyse: Erkennen Sie verdeckte Regeln, Redundanzen und Konflikte automatisch über Ihren gesamten Firewall-Bestand hinweg. Identifizieren Sie zu freizügige Regeln, die gegen die Least-Privilege-Anforderungen von 1.3.1 und 1.3.2 verstoßen.
  • Multi-Vendor-Unterstützung: Verwalten Sie Palo Alto, Fortinet, Check Point und Cisco Firewalls über eine einzige einheitliche Plattform mit konsistentem Change Management und konsistenter Dokumentation, unabhängig vom Hersteller.

Die deutsche Zahlungslandschaft

Das deutsche Zahlungsökosystem weist Besonderheiten auf, die sich auf die PCI-DSS-Compliance auswirken:

  • Dominanz der Girocard: Der deutsche Markt für elektronische Zahlungen wird nach wie vor stark vom Girocard-System (vormals EC-Karte) geprägt. Zahlungsdienstleister, die Girocard-Transaktionen abwickeln, müssen die PCI-DSS-Anforderungen erfüllen und zugleich die spezifischen Sicherheitsstandards des deutschen Bankensektors einhalten.
  • Sparkassen und Volksbanken: Die dezentrale Struktur der deutschen Sparkassen und Genossenschaftsbanken bedeutet, dass viele kleinere Institute Zahlungen eigenständig verarbeiten. Jedes Institut, das Karteninhaberdaten verarbeitet, muss seine eigene PCI-DSS-Compliance aufrechterhalten – einschließlich des Firewall-Managements.
  • Strong Customer Authentication (SCA): Die SCA-Anforderungen von PSD2 fügen eine weitere Komplexitätsebene hinzu. Die Infrastruktur, die SCA unterstützt – Authentifizierungsserver, 3DS-Systeme und zugehörige Firewalls – fällt in den Geltungsbereich von PCI-DSS und muss alle NSC-Anforderungen erfüllen.
  • BaFin-Aufsicht: Zusätzlich zu PCI-DSS unterliegen deutsche Zahlungsdienstleister der Aufsicht der BaFin, die eigene IT-Sicherheitsanforderungen stellt (BAIT/VAIT). Eine Firewall-Dokumentation, die PCI-DSS erfüllt, sollte mit den Erwartungen der BaFin in Einklang gebracht werden, um die Pflege getrennter Dokumentationsbestände zu vermeiden.

Häufig gestellte Fragen

Wie lautet die Frist für die PCI-DSS-4.0-Compliance?

PCI-DSS 4.0 trat am 31. März 2024 in Kraft, wobei die in die Zukunft datierten Anforderungen (einschließlich der halbjährlichen Überprüfungsanforderung 1.2.7 und der neuen 1.2.8) am 31. März 2025 verbindlich wurden. Organisationen, die noch nicht von PCI-DSS 3.2.1 umgestellt haben, sind bereits nicht konform.

Wie wirkt sich PCI-DSS 4.0 auf Multi-Vendor-Firewall-Umgebungen aus?

PCI-DSS 4.0 gilt unabhängig vom Hersteller gleichermaßen für alle Network Security Controls. Wenn Sie am Perimeter Palo Alto und für die interne Segmentierung Fortinet betreiben, müssen beide dieselben Anforderungen an Dokumentation, Change Management und Überprüfung erfüllen. Eine einheitliche Management-Plattform sorgt für konsistente Compliance über alle Hersteller hinweg.

Zählen Cloud-Sicherheitsgruppen unter PCI-DSS 4.0 als NSCs?

Ja. PCI-DSS 4.0 schließt cloudbasierte Sicherheitskontrollen – AWS Security Groups, Azure NSGs und GCP-Firewall-Regeln – ausdrücklich unter die NSC-Definition ein. Umfasst Ihre Karteninhaberdatenumgebung Cloud-Komponenten, müssen die Cloud-Sicherheitskontrollen dieselben Anforderungen an Dokumentation, Überprüfung und Change Management erfüllen wie klassische Firewalls.

Was ist der Customized Approach in PCI-DSS 4.0?

PCI-DSS 4.0 führt einen „Customized Approach“ ein, der es Organisationen ermöglicht, das Sicherheitsziel einer Anforderung durch alternative Kontrollen zu erreichen. Für Firewall-Anforderungen bedeutet dies, dass Sie Kontrollen abweichend vom definierten Ansatz umsetzen könnten – allerdings müssen Sie die alternativen Kontrollen dokumentieren, nachweisen, dass sie das Sicherheitsziel erfüllen, und sie von Ihrem QSA validieren lassen. In der Praxis nutzen die meisten deutschen Organisationen für Firewall-Anforderungen den definierten Ansatz, da die Anforderungen des PCI SSC mit geeignetem Tooling unkompliziert umzusetzen sind.

Wie oft müssen Firewall-Regeln unter PCI-DSS 4.0 überprüft werden?

Requirement 1.2.7 schreibt eine Überprüfung mindestens alle sechs Monate vor. Dies ist ein Mindestwert – Organisationen mit hohem Transaktionsvolumen oder in komplexen Umgebungen sollten häufigere Überprüfungen in Betracht ziehen. Die Überprüfung muss bestätigen, dass jede Regel weiterhin benötigt wird, angemessen abgegrenzt und korrekt dokumentiert ist. Der Nachweis der Überprüfung (Datum, Prüfer, Ergebnis je Regel) muss für das Audit aufbewahrt werden.

Wenn Sie sich auf ein PCI-DSS-4.0-Assessment vorbereiten und Compliance-Lücken in Ihrer Firewall-Konfiguration identifizieren möchten, liefert der kostenlose Rulebase-Scanner eine sofortige Analyse des aktuellen Zustands Ihrer Regeln – einschließlich Dokumentationslücken, verdeckter Regeln und Optimierungspotenzialen.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragKRITIS-Firewall-Compliance: Die BSI-Anforderungen