Whitepaper NIS2-Check EN

Compliance

PCI-DSS-4.0-Firewall-Anforderungen: Das muss Ihr Team wissen

NF Nick Falshaw· 22. Jan. 2026· 6 Min. Lesezeit
PCI-DSS Firewall-CompliancePCI-DSS 4.0 Firewall-AnforderungenPCI-Compliance Firewall-Regeln
Eine Firewall sichert einen Zahlungskarten-Tresor, mit PCI-DSS-Compliance-Prüfung

PCI-DSS 4.0, im März 2022 veröffentlicht mit einer verbindlichen Compliance-Frist zum 31. März 2025, hat grundlegende Änderungen daran eingeführt, wie Organisationen ihre Firewall-Infrastruktur verwalten müssen. Anforderung 1, jetzt mit dem Titel „Install and Maintain Network Security Controls“, wurde neu strukturiert, erweitert und modernisiert. Für Sicherheitsteams bedeutet das aktualisierte Prozesse, eine bessere Dokumentation und in vielen Fällen neue Werkzeuge.

Dieser Leitfaden behandelt die konkreten PCI-DSS-4.0-Anforderungen, die das Firewall-Management betreffen, was sich gegenüber Version 3.2.1 geändert hat und wie Automatisierung Sicherheitsteams dabei hilft, Compliance zu erreichen und aufrechtzuerhalten.

Was sich in PCI-DSS 4.0 für Firewalls geändert hat

Die bedeutendste Änderung in PCI-DSS 4.0 ist die Verlagerung von präskriptiven Kontrollen hin zu ergebnisorientierten Anforderungen. Der Standard schreibt nicht mehr genau vor, wie Sicherheit umzusetzen ist, er legt fest, welches Sicherheitsergebnis erreicht werden muss. Für Firewalls bedeutet das:

  • Aktualisierte Terminologie: „Firewalls“ wird durch „Network Security Controls“ (NSCs) ersetzt, was der Tatsache Rechnung trägt, dass moderne Perimetersicherheit mehr umfasst als klassische Firewalls (Cloud Security Groups, WAFs, Mikrosegmentierung).
  • Customized Approach: Organisationen können jetzt eigene Kontrollen definieren, um die Anforderungen zu erfüllen, solange sie nachweisen können, dass das Sicherheitsziel erreicht wird. Das schafft mehr Flexibilität, erfordert aber auch mehr Dokumentation.
  • Erweiterte Dokumentation: Jede Firewall-Regel muss über eine dokumentierte geschäftliche Begründung verfügen. Netzwerkdiagramme müssen korrekt sein und bei Änderungen aktualisiert werden. Change-Management-Prozesse müssen formalisiert sein.
  • Prüfzyklus: Eine halbjährliche Überprüfung der Firewall-Regeln ist nun ausdrücklich vorgeschrieben (zuvor lediglich Best Practice).
  • Neue, zukünftig datierte Anforderungen: Mehrere neue Anforderungen wurden zum 31. März 2025 verbindlich, darunter erweiterte Dokumentation, rollenbasierte Zugriffsprüfungen und automatisiertes Log-Monitoring.

Anforderung 1.x im Detail

Anforderung 1 gliedert sich in fünf Unteranforderungen. Hier ist, was jede einzelne für Ihren Firewall-Betrieb bedeutet:

1.1, Prozesse und Mechanismen

Diese Unteranforderung verlangt, dass Prozesse zur Verwaltung von Network Security Controls definiert, dokumentiert und verstanden sind. In der Praxis heißt das:

  • ✓ Schriftliche Richtlinie für das Firewall-Change-Management
  • ✓ Definierte Rollen und Verantwortlichkeiten (wer beantragt, genehmigt, umsetzt)
  • ✓ Dokumentierter Genehmigungsworkflow
  • ✓ Prozess für Notfalländerungen mit nachgelagerter Überprüfung
  • ✓ Regelmäßige Überprüfung der Richtlinie (mindestens jährlich)

1.2, Konfiguration der Network Security Controls

Dies ist der Kern der Firewall-Anforderungen und der Punkt, an dem die meisten Organisationen während Audits ins Straucheln geraten:

  • 1.2.1: Konfigurationsstandards sind definiert und auf alle NSCs angewendet. Standardmäßige Hersteller-Passwörter sind geändert. Nicht benötigte Dienste sind deaktiviert.
  • 1.2.2: Alle Änderungen an NSCs werden gemäß dem definierten Change-Control-Prozess genehmigt und gesteuert. Hier wird ein strukturierter Change-Management-Prozess unverzichtbar.
  • 1.2.4: Korrekte, aktuelle Netzwerkdiagramme, die alle Verbindungen zwischen der CDE und anderen Netzwerken zeigen. Müssen bei Änderungen aktualisiert werden.
  • 1.2.5: Alle erlaubten Dienste, Protokolle und Ports haben einen definierten geschäftlichen Bedarf, und jeder davon ist dokumentiert.
  • 1.2.6: Sicherheitsfunktionen sind für alle genutzten Dienste, Protokolle und Ports definiert und dokumentiert, einschließlich Begründung und Genehmigung für jene, die als unsicher gelten.
  • 1.2.7: NSC-Konfigurationen werden mindestens alle sechs Monate überprüft, um zu bestätigen, dass sie relevant und wirksam sind.
  • 1.2.8 (Neu): Konfigurationsdateien von NSCs sind vor unbefugtem Zugriff geschützt und werden konsistent mit den aktiven Konfigurationen gehalten.

1.3, Beschränkungen des Netzwerkzugriffs

Kontrollen für den Datenverkehr zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken:

  • 1.3.1: Eingehender Datenverkehr zur CDE ist auf das Notwendige beschränkt.
  • 1.3.2: Ausgehender Datenverkehr aus der CDE ist auf das Notwendige beschränkt.
  • 1.3.3: NSCs sind zwischen allen WLAN-Netzwerken und der CDE installiert.

1.4, Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken

NSCs müssen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken implementiert sein, mit spezifischen Kontrollen für den Datenverkehr zur und von der CDE. Auch Personal Firewalls auf mobilen Geräten, die sich mit der CDE verbinden, sind vorgeschrieben.

1.5, Risiken für die CDE durch Computergeräte

Neu in 4.0: Risiken durch Computergeräte, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE verbunden sind, müssen minimiert werden. Das betrifft Richtlinien für Fernzugriff, BYOD und Auftragnehmerzugriff.

Dokumentationsanforderungen, die Teams unvorbereitet treffen

Die häufigsten PCI-DSS-Audit-Befunde im Zusammenhang mit Firewalls sind Dokumentationslücken, keine technischen Fehlkonfigurationen. Auditoren prüfen auf:

  1. Geschäftliche Begründung für jede Regel. Nicht nur „von der IT angefordert“, der tatsächliche geschäftliche Bedarf (z. B. „Anwendung X auf Server Y benötigt HTTPS-Zugriff auf Payment Gateway Z zur Transaktionsverarbeitung“).
  2. Genehmigungsnachweise. Wer die Änderung genehmigt hat, wann und mit welcher Befugnis. In Posteingängen vergrabene E-Mail-Freigaben zählen nicht, Auditoren benötigen einen abrufbaren Nachweis.
  3. Änderungshistorie. Vollständiger Zeitverlauf, wann Regeln hinzugefügt, geändert oder entfernt wurden, mit Vorher-/Nachher-Zustand.
  4. Nachweis der halbjährlichen Überprüfung. Beleg, dass jede Regel in den letzten sechs Monaten überprüft wurde, mit Bestätigung, dass jede Regel weiterhin benötigt wird.
  5. Netzwerkdiagramme. Aktuelle, korrekte Diagramme, die alle Verbindungen zwischen der CDE und anderen Netzwerken zeigen. Diese müssen immer dann aktualisiert werden, wenn Firewall-Änderungen die Netzwerktopologie betreffen.
  6. Dokumentation von Ausnahmen. Falls unsichere Protokolle oder nicht standardmäßige Konfigurationen existieren, eine dokumentierte Risikoakzeptanz mit kompensierenden Kontrollen.

Vorbereitung auf Ihr PCI-DSS-Firewall-Audit

Der beste Zeitpunkt, sich auf ein PCI-DSS-Audit vorzubereiten, ist der Tag nach dem letzten. Compliance ist ein fortlaufender Prozess, keine punktuelle Übung. Hier ist eine praxisnahe Vorbereitungs-Checkliste:

  • ☐ Überprüfen und aktualisieren Sie Ihre Richtlinie für das Firewall-Change-Management
  • ☐ Stellen Sie sicher, dass jede Regel über eine dokumentierte geschäftliche Begründung verfügt
  • ☐ Führen Sie die halbjährliche Regelüberprüfung durch (dokumentieren Sie die Prüfung mit Datum und Namen der Prüfenden)
  • ☐ Aktualisieren Sie die Netzwerkdiagramme entsprechend der aktuellen Topologie
  • ☐ Entfernen Sie alle Regeln, die keinen geschäftlichen Bedarf mehr haben
  • ☐ Stellen Sie sicher, dass auf keiner Firewall standardmäßige Hersteller-Zugangsdaten existieren
  • ☐ Bestätigen Sie, dass Genehmigungsnachweise für Änderungen vollständig und abrufbar sind
  • ☐ Prüfen Sie, dass Deny-All-Standardrichtlinien vorhanden sind
  • ☐ Überprüfen Sie die Beschränkungen für ein- und ausgehenden CDE-Datenverkehr
  • ☐ Kontrollieren Sie, dass Konfigurationsdateien gesichert und gebackupt sind

Wie Automatisierung beim Erreichen der PCI-DSS-Compliance hilft

Die PCI-DSS-4.0-Anforderungen manuell zu erfüllen ist möglich, aber mühsam. Allein der Dokumentationsaufwand, geschäftliche Begründungen, Genehmigungsnachweise, Änderungshistorien, Prüfnachweise, erfordert erheblichen laufenden Einsatz. Automatisierung verändert das grundlegend:

Ohne Automatisierung

  • ✗ Manuelle Regeldokumentation in Tabellen
  • ✗ Genehmigungsketten per E-Mail
  • ✗ Keine automatisierte Konflikterkennung
  • ✗ Halbjährliche Überprüfungen dauern Wochen
  • ✗ Audit-Vorbereitung ist ein separates Projekt
  • ✗ Diagramme werden manuell gepflegt

Mit Automatisierung

  • ✓ Geschäftliche Begründung wird bereits bei der Antragstellung erfasst
  • ✓ Mehrstufige Genehmigung mit vollständigem Audit-Trail
  • ✓ KI-gestützte Regelanalyse erkennt Konflikte sofort
  • ✓ Halbjährliche Überprüfungen in Stunden abgeschlossen
  • ✓ Jede Änderung ist vom ersten Tag an audit-fertig
  • ✓ Topologie wird automatisch aus den Firewall-Konfigurationen generiert

FwChange wurde gezielt mit Blick auf PCI-DSS-Compliance entwickelt. Jeder Änderungsantrag erfordert eine geschäftliche Begründung. Genehmigungsworkflows erzwingen eine Funktionstrennung. Der vollständige Audit-Trail lässt sich in compliance-fertigen Formaten exportieren. Halbjährliche Überprüfungen können in Stunden statt Wochen abgeschlossen werden, wobei eine KI-gestützte Analyse Regeln hervorhebt, die möglicherweise nicht mehr benötigt werden.

Wenn Sie sich auf eine PCI-DSS-Bewertung vorbereiten und sehen möchten, wie Ihr aktuelles Regelwerk abschneidet, liefert der kostenlose Rulebase-Scanner eine sofortige Zustandsprüfung Ihrer Firewall-Richtlinien. Für die Automatisierungsseite, kontinuierliche Validierung und die halbjährliche Regelüberprüfung, siehe PCI-DSS-4.0-Compliance-Automatisierung.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragFirewall-Regelwerk optimieren: Shadow Rules und Bereinigung