PCI-DSS 4.0 Firewall Anforderungen: Was Sicherheitsteams jetzt tun müssen
PCI-DSS 4.0, veröffentlicht im März 2022 mit obligatorischer Compliance-Frist zum 31. März 2025, hat grundlegend verändert, wie Unternehmen ihre Firewall-Infrastruktur verwalten müssen. Anforderung 1 — jetzt “Install and Maintain Network Security Controls” — wurde umstrukturiert, erweitert und modernisiert. Für Sicherheitsteams bedeutet das: angepasste Prozesse, bessere Dokumentation und in vielen Fällen neue Tools.
Dieser Leitfaden erklärt die konkreten PCI-DSS-4.0-Anforderungen für das Firewall-Management, was sich gegenüber Version 3.2.1 geändert hat und wie Automatisierung hilft, Compliance zu erreichen und dauerhaft zu halten.
Was hat sich in PCI-DSS 4.0 für Firewalls geändert?
Die wichtigste Änderung in PCI-DSS 4.0 ist der Wechsel von vorgeschriebenen Kontrollen zu ergebnisorientierten Anforderungen. Der Standard gibt nicht mehr exakt vor, wie Sicherheit umzusetzen ist — er definiert das gewünschte Sicherheitsergebnis. Für Firewalls bedeutet das:
- Neue Terminologie: “Firewalls” wird durch “Network Security Controls” (NSCs) ersetzt — ein Ausdruck dafür, dass moderner Perimeterschutz mehr als klassische Firewalls umfasst (Cloud Security Groups, WAFs, Mikrosegmentierung).
- Customized Approach: Unternehmen können jetzt eigene Kontrollen definieren, solange sie nachweisen können, dass das Sicherheitsziel erreicht wird. Mehr Flexibilität, aber auch mehr Dokumentationsaufwand.
- Erweiterte Dokumentationspflichten: Jede Firewall-Regel muss eine dokumentierte fachliche Begründung haben. Netzwerkdiagramme müssen aktuell sein und bei Änderungen sofort aktualisiert werden. Change-Management-Prozesse müssen formalisiert sein.
- Regelwerk-Review-Turnus: Halbjährliche Reviews von Firewall-Regeln sind jetzt explizit vorgeschrieben (vorher nur Best Practice).
- Neue Pflichtanforderungen ab März 2025: Erweiterte Dokumentation, rollenbasierte Zugriffsreviews und automatisiertes Log-Monitoring wurden verpflichtend.
Anforderung 1.x im Detail
Anforderung 1 gliedert sich in fünf Unteranforderungen. Was bedeuten sie konkret für Ihren Firewall-Betrieb?
1.1 – Prozesse und Mechanismen
Prozesse zur Verwaltung von Network Security Controls müssen definiert, dokumentiert und verstanden werden. In der Praxis:
- ✓ Schriftliche Richtlinie für Firewall Change Management
- ✓ Definierte Rollen und Verantwortlichkeiten (wer darf beantragen, genehmigen, umsetzen)
- ✓ Dokumentierter Genehmigungsworkflow
- ✓ Verfahren für Notfall-Änderungen mit nachträglichem Review
- ✓ Regelmäßige Richtlinienüberprüfung (mindestens jährlich)
1.2 – Konfiguration der Network Security Controls
Das ist der Kern der Firewall-Anforderungen und der Bereich, an dem die meisten Unternehmen bei Audits scheitern:
- 1.2.1: Konfigurationsstandards für alle NSCs definiert. Standard-Herstellerpasswörter geändert. Nicht benötigte Dienste deaktiviert.
- 1.2.2: Alle Änderungen an NSCs genehmigt und gemäß dem definierten Change-Management-Prozess verwaltet. Hier wird ein strukturierter Change-Management-Prozess unabdingbar.
- 1.2.4: Aktuelle und korrekte Netzwerkdiagramme aller Verbindungen zwischen CDE und anderen Netzwerken. Müssen bei Änderungen sofort aktualisiert werden.
- 1.2.5: Alle erlaubten Dienste, Protokolle und Ports haben einen definierten Geschäftsbedarf — und jeder ist dokumentiert.
- 1.2.6: Sicherheitsmerkmale für alle verwendeten Dienste, Protokolle und Ports dokumentiert — inklusive Begründung für unsichere Protokolle.
- 1.2.7: NSC-Konfigurationen mindestens alle sechs Monate überprüft, um Relevanz und Wirksamkeit zu bestätigen.
- 1.2.8 (Neu): Konfigurationsdateien der NSCs vor unbefugtem Zugriff geschützt und mit aktiven Konfigurationen konsistent.
1.3 – Einschränkung des Netzwerkzugriffs
- 1.3.1: Eingehender Traffic in die CDE auf das Notwendige beschränkt.
- 1.3.2: Ausgehender Traffic aus der CDE auf das Notwendige beschränkt.
- 1.3.3: NSCs zwischen allen WLAN-Netzwerken und der CDE installiert.
1.4 – Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken
NSCs müssen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken implementiert werden. Persönliche Firewalls auf mobilen Geräten mit CDE-Zugang sind ebenfalls vorgeschrieben.
1.5 – Risiken für die CDE durch Endgeräte
Neu in 4.0: Risiken durch Geräte, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, müssen gemindert werden. Betrifft Remote Access, BYOD und Auftragnehmer-Zugang.
Dokumentationspflichten, die Teams häufig überraschen
Die häufigsten PCI-DSS-Audit-Beanstandungen bei Firewalls sind Dokumentationslücken — nicht technische Fehlkonfigurationen. Auditoren prüfen:
- Fachliche Begründung für jede Regel. Nicht nur “von IT angefordert” — der konkrete Geschäftsbedarf (z. B. “Anwendung X auf Server Y benötigt HTTPS-Zugang zu Payment-Gateway Z für die Transaktionsverarbeitung”).
- Genehmigungsnachweise. Wer hat die Änderung wann genehmigt und mit welcher Befugnis? In E-Mails vergrabene Genehmigungen zählen nicht.
- Änderungshistorie. Vollständiger Zeitverlauf aller Regelergänzungen, -änderungen und -löschungen mit Vorher-/Nachher-Zustand.
- Nachweis der halbjährlichen Reviews. Belege, dass jede Regel in den letzten sechs Monaten überprüft wurde — mit Bestätigung, dass sie noch benötigt wird.
- Netzwerkdiagramme. Aktuelle, korrekte Diagramme aller Verbindungen zwischen CDE und anderen Netzwerken. Müssen bei jeder topologierelevanten Änderung aktualisiert werden.
- Ausnahmedokumentation. Falls unsichere Protokolle oder Nicht-Standard-Konfigurationen vorhanden sind: dokumentierte Risikoakzeptanz mit kompensierenden Kontrollen.
Vorbereitung auf Ihr PCI-DSS Firewall-Audit
Der beste Zeitpunkt zur Vorbereitung auf ein PCI-DSS-Audit ist der Tag nach dem letzten. Compliance ist ein fortlaufender Prozess. Praktische Checkliste:
- ☐ Firewall-Change-Management-Richtlinie prüfen und aktualisieren
- ☐ Sicherstellen, dass jede Regel eine dokumentierte fachliche Begründung hat
- ☐ Halbjährlichen Regelwerk-Review abschließen (Datum und Reviewer dokumentieren)
- ☐ Netzwerkdiagramme auf aktuelle Topologie aktualisieren
- ☐ Regeln ohne Geschäftsbedarf entfernen
- ☐ Keine Standard-Herstellerpasswörter auf Firewalls vorhanden
- ☐ Vollständige und abrufbare Genehmigungsnachweise sicherstellen
- ☐ Deny-All-Standardrichtlinien prüfen
- ☐ Ein- und ausgehende CDE-Traffic-Beschränkungen verifizieren
- ☐ Konfigurationsdateien gesichert und gesichert
Wie Automatisierung PCI-DSS Compliance erleichtert
PCI-DSS 4.0 manuell zu erfüllen ist möglich, aber aufreibend. Allein der Dokumentationsaufwand — fachliche Begründungen, Genehmigungsnachweise, Änderungshistorien, Review-Belege — erfordert erheblichen laufenden Aufwand. Automatisierung verändert das grundlegend:
Ohne Automatisierung
- ✗ Manuelle Regeldokumentation in Tabellen
- ✗ E-Mail-basierte Genehmigungsketten
- ✗ Keine automatische Konflikterkennung
- ✗ Halbjährliche Reviews dauern Wochen
- ✗ Audit-Vorbereitung ist ein separates Projekt
- ✗ Diagramme werden manuell gepflegt
Mit Automatisierung
- ✓ Fachliche Begründung wird bei der Anfrage erfasst
- ✓ Mehrstufige Genehmigung mit vollständigem Audit-Trail
- ✓ KI-gestützte Regelanalyse erkennt Konflikte sofort
- ✓ Halbjährliche Reviews in Stunden erledigt
- ✓ Jede Änderung vom ersten Tag an audit-ready
- ✓ Topologie automatisch aus Firewall-Konfigurationen generiert
FwChange wurde von Grund auf mit Blick auf PCI-DSS Compliance entwickelt. Jede Change-Anfrage erfordert eine fachliche Begründung. Genehmigungsworkflows setzen Aufgabentrennung durch. Der vollständige Audit-Trail ist in compliance-fähigen Formaten exportierbar. Halbjährliche Reviews lassen sich in Stunden statt Wochen abschließen.
Wenn Sie sich auf ein PCI-DSS-Assessment vorbereiten und sehen möchten, wie Ihr aktuelles Regelwerk aufgestellt ist, bietet der kostenlose Regelwerk-Scanner einen sofortigen Health Check. Die Preisübersicht zeigt den vollen Funktionsumfang der Plattform.
See How Your Firewall Rules Score
Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.
Stay Updated
Get firewall management tips, compliance guides, and product updates.
No spam. Unsubscribe anytime.