--- url: 'https://www.corbado.com/de/blog/pci-dss-4-0-authentifizierung-passkeys' title: 'PCI DSS 4.0-Authentifizierung: Passkeys' description: 'Erfahren Sie, wie die Passkey-Authentifizierung die MFA-Anforderungen von PCI DSS 4.0 erfüllt, die Sicherheit erhöht und die Compliance für Händler, die Karteninhaberdaten verarbeiten, vereinfacht.' lang: 'de' author: 'Vincent Delitz' date: '2025-07-15T13:24:18.951Z' lastModified: '2026-03-27T07:03:05.167Z' keywords: 'pci dss, pci, pci authentifizierung, pci ssc' category: 'Passkeys Strategy' --- # PCI DSS 4.0-Authentifizierung: Passkeys ## 1. Einleitung Die digitale Landschaft entwickelt sich ständig weiter, und mit ihr nehmen auch die Raffinesse und Häufigkeit von Cyber-Bedrohungen zu. Daten von [Zahlungskarten](https://www.corbado.com/passkeys-for-payment) bleiben ein Hauptziel für böswillige Akteure, was robuste Sicherheitsstandards für jede Organisation, die mit ihnen umgeht, unerlässlich macht. Der [Payment](https://www.corbado.com/passkeys-for-payment) Card Industry Data Security Standard (PCI DSS) dient seit langem als Maßstab für den Schutz von Karteninhaberdaten. Seine neueste Version, [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 4.0, stellt einen bedeutenden [Fortschritt](https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf) dar und begegnet modernen Bedrohungen unter anderem durch erheblich verschärfte Authentifizierungsanforderungen. Während Unternehmen sich diesen neuen Anforderungen stellen, bieten aufkommende Technologien vielversprechende Lösungen. Passkeys, die auf den Standards der [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc) (Fast Identity Online) Alliance und dem WebAuthn-Protokoll basieren, stehen an der Spitze dieser neuen Welle der Authentifizierung. Sie bieten einen passwortlosen, [Phishing](https://www.corbado.com/glossary/phishing)-resistenten Ansatz und verbessern die Absicherung des Zugriffs auf sensible Daten. **Dieser Artikel analysiert die entscheidenden Änderungen, die PCI DSS 4.0 insbesondere im Hinblick auf die sichere Authentifizierung mit sich bringt**, untersucht die Fähigkeiten der [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) und bietet einen Fahrplan, wie diese Technologie zur Erreichung und Aufrechterhaltung der Compliance genutzt werden kann. Diese Untersuchung führt zu zwei wichtigen Fragen für Organisationen, die sich in diesem neuen Terrain bewegen: 1. **Authentifizierung**: _Da PCI DSS 4.0 die Messlatte für die Authentifizierung höher legt, wie können Organisationen diese strengen neuen Anforderungen effektiv erfüllen, ohne Benutzer oder Sicherheitsteams zu überlasten?_ 2. **Passkeys & PCI-Compliance**: _Können aufkommende Technologien wie Passkeys die Authentifizierungskontrollen von PCI DSS 4.0 erfüllen, die Sicherheit erhöhen und die betriebliche Effizienz verbessern?_ Dieser Artikel zielt darauf ab, Antworten zu geben und technische Fachleute auf dem Weg in eine sicherere und konforme Zukunft zu begleiten. ## 2. PCI DSS und die Änderungen in Version 4.0 verstehen Um die Rolle von Passkeys in der aktuellen Compliance-Landschaft zu würdigen, ist es entscheidend, das [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys)-DSS-Framework und die bedeutende Entwicklung, die Version 4.0 markiert, zu verstehen. ### 2.1 Was ist der Payment Card Industry Data Security Standard (PCI DSS)? Der [PCI Data Security Standard](https://www.pcisecuritystandards.org/standards/) ist ein globaler Informationssicherheitsstandard, der zum Schutz von [Zahlungsdaten](https://www.corbado.com/passkeys-for-payment) entwickelt wurde. Er gilt für alle Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen, einschließlich Händler, Verarbeiter, [Acquirer](https://www.corbado.com/glossary/acquirer), [Issuer](https://www.corbado.com/glossary/issuer) und Dienstleister. Der Standard wurde von den [großen Zahlungskartenmarken entwickelt](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) (American Express, Discover [Financial Services](https://www.corbado.com/passkeys-for-banking), JCB International, [MasterCard](https://www.corbado.com/blog/mastercard-passkeys) und [Visa](https://www.corbado.com/blog/visa-passkeys)), die am 7. September 2006 das [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) Security Standards Council (PCI SSC) gründeten, um seine fortlaufende Weiterentwicklung zu verwalten. [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) besteht aus einem umfassenden Satz [technischer und betrieblicher Anforderungen](https://www.pcisecuritystandards.org/standards/), die eine Grundlage für den Schutz von Zahlungsdaten während ihres gesamten Lebenszyklus bilden. ### 2.2 Das PCI Security Standards Council (PCI SSC) und seine Mission Das [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) fungiert als [globales Forum](https://www.pcisecuritystandards.org/), das [Stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) der [Zahlungsbranche](https://www.corbado.com/passkeys-for-payment) zusammenbringt, um Datensicherheitsstandards und Ressourcen für sichere [Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) weltweit zu entwickeln und deren Einführung voranzutreiben. Über [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) hinaus verwaltet das Council eine [Reihe von Standards](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council), die verschiedene Aspekte der Zahlungssicherheit abdecken. Seine Mission ist es, die globale [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) von Zahlungskontodaten zu verbessern, indem es Standards und unterstützende Dienstleistungen entwickelt, die [Bildung, Bewusstsein und eine effektive Umsetzung](https://www.researchgate.net/publication/385008508_Achieving_PCI-DSS_Compliance_in_Payment_Gateways_A_Comprehensive_Approach) durch die [Stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) fördern. ### 2.3 Entwicklung zu PCI DSS 4.0: Wichtige Treiber und Ziele Die [PCI DSS 4.0 Standards](https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf), die im März 2022 offiziell veröffentlicht wurden, [mit einer anschließenden geringfügigen Überarbeitung (v4.0.1), um auf das Feedback von Stakeholdern einzugehen](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf), stellen das bedeutendste Update des Standards seit Jahren dar. Der Haupttreiber für diese Entwicklung war die Notwendigkeit, auf die zunehmend ausgefeilte Cyber-Bedrohungslandschaft und das sich wandelnde technologische Umfeld in der [Zahlungsbranche](https://www.corbado.com/passkeys-for-payment) zu reagieren. Die Kernziele von PCI DSS 4.0 sind: - **Erfüllung der sich entwickelnden Sicherheitsanforderungen der Zahlungsbranche:** Sicherstellen, dass der Standard gegen aktuelle und aufkommende Bedrohungen, wie KI-basiertes [Phishing](https://www.corbado.com/glossary/phishing), wirksam bleibt. - **Förderung von Sicherheit als kontinuierlicher Prozess:** Verlagerung des Fokus von der punktuellen Compliance hin zu einer [fortlaufenden Sicherheitsdisziplin](https://www.fortra.com/resources/guides/pci-dss-4-compliance). - **Verbesserung der Validierungsmethoden und -verfahren:** Erhöhung der Strenge und Konsistenz von Compliance-Bewertungen. - **Mehr Flexibilität und Unterstützung zusätzlicher Methoden:** Organisationen mehr Spielraum bei der Erreichung von Sicherheitszielen und -ergebnissen zu geben. ### 2.4 Kernänderungen in 4.0: Fokus auf Sicherheitsergebnisse, kontinuierliche Sicherheit, angepasste Implementierung und Übergangsfristen [PCI DSS 4.0 führt](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf) mehrere grundlegende Änderungen ein, die sich darauf auswirken, wie Organisationen an die Compliance herangehen: **Fokus auf Sicherheitsergebnisse statt auf vorschreibende Kontrollen** Eine entscheidende Änderung ist die Verlagerung von primär vorschreibenden Kontrollen hin zu einer Betonung von Sicherheitsergebnissen. Der Standard selbst erläutert diese Flexibilität: > _Abschnitt 8: Ansätze zur Implementierung und Validierung von PCI DSS_ > > Um Flexibilität bei der Erreichung von Sicherheitszielen zu unterstützen, gibt es zwei > Ansätze zur Implementierung und Validierung von PCI DSS. > > Der angepasste Ansatz konzentriert sich auf das Ziel jeder > [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys)-DSS-Anforderung und ermöglicht es > Unternehmen, Kontrollen zu implementieren, um das erklärte Ziel der Anforderung auf eine > Weise zu erfüllen, die nicht streng der definierten Anforderung folgt. Diese Verlagerung bedeutet, dass PCI DSS 3.2.1 detaillierte Anweisungen gab, _was_ zu tun ist, während Version 4.0 Organisationen mehr Flexibilität darin lässt, _wie_ sie die Anforderungen erfüllen. Unternehmen können Kontrollen implementieren, die am besten zu ihrer Umgebung passen, vorausgesetzt, sie können nachweisen, dass diese Kontrollen die erklärten Sicherheitsziele erreichen. Dies ist besonders relevant für die Einführung innovativer Technologien wie Passkeys, die möglicherweise nicht gut in ältere, starrere Kontrollbeschreibungen gepasst hätten. Diese Flexibilität geht jedoch mit der Erwartung einher, dass Organisationen gründliche Risikobewertungen durchführen und ihre gewählten Kontrollmethoden klar begründen. **Kontinuierliche Sicherheit (Business-as-Usual)** Ein weiteres Schlüsselprinzip in PCI DSS 4.0 ist die Förderung von [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) als kontinuierlicher, alltäglicher Geschäftsprozess (Business-as-Usual, BAU). Der Standard beschreibt dies in Abschnitt 5: > _Abschnitt 5: Best Practices für die Implementierung von PCI DSS in alltägliche > Geschäftsprozesse_ > > Ein Unternehmen, das alltägliche Geschäftsprozesse implementiert ... ergreift Maßnahmen, > um sicherzustellen, dass Sicherheitskontrollen ... weiterhin korrekt implementiert > werden und im normalen Geschäftsverlauf ordnungsgemäß funktionieren. > > Einige [PCI-DSS-Anforderungen](https://www.corbado.com/de/blog/cybersicherheit-compliance) sollen als > BAU-Prozesse fungieren, indem sie Sicherheitskontrollen überwachen, um deren Wirksamkeit > auf fortlaufender Basis sicherzustellen. Diese Betonung von „Business-as-Usual“ (BAU)-Prozessen bedeutet, dass Organisationen [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) in ihre Routineaktivitäten einbetten müssen. Es geht darum, eine Kultur zu fördern, in der Sicherheit kein nachträglicher Gedanke oder ein jährlicher Kraftakt ist, sondern ein integraler Bestandteil des Betriebs, der eine kontinuierliche Überwachung, regelmäßige Bewertungen und adaptive Sicherheitsmaßnahmen gewährleistet, um den nachhaltigen Schutz von Karteninhaberdaten sicherzustellen. Für Passkey-Implementierungen bedeutet dies eine ständige Wachsamkeit bei der Überwachung ihrer Wirksamkeit, der Benutzerakzeptanzmuster und aufkommender Bedrohungen, wodurch Sicherheit zu einer dauerhaften Anstrengung und nicht zu einer einmaligen Compliance-Übung wird. **Angepasste Implementierung & gezielte Risikoanalyse** Ein bedeutendes neues Merkmal in PCI DSS 4.0 ist die formalisierte Option für eine [angepasste Implementierung](https://blog.pcisecuritystandards.org/pci-dss-v4-0-compensating-controls-vs-customized-approach), die untrennbar mit einer strengen Risikobewertung verbunden ist. Der Standard schreibt diese Verbindung in Anforderung 12.3.2 vor: > _Anforderung 12.3.2: Unterstützung der Informationssicherheit durch organisatorische > Richtlinien und Programme_ > > Für jede PCI-DSS-Anforderung, die das Unternehmen mit dem angepassten Ansatz erfüllt, > wird eine gezielte Risikoanalyse durchgeführt, die ... dokumentierte Nachweise ... die > Genehmigung durch die Geschäftsleitung und die Durchführung der gezielten Risikoanalyse > mindestens alle 12 Monate umfasst. Diese formalisierte Option ermöglicht es Organisationen, Sicherheitsziele mit neuen Technologien und innovativen Kontrollen zu erreichen, die auf ihre einzigartigen Umgebungen zugeschnitten sind, anstatt sich strikt an vorschreibende Methoden zu halten. Wie das Zitat jedoch betont, basiert diese Flexibilität auf der Durchführung einer gezielten Risikoanalyse für jede angepasste Kontrolle. Diese Analyse muss dokumentiert, von der Geschäftsleitung genehmigt und jährlich überprüft werden. Ein externer Prüfer (Qualified Security Assessor oder QSA) validiert dann diese angepassten Kontrollen, indem er den dokumentierten Ansatz der Organisation, einschließlich der Risikoanalyse, überprüft und spezifische Testverfahren entwickelt. Dieser Weg ist ein wichtiger Wegbereiter für Lösungen wie Passkeys, der es Organisationen ermöglicht, ihre fortschrittlichen Sicherheitsfunktionen effektiv zu nutzen, vorausgesetzt, sie können durch eine Risikoanalyse nachweisen, dass ihr Ansatz die Sicherheitsziele erfüllt. Die Möglichkeit zur angepassten Implementierung, unterstützt durch eine robuste Risikoanalyse, spiegelt das Verständnis wider, dass die schnelle Entwicklung von Bedrohungen und Verteidigungstechnologien starre, vorschreibende Kontrollen im Laufe der Zeit weniger anpassungsfähig macht. **Übergangsfristen** PCI DSS 3.2.1 blieb neben v4.0 bis zum 31. März 2024 aktiv und wurde danach eingestellt. Neue Anforderungen, die in PCI DSS 4.0 eingeführt wurden, galten bis zum 31. März 2025 als Best Practices. Nach diesem Datum werden diese neuen Anforderungen für alle Bewertungen verbindlich. Dieser schrittweise Ansatz gab Organisationen ein Zeitfenster, um die Änderungen zu verstehen, zu planen und umzusetzen. Diese Änderungen signalisieren insgesamt einen reiferen, anpassungsfähigeren und risikofokussierten Ansatz für die Sicherheit von Zahlungskarten und bereiten den Weg für die Einführung stärkerer, modernerer Authentifizierungsmechanismen. ## 3. Es steht viel auf dem Spiel: Auswirkungen der Nichteinhaltung von PCI DSS Die Nichteinhaltung der [PCI-DSS-Anforderungen](https://www.corbado.com/de/blog/cybersicherheit-compliance) ist nicht nur ein Versehen; sie hat erhebliche und vielschichtige Konsequenzen, die die finanzielle Stabilität, die rechtliche Stellung und den Ruf einer Organisation schwerwiegend beeinträchtigen können. ### 3.1 Finanzielle Strafen Die direkteste Folge der Nichteinhaltung ist die Verhängung von [finanziellen Strafen](https://www.securitycompass.com/blog/pci-non-compliance-fees/). Diese Bußgelder werden in der Regel von [Acquirer](https://www.corbado.com/glossary/acquirer)-Banken und Zahlungsabwicklern verhängt, nicht direkt vom [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Die Strafen können erheblich sein und reichen von [5.000 bis 100.000 US-Dollar pro Monat](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance), abhängig vom Transaktionsvolumen (das das Händler-Level bestimmt, z. B. Level 1 für über 6 Millionen Transaktionen jährlich gegenüber Level 4 für unter 20.000 [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce)-Transaktionen) sowie der Dauer und Schwere der Nichteinhaltung. Beispielsweise ist es wahrscheinlicher, dass ein Level-1-Händler, der mehrere Monate lang nicht konform ist, Strafen am oberen Ende dieser Spanne erhält, während kleinere Level-4-Unternehmen Bußgelder von eher 5.000 US-Dollar monatlich erwarten könnten. Es ist entscheidend zu verstehen, dass diese Bußgelder eine [wiederkehrende monatliche Belastung](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance) sein können. Dieser anhaltende finanzielle Druck, der potenziell durch [erhöhte Transaktionsgebühren](https://www.securitycompass.com/blog/pci-non-compliance-fees/) verschärft wird, die Zahlungsabwickler nicht konformen Unternehmen berechnen können, bedeutet, dass die kumulativen Kosten der _Nichteinhaltung_ die Investitionen zur _Erreichung und Aufrechterhaltung der Compliance_ bei weitem übersteigen. Dies rahmt Compliance nicht als reinen Kostenfaktor, sondern als kritische Investition zur Risikominderung neu. Die Investition in robuste Sicherheitsmaßnahmen, einschließlich starker Authentifizierung wie Passkeys, wird zu einer finanziell klugen Entscheidung, um diese größeren, oft unvorhersehbaren und potenziell lähmenden Kosten zu vermeiden. ### 3.2 Rechtliche und regulatorische Konsequenzen Über direkte Bußgelder hinaus kann die Nichteinhaltung zu ernsthaften rechtlichen Herausforderungen führen, insbesondere wenn sie zu einem Datenleck führt. Kunden, deren Daten kompromittiert wurden, können Klagen einreichen, und auch Kartenmarken können rechtliche Schritte einleiten. Ein Zustand der Nichteinhaltung kann es für Kläger erheblich erleichtern, Fahrlässigkeit seitens der Organisation nachzuweisen, was potenziell zu kostspieligen Vergleichen und Urteilen führen kann. ### 3.3 Reputationsschaden und Verlust des Kundenvertrauens Eine der vielleicht schädlichsten, wenn auch weniger quantifizierbaren Folgen ist der Schaden für den Ruf einer Organisation. Ein einziger Compliance-Fehler, insbesondere einer, der zu einem Datenleck führt, kann das Kundenvertrauen schwer erschüttern. Einmal verloren, ist dieses Vertrauen schwer wiederzugewinnen, was oft zu Kundenabwanderung, Geschäftsverlusten an Wettbewerber und langfristigem Schaden für das Markenimage führt. Wiederholte oder schwere Verstöße können sogar zum [Entzug der Zahlungsabwicklungsrechte einer Organisation](https://www.securitycompass.com/blog/pci-non-compliance-fees/) durch die Kartenmarken oder [Acquirer](https://www.corbado.com/glossary/acquirer)-Banken führen, was ihre Fähigkeit, Kartenzahlungen zu akzeptieren, effektiv unterbindet. Dies unterstreicht die Bedeutung, Compliance nicht nur als technische Anforderung, sondern als grundlegenden Bestandteil des Markenvertrauens und der Geschäftskontinuität zu betrachten. ### 3.4 Kosten für die Entschädigung bei Datenlecks Wenn die Nichteinhaltung zu einem Datenleck beiträgt, ist die Organisation wahrscheinlich für erhebliche Entschädigungskosten zusätzlich zu Bußgeldern und Anwaltskosten verantwortlich. Diese Kosten können die Bereitstellung von Dienstleistungen für betroffene Kunden umfassen, wie z. B. kostenlose Kreditüberwachung, Identitätsdiebstahl-[Versicherung](https://www.corbado.com/passkeys-for-insurance) und die Erstattung betrügerischer Abbuchungen oder Servicegebühren. Darüber hinaus können die Kosten für die Neuausstellung kompromittierter Zahlungskarten, die auf 3 bis 5 US-Dollar pro Karte geschätzt werden, bei Lecks, die eine große Anzahl von Karteninhabern betreffen, schnell in Millionenhöhe steigen. Umgekehrt können bei einem Datenleck, das eine Organisation erleidet, während sie vollständig PCI-DSS-konform ist, die damit verbundenen Bußgelder gesenkt oder sogar erlassen werden, da die Compliance Sorgfalt und ein Engagement für Sicherheit anstelle von Fahrlässigkeit beweist. Die Bandbreite potenzieller negativer Folgen unterstreicht, dass die PCI-DSS-Compliance ein unverzichtbarer Aspekt des modernen Geschäftsbetriebs für jedes Unternehmen im Ökosystem der Zahlungskarten ist. ## 4. Die verschärften Authentifizierungskontrollen von PCI DSS 4.0: Ein genauerer Blick auf Anforderung 8 Anforderung 8 von PCI DSS war schon immer ein Eckpfeiler des Standards. Mit Version 4.0 wurden ihre Bestimmungen erheblich verschärft, was die entscheidende Rolle einer robusten Authentifizierung bei der Verhinderung des unbefugten Zugriffs auf sensible Karteninhaberdaten und die Systeme, die sie verarbeiten, widerspiegelt. ### 4.1 Übersicht über Anforderung 8: Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten Das Hauptziel von Anforderung 8 ist es, sicherzustellen, dass jede Person, die auf Systemkomponenten innerhalb der Karteninhaberdatenumgebung (CDE) oder damit verbundene Systeme zugreift, eindeutig identifiziert und robust authentifiziert werden kann. Dies ist wichtig, um die Integrität und Sicherheit der Karteninhaberdaten zu wahren, indem unbefugter Zugriff verhindert und sichergestellt wird, dass alle Aktionen auf einen bestimmten, bekannten Benutzer zurückverfolgt werden können, wodurch eine individuelle Verantwortlichkeit hergestellt wird. ### 4.2 Verschärfte Mandate für die Multi-Faktor-Authentifizierung (MFA) Eine wesentliche Weiterentwicklung in PCI DSS 4.0 ist die Ausweitung und Stärkung der Anforderungen an die Multi-Faktor-Authentifizierung (MFA): - **Universelle MFA für den CDE-Zugriff:** Im Gegensatz zu PCI DSS 3.2.1, das MFA hauptsächlich für den administrativen Zugriff und den gesamten Fernzugriff auf die CDE vorschrieb, verlangt Version 4.0 MFA für _jeden_ Zugriff auf die CDE. Dies schließt den Zugriff durch Administratoren, allgemeine Benutzer und Drittanbieter ein, unabhängig davon, ob der Zugriff von innerhalb oder außerhalb des Netzwerks erfolgt. Diese signifikante Erweiterung unterstreicht die Anerkennung von MFA als grundlegende Sicherheitskontrolle durch das [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Der Standard spezifiziert diese Anforderungen: > _Auszüge aus Anforderung 8_ > > „8.4.1 MFA wird für jeden Nicht-Konsolenzugriff auf die CDE für Personal mit > administrativem Zugriff implementiert.“  > > „8.4.3 MFA wird für jeden Fernzugriff von außerhalb des Netzwerks des Unternehmens > implementiert, der auf die CDE zugreifen oder diese beeinflussen könnte.“  - **Anforderungen an die Faktoren:** MFA-Implementierungen müssen mindestens zwei der drei anerkannten Authentifizierungsfaktortypen verwenden: - Etwas, das Sie wissen (z. B. Passwort, PIN) - Etwas, das Sie haben (z. B. ein Token-Gerät, eine [Smartcard](https://www.corbado.com/de/glossary/chipkarte) oder ein Gerät, das einen Passkey enthält) - Etwas, das Sie sind (z. B. biometrische Daten wie ein Fingerabdruck oder Gesichtserkennung). Entscheidend ist, dass diese Faktoren unabhängig sein müssen, was bedeutet, dass die Kompromittierung eines Faktors die anderen nicht kompromittiert. - **Integrität des MFA-Systems:** MFA-Systeme müssen so konzipiert sein, dass sie Replay-Angriffen widerstehen (bei denen ein Angreifer Authentifizierungsdaten abfängt und wiederverwendet) und den Zugriff erst nach erfolgreicher Validierung aller erforderlichen Authentifizierungsfaktoren gewähren. - **Keine unbefugte Umgehung:** MFA darf von keinem Benutzer, einschließlich Administratoren, umgangen werden, es sei denn, eine spezifische, dokumentierte Ausnahme wird vom Management für einen begrenzten Zeitraum pro Einzelfall gewährt. - **Phishing-resistente Authentifizierung als Ausnahme:** PCI DSS 4.0 führt auch zusätzliche Leitlinien zur [Phishing](https://www.corbado.com/glossary/phishing)-resistenten Authentifizierung ein, die in einigen Fällen die Absicht von MFA erfüllen können. > _Auszüge aus Anforderung 8_ > > „Diese Anforderung gilt nicht für … Benutzerkonten, die nur mit Phishing-resistenten > Authentifizierungsfaktoren authentifiziert werden.“ — Anwendbarkeitshinweise zu > 8.4.2  > > „Phishing-resistente Authentifizierung … Beispiele für Phishing-resistente > Authentifizierung umfassen [FIDO2](https://www.corbado.com/glossary/fido2).“ — Anhang G, Glossardefinition > von Phishing-resistenter Authentifizierung  Die Auswirkungen der Phishing-resistenten Authentifizierung, wie sie durch diese Auszüge hervorgehoben werden, werden im nächsten Abschnitt (4.3) weiter untersucht. ### 4.3 Betonung der Phishing-resistenten Authentifizierung PCI DSS 4.0 legt einen bemerkenswerten Schwerpunkt auf die Verwendung von Phishing-resistenten Authentifizierungsmethoden. Dies ist eine direkte Reaktion auf die Verbreitung und den Erfolg von Phishing-Angriffen bei der Kompromittierung traditioneller Anmeldeinformationen. - **Phishing-resistente Authentifizierung als Alternative/Ergänzung zu MFA:** - Eine entscheidende Entwicklung unter Anforderung 8.4.2 ist, dass Phishing-resistente Authentifizierungsmethoden [_anstelle_ von traditioneller MFA](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) für alle nicht-administrativen Zugriffe auf die CDE verwendet werden können, die von innerhalb des Netzwerks des Unternehmens stammen. Dies ist eine bedeutende Bestimmung für Technologien wie Passkeys, die von Natur aus [Phishing-resistent](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) sind. Es signalisiert, dass das PCI SSC diese fortschrittlichen Methoden als eine Sicherheitsstufe ansieht, die mit einigen traditionellen MFA-Kombinationen für diesen spezifischen Anwendungsfall vergleichbar oder sogar überlegen ist. - **Jedoch, für den administrativen Zugriff auf die CDE (Anforderung 8.4.1) und für alle Fernzugriffe von außerhalb des Netzwerks des Unternehmens in die CDE (Anforderung 8.4.3), muss die Phishing-resistente Authentifizierung, obwohl stark empfohlen, [_mit mindestens einem anderen Authentifizierungsfaktor kombiniert werden_](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance), um die MFA-Anforderung zu erfüllen.** Diese Unterscheidung erfordert einen nuancierten Ansatz bei der Implementierung von Passkeys, möglicherweise eine gestufte Strategie, bei der Passkeys allein für allgemeine interne Benutzer ausreichen, aber Passkeys in Kombination mit einem anderen Faktor für risikoreichere Zugriffsszenarien verwendet werden. - **FIDO-Anerkennung und Experteneinblicke:** Der Standard erwähnt [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-basierte Authentifizierung (die Passkeys zugrunde liegt) ausdrücklich als bevorzugte Methode zur Erreichung von MFA, hauptsächlich aufgrund ihrer robusten Phishing-resistenten Eigenschaften. Weitere Einblicke zu diesem Thema wurden in der Podcast-Episode „Coffee with the Council“ des PCI SSC geteilt: „Passwords Versus Passkeys: A Discussion with the [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)“ ([https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)). Im Podcast betonte Andrew Jamieson, VP Distinguished Standards Architect beim PCI SSC, den Wert dieser Technologien: > „Ich möchte wiederholen, dass ich Phishing-resistente Authentifizierung für eine > großartige Technologie halte. Sie kann viele der Probleme lösen, die wir mit > Passwörtern haben. Und ich würde dringend empfehlen, dass Leute, die sich ansehen, > welche Technologien sie für die Authentifizierung implementieren werden, sich > Phishing-resistente Authentifizierung und ihre Vorteile ansehen, aber auch > verstehen, dass sie sich ein wenig von dem unterscheidet, was die Leute gewohnt > sind, und untersuchen, wie sie sie korrekt und sicher in ihre gesamte > Authentifizierungsarchitektur integrieren können.“ Megan Shamas, Chief Marketing Officer bei der [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) (siehe [FIDO Leadership](https://fidoalliance.org/overview/leadership/)), hob den fundamentalen Wandel hervor, den diese Technologien darstellen, und die Notwendigkeit, dass sich die Richtlinien anpassen: > „Es ist grundlegend anders als das, was wir von Passwörtern plus Faktor, Faktor, > Faktor gewohnt sind, und wir haben die Technologie weiterentwickelt, und jetzt > müssen die Leute auch ihre Anforderungen und ihre Richtlinien entsprechend > weiterentwickeln. Und das wird Organisationen wirklich helfen, auf den richtigen Weg > zu kommen, um Phishing-anfällige Authentifizierung loszuwerden.“ Diese gemeinsame Perspektive unterstreicht die Bewegung der Branche hin zu sichereren, modernen Authentifizierungsmethoden. ### 4.4 Neue Anforderungen an Passwörter und Passphrasen (falls verwendet) Obwohl PCI DSS 4.0 stark auf MFA und Phishing-resistente Methoden drängt, verschärft es auch die Anforderungen an Passwörter und Passphrasen, falls diese noch verwendet werden: - **Erhöhte Länge und Komplexität:** Die Mindestpasswortlänge wurde von sieben Zeichen in v3.2.1 auf 12 Zeichen in v4.0 erhöht (oder mindestens 8 Zeichen, wenn das System keine 12 unterstützt). Passwörter müssen auch eine Mischung aus numerischen und alphabetischen Zeichen enthalten. - **Häufigkeit der Passwortänderung:** Passwörter müssen mindestens alle 90 Tage geändert werden, wenn sie der _einzige_ Faktor sind, der für die Authentifizierung verwendet wird (d. h. für dieses Konto bei diesem Zugriff wird keine MFA angewendet). Diese Anforderung kann entfallen, wenn MFA für den Zugriff implementiert ist oder wenn die Organisation eine kontinuierliche, risikobasierte Authentifizierung einsetzt, die den Zugriff in Echtzeit dynamisch bewertet. Die erhebliche Verschärfung der Passwortregeln, gekoppelt mit den erweiterten MFA-Mandaten und der klaren Befürwortung von Phishing-resistenten Ansätzen, signalisiert eine strategische Richtung des PCI SSC: die systematische Reduzierung der Abhängigkeit von Passwörtern als primärem oder einzigem Authentifizierungsmechanismus. Passwörter werden seit langem als schwaches Glied in der Sicherheit anerkannt, und PCI DSS 4.0 versucht aktiv, ihre inhärenten Risiken zu mindern, indem ihre alleinige Verwendung strenger und weniger attraktiv gemacht wird, während gleichzeitig stärkere, moderne Alternativen gefördert werden. Um diese Verschiebungen klar zu veranschaulichen, vergleicht die folgende Tabelle wichtige Authentifizierungsaspekte zwischen PCI DSS 3.2.1 und 4.0: **Tabelle 1: Wichtige Unterschiede bei der Authentifizierung: PCI DSS 3.2.1 vs. 4.0** | Merkmal | PCI DSS 3.2.1 | PCI DSS 4.0 | | :---------------------------------- | :---------------------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | **MFA für CDE-Zugriff** | Vorgeschrieben für nicht-konsolenbasierten administrativen Zugriff und jeden Fernzugriff auf die CDE. | Vorgeschrieben für [**jeden** Zugriff auf die CDE](https://drata.com/blog/pci-dss-v4-0) (administrativ, nicht-administrativ, intern, remote). | | **Passwortlänge (Minimum)** | 7 Zeichen (numerisch und alphabetisch). | 12 Zeichen (numerisch und alphabetisch); 8, wenn das System keine 12 unterstützt. | | **Häufigkeit der Passwortänderung** | Alle 90 Tage. | Alle 90 Tage, [**wenn das Passwort der einzige Faktor ist**](https://www.securitymetrics.com/blog/password-updates-and-requirements-in-pci-4); kann länger sein, wenn MFA oder risikobasierte Authentifizierung verwendet wird. | | **Betonung der Phishing-Resistenz** | Begrenzt, hauptsächlich durch allgemeines Sicherheitsbewusstsein behandelt. | Starke Betonung; Phishing-resistente Authentifizierung kann MFA für bestimmte interne CDE-Zugriffe ersetzen (Anf. 8.4.2). FIDO wird explizit erwähnt. | | **Verwendung von Passkeys/FIDO** | Nicht explizit als primäre Methode behandelt. | FIDO-basierte Authentifizierung wird als bevorzugte MFA-Methode genannt. Phishing-resistenten Methoden (wie Passkeys) werden spezifische Rollen bei der Erfüllung der MFA-Anforderungen zugewiesen. | Dieser verstärkte Fokus auf Authentifizierung in PCI DSS 4.0 gibt Organisationen eine klare Richtung vor, ihre aktuellen Strategien zu überdenken und widerstandsfähigere Lösungen wie Passkeys zu erkunden. ## 5. Passkeys: Die Zukunft der Phishing-resistenten Authentifizierung Basierend auf den Standards der [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) bieten Passkeys eine grundlegend sicherere und benutzerfreundlichere Alternative zu traditionellen Passwörtern und sogar zu einigen Formen der alten MFA. ### 5.1 Was sind Passkeys? (FIDO-Standards, WebAuthn) Ein Passkey ist ein digitales Zertifikat, das es Benutzern ermöglicht, sich auf Websites und in Anwendungen anzumelden, ohne ein Passwort eingeben zu müssen. Sie basieren auf den [FIDO2](https://www.corbado.com/glossary/fido2)-Standards, einer Reihe offener Spezifikationen, die von der FIDO Alliance entwickelt wurden. WebAuthn ist ein Standard des World Wide Web Consortium (W3C), der es Browsern und Webanwendungen ermöglicht, eine starke, Phishing-resistente Authentifizierung mithilfe von kryptografischen Schlüsselpaaren durchzuführen. Im Wesentlichen sind Passkeys eine Implementierung dieser [FIDO2](https://www.corbado.com/glossary/fido2)-Standards, die WebAuthn für Interaktionen in Webumgebungen nutzen. Sie ersetzen traditionelle Passwörter durch einzigartige kryptografische Schlüssel, die sicher auf dem Gerät eines Benutzers gespeichert sind, wie z. B. einem Smartphone, Computer oder einem [Hardware-Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025). ### 5.2 Wie Passkeys funktionieren: Kryptografie, Gerätebindung, Biometrie/PIN Die Sicherheit von Passkeys basiert auf der Public-Key-Kryptografie. Wenn ein Benutzer einen Passkey bei einem Dienst (der „[Relying Party](https://www.corbado.com/glossary/relying-party)“ oder RP) registriert, wird ein einzigartiges kryptografisches Schlüsselpaar generiert: - Ein **privater Schlüssel**, der sicher auf dem Gerät des Benutzers gespeichert wird. Dieser Schlüssel kann sich in einem Hardware-Sicherheitsmodul (z. B. einem TPM oder [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)) befinden. Der private Schlüssel verlässt diesen sicheren Speicher niemals (außer im Fall von synchronisierten Passkeys, wie später erläutert wird). - Ein **öffentlicher Schlüssel**, der an die [Relying Party](https://www.corbado.com/glossary/relying-party) (die Website oder den Anwendungsdienst) gesendet und dort gespeichert und mit dem Konto des Benutzers verknüpft wird. Während der Authentifizierung läuft der Prozess wie folgt ab: 1. Die [Relying Party](https://www.corbado.com/glossary/relying-party) sendet eine einzigartige „Challenge“ (eine zufällige Datenmenge) an das Gerät des Benutzers. 2. Um den privaten Schlüssel zu entsperren und zu verwenden, führt der Benutzer eine lokale Verifizierung auf seinem Gerät durch. Dies beinhaltet typischerweise die Verwendung eines biometrischen Identifikators (wie Fingerabdruck oder Gesichtsscan), die Eingabe einer Geräte-PIN oder das Zeichnen eines Musters. Wichtig ist, dass diese biometrischen Daten oder die PIN das Gerät des Benutzers niemals verlassen und nicht an die Relying Party übertragen werden. 3. Nach dem Entsperren signiert der private Schlüssel auf dem Gerät die von der Relying Party empfangene Challenge. 4. Diese signierte Challenge (die „[Assertion](https://www.corbado.com/glossary/assertion)“) wird an die Relying Party zurückgesendet. 5. Die Relying Party verwendet den gespeicherten öffentlichen Schlüssel, der diesem Benutzer entspricht, um die Signatur auf der [Assertion](https://www.corbado.com/glossary/assertion) zu überprüfen. Wenn die Signatur gültig ist, ist die Authentifizierung erfolgreich. Es gibt hauptsächlich zwei Arten von Passkeys: - **Synchronisierte Passkeys:** Diese Passkeys können über die vertrauenswürdigen Geräte eines Benutzers mithilfe von cloudbasierten Anmeldeinformationsmanagern wie Apples [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) oder dem [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) synchronisiert werden. Dies bietet Komfort, da ein auf einem Gerät erstellter Passkey auf einem anderen Gerät desselben Benutzers innerhalb desselben Ökosystems verwendet werden kann. - **Gerätegebundene Passkeys:** Diese Passkeys sind an einen bestimmten physischen [Authenticator](https://www.corbado.com/glossary/authenticator) gebunden, wie z. B. einen USB-[Hardware-Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025) (z. B. [YubiKey](https://www.corbado.com/glossary/yubikey)) oder eine Anwendung auf einem bestimmten Telefon. Der Passkey verlässt dieses spezifische Gerät nicht. Diese kryptografische Grundlage und der lokale Benutzerverifizierungsprozess bieten inhärente Sicherheitsvorteile, die viele gängige Angriffsvektoren direkt adressieren. ### 5.3 Inhärente Sicherheitsvorteile: Phishing-Resistenz, keine geteilten Geheimnisse, Schutz vor Credential Stuffing und Account Takeover (ATO) Das Design von Passkeys bietet mehrere Sicherheitsvorteile gegenüber traditionellen Authentifizierungsmethoden: - **Phishing-Resistenz:** Dies ist ein zentraler Vorteil. Passkeys sind kryptografisch an den spezifischen Website-Ursprung (die Relying Party ID oder RP ID) gebunden, für den sie erstellt wurden. Wenn ein Benutzer dazu verleitet wird, eine gefälschte Phishing-Seite zu besuchen, die eine legitime Seite nachahmt, erkennt der Browser oder das Betriebssystem, dass die aktuelle Domain nicht mit der RP ID des Passkeys übereinstimmt. Infolgedessen funktioniert der Passkey einfach nicht, und die Authentifizierung schlägt fehl. Dies verlagert die Last der Identifizierung von Phishing-Versuchen vom oft fehlbaren menschlichen Benutzer auf die robusten Sicherheitsprotokolle der Technologie selbst. - **Keine geteilten Geheimnisse:** Bei Passkeys gibt es kein „geteiltes Geheimnis“ wie ein Passwort, das sowohl dem Benutzer als auch dem Server bekannt ist und gestohlen werden kann. Der private Schlüssel, die entscheidende Komponente für die Authentifizierung, verlässt niemals das sichere Gerät des Benutzers. Der öffentliche Schlüssel, der vom Server gespeichert wird, ist mathematisch mit dem privaten Schlüssel verknüpft, kann aber nicht verwendet werden, um den privaten Schlüssel abzuleiten oder den Benutzer zu imitieren. Das bedeutet, dass selbst wenn der Server einer Relying Party gehackt und öffentliche Schlüssel gestohlen werden, diese für Angreifer ohne die entsprechenden privaten Schlüssel nutzlos sind. - **Schutz vor Credential Stuffing und Replay-Angriffen:** [Credential Stuffing](https://www.corbado.com/glossary/credential-stuffing)-Angriffe, bei denen Angreifer Listen gestohlener Benutzernamen und Passwörter verwenden, um Zugang zu verschiedenen Konten zu erhalten, werden wirkungslos, da es keine Passwörter gibt, die gestohlen und wiederverwendet werden können. Darüber hinaus beinhaltet jede [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) einen einzigartigen Challenge-Response-Mechanismus. Die vom privaten Schlüssel erzeugte Signatur ist spezifisch für die für diese bestimmte Anmeldesitzung empfangene Challenge, was es einem Angreifer unmöglich macht, eine Authentifizierungs-[Assertion](https://www.corbado.com/glossary/assertion) abzufangen und sie später wiederzuverwenden, um unbefugten Zugriff zu erhalten. - **Signifikante Reduzierung des Risikos von Account Takeover (ATO):** Durch die effektive Neutralisierung von Phishing, die Beseitigung geteilter Geheimnisse und die Verhinderung von [Credential Stuffing](https://www.corbado.com/glossary/credential-stuffing)- und Replay-Angriffen reduzieren Passkeys die primären Angriffsvektoren für Account Takeover drastisch. Da Angreifer die Authentifizierungsdaten des Benutzers nicht einfach erhalten oder missbrauchen können, sinkt die Wahrscheinlichkeit eines erfolgreichen ATO rapide. Dieser grundlegende Wandel von wissensbasierter Authentifizierung (was ein Benutzer weiß, wie ein Passwort) zu einer Kombination aus besitzbasierter (was ein Benutzer hat – sein Gerät mit dem sicheren Schlüssel) und inherenzbasierter oder lokal wissensbasierter (was ein Benutzer per [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) ist oder was er lokal per Geräte-PIN weiß) Authentifizierung durchbricht grundlegend die Angriffsketten, die auf der Kompromittierung von fernverwendbaren geteilten Geheimnissen beruhen. Im Gegensatz zu vielen Sicherheitsmaßnahmen, die die Benutzerfreundlichkeit beeinträchtigen, verbessern Passkeys oft das Benutzererlebnis, indem sie schnellere, einfachere Anmeldungen ohne die Notwendigkeit, sich komplexe Passwörter zu merken, bieten – ein doppelter Vorteil, der die Akzeptanz fördern und die allgemeine Sicherheitslage verbessern kann. ## 6. Die Lücke schließen: Wie Passkeys die Authentifizierungskontrollen von PCI DSS 4.0 erfüllen Die starken Sicherheitsmerkmale, die Passkeys eigen sind, passen bemerkenswert gut zu den verschärften Authentifizierungskontrollen, die von PCI DSS 4.0 vorgeschrieben werden, insbesondere denen in Anforderung 8. Passkeys erfüllen diese Anforderungen nicht nur, sondern übertreffen oft die Sicherheit, die von traditionellen Methoden geboten wird. ### 6.1 Direkte Erfüllung der MFA- und Phishing-Resistenz-Kriterien von Anforderung 8 Passkeys erfüllen von Natur aus die Kernprinzipien der Multi-Faktor-Authentifizierung, wie sie von PCI DSS 4.0 definiert sind: - **Multi-Faktor-Natur:** Ein Passkey-Authentifizierungsereignis kombiniert typischerweise „etwas, das Sie haben“ (das physische Gerät, das den privaten Schlüssel enthält, wie ein Smartphone oder ein Hardware-Sicherheitsschlüssel) mit entweder „etwas, das Sie sind“ (eine [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) wie ein Fingerabdruck oder ein Gesichtsscan, der zum Entsperren des Passkeys auf dem Gerät verwendet wird) oder „etwas, das Sie wissen“ (eine Geräte-PIN oder ein Muster). Diese Faktoren sind unabhängig; die Kompromittierung einer Geräte-PIN kompromittiert beispielsweise nicht zwangsläufig den kryptografischen Schlüssel, wenn das Gerät selbst sicher bleibt. - **Phishing-Resistenz:** Wie ausführlich besprochen, sind Passkeys aufgrund ihrer kryptografischen Natur und ihrer Ursprungsbindung von Natur aus [Phishing-resistent](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden). Der private Schlüssel wird niemals der Relying Party ausgesetzt oder über das Netzwerk übertragen, und der Passkey funktioniert nur auf der legitimen Domain, für die er registriert wurde. Dies steht in direktem Einklang mit dem starken Schwerpunkt von PCI DSS 4.0 auf der Minderung von Phishing-Bedrohungen. - **Replay-Resistenz:** Jede [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) beinhaltet eine einzigartige kryptografische Challenge vom Server, die dann vom privaten Schlüssel signiert wird. Die resultierende Signatur ist nur für diese spezifische Challenge und Sitzung gültig, was sie resistent gegen Replay-Angriffe macht. Dies erfüllt Anforderung 8.5, die vorschreibt, dass MFA-Systeme solche Angriffe verhindern müssen. ### 6.2 Übertreffen der traditionellen passwortbasierten Sicherheit Im Vergleich zu traditionellen Passwörtern bieten Passkeys ein weitaus überlegenes Sicherheitsmodell. Passwörter sind anfällig für eine Vielzahl von Angriffen: Phishing, Social Engineering, [Credential Stuffing](https://www.corbado.com/glossary/credential-stuffing) aufgrund von Passwortwiederverwendung, Brute-Force-Angriffe und Diebstahl aus gehackten Datenbanken. Passkeys eliminieren diese Schwachstellen, indem sie das geteilte Geheimnis (das Passwort) vollständig aus der Gleichung entfernen. Die Authentifizierung beruht auf dem kryptografischen Nachweis des Besitzes eines privaten Schlüssels, der selbst durch die lokale Gerätesicherheit geschützt ist, anstatt auf einem Geheimnis, das leicht gestohlen oder erraten werden kann. ### 6.3 Die Perspektive des PCI SSC auf Passkeys Das PCI Security Standards Council hat das Potenzial der Passkey-Technologie erkannt. Einblicke aus dem PCI SSC-Podcast [„Coffee with the Council“](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) mit einer Diskussion mit der FIDO Alliance geben Aufschluss über ihre Haltung: - Für den nicht-administrativen Zugriff auf die Karteninhaberdatenumgebung (CDE) von _innerhalb_ des Netzwerks des Unternehmens (Anforderung 8.4.2) gibt das PCI SSC an, dass Phishing-resistente Authentifizierungsmethoden wie Passkeys _anstelle_ von traditioneller MFA verwendet werden können. Dies ist eine bedeutende Anerkennung der Stärke von Passkeys. - Für den administrativen Zugriff auf die CDE (Anforderung 8.4.1) und für jeden Fernzugriff auf das Netzwerk (Anforderung 8.4.3) müssen Passkeys (als Phishing-resistente Authentifizierung), obwohl empfohlen, _in Verbindung mit einem anderen Authentifizierungsfaktor verwendet werden_, um die MFA-Anforderung zu erfüllen. Dies deutet auf einen risikobasierten Ansatz hin, bei dem Szenarien mit höheren Privilegien oder höherem Risiko eine zusätzliche Schicht erfordern. - Das PCI SSC entwickelt aktiv Leitlinien, wie z. B. FAQs, um Organisationen zu helfen, zu verstehen, wie Passkeys konform implementiert werden können, und erkennt an, dass Passkeys einen fundamentalen Wandel gegenüber dem traditionellen passwortbasierten Denken darstellen. - Darüber hinaus verweist die Dokumentation von PCI DSS 4.0 explizit auf [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-basierte Authentifizierung als eine bevorzugte, wenn auch nicht vorgeschriebene, Methode zur Implementierung von MFA, was ihre Übereinstimmung mit den Zielen des Standards unterstreicht. Diese Position ermöglicht es Organisationen, Passkeys strategisch einzusetzen. Für die breite Basis nicht-administrativer Benutzer, die intern auf die CDE zugreifen, kann ein nahtloser Passkey-Login die Compliance-Anforderungen erfüllen. Für Administratoren und Fernbenutzer bieten Passkeys eine starke, Phishing-resistente Grundlage für eine MFA-Lösung. ### 6.4 Passkey-Typen, Faktorunabhängigkeit und Attestation: Navigation durch die QSA-Erwartungen für Anforderung 8 Obwohl Passkeys ein signifikantes Sicherheitsupgrade bieten, werden PCI DSS Qualified Security Assessors (QSAs) ihre Implementierung genau prüfen, insbesondere für risikoreiche Zugriffsszenarien wie den administrativen Zugriff auf die CDE (Anforderung 8.4.1), um sicherzustellen, dass die Prinzipien der echten Multi-Faktor-Authentifizierung erfüllt sind. Wichtige Überlegungen sind der Typ des Passkeys, die Unabhängigkeit der Authentifizierungsfaktoren und die Verwendung von [Attestation](https://www.corbado.com/glossary/attestation). #### 6.4.1 Synchronisierte vs. gerätegebundene Passkeys: Wie wir bereits besprochen haben, gibt es Passkeys in zwei Hauptformen: - _Synchronisierte Passkeys:_ Diese werden über die vertrauenswürdigen Geräte eines Benutzers über Cloud-Dienste wie Apple [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) oder den [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) synchronisiert. Sie bieten Komfort, da ein auf einem Gerät erstellter Passkey auf einem anderen verwendet werden kann. - _Gerätegebundene Passkeys:_ Diese sind an einen bestimmten physischen [Authenticator](https://www.corbado.com/glossary/authenticator) gebunden, wie z. B. einen USB-[Hardware-Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025) (z. B. [YubiKey](https://www.corbado.com/glossary/yubikey)) oder die sichere Hardware eines bestimmten Telefons. Der private Schlüssel verlässt dieses spezifische Gerät nicht. #### 6.4.2 Faktorunabhängigkeit und QSA-Prüfung PCI DSS schreibt vor, dass MFA-Faktoren unabhängig sein müssen, was bedeutet, dass die Kompromittierung eines Faktors andere nicht kompromittiert. Ein Passkey kombiniert typischerweise „etwas, das Sie haben“ (das Gerät mit dem privaten Schlüssel) und „etwas, das Sie wissen/sind“ (die lokale Geräte-PIN oder [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) zum Entsperren des Schlüssels). Bei synchronisierten Passkeys, obwohl sie gegen viele Angriffe sehr sicher sind, könnten einige QSAs Fragen zur absoluten Unabhängigkeit des „Besitz“-Faktors für den administrativen Zugriff (Anforderung 8.4.1) aufwerfen. Die Sorge ist, dass, wenn das Cloud-Konto des Benutzers (z. B. Apple ID, Google-Konto), das die Passkeys synchronisiert, kompromittiert wird, der private Schlüssel potenziell auf ein vom Angreifer kontrolliertes Gerät geklont werden könnte. Dies könnte einige Prüfer dazu veranlassen, einen synchronisierten Passkey in risikoreichen Kontexten als potenziell nicht der strengen Auslegung von zwei vollständig unabhängigen Faktoren entsprechend anzusehen, wenn der Synchronisierungsmechanismus selbst nicht robust mit seiner eigenen starken MFA gesichert ist. [NIST](https://www.corbado.com/blog/nist-passkeys)-Richtlinien erkennen beispielsweise synchronisierte Passkeys als [AAL2](https://www.corbado.com/blog/nist-passkeys)-konform an, während gerätegebundene Passkeys [AAL3](https://www.corbado.com/blog/nist-passkeys) erfüllen können, was oft nicht exportierbare Schlüssel beinhaltet. - **Verständnis der WebAuthn-Authenticator-Flags:** Während einer WebAuthn-Zeremonie (die Passkeys zugrunde liegt) melden Authenticatoren bestimmte Flags. Zwei wichtige sind: - **uv=1 (User Verified):** Dieses Flag zeigt an, dass der Benutzer seine Anwesenheit gegenüber dem [Authenticator](https://www.corbado.com/glossary/authenticator) lokal erfolgreich verifiziert hat, typischerweise mit einer Geräte-PIN oder Biometrie. Diese Verifizierung fungiert als einer der Authentifizierungsfaktoren – „etwas, das Sie wissen“ (PIN) oder „etwas, das Sie sind“ (Biometrie). - **up=1 (User Present):** Dieses Flag bestätigt, dass der Benutzer anwesend war und während der Zeremonie mit dem Authenticator interagiert hat (z. B. durch Berühren eines Sicherheitsschlüssels). Obwohl dies entscheidend ist, um die Absicht des Benutzers zu beweisen und bestimmte Fernangriffe zu verhindern, wird die Benutzerpräsenz selbst im Allgemeinen nicht als separater, unabhängiger Authentifizierungsfaktor zur Erfüllung der Multi-Faktor-Anforderung von MFA angesehen. Es ist ein wichtiges Sicherheitsmerkmal, zählt aber normalerweise nicht als zweiter _Faktor_ für sich allein. - **Die Rolle von gerätegebundenen Passkeys und Hardware-Sicherheitsschlüsseln:** Für den administrativen Zugriff (Anforderung 8.4.1) und andere Szenarien mit hoher Sicherheit bieten gerätegebundene Passkeys, die auf Hardware-Sicherheitsschlüsseln gespeichert sind, ein stärkeres Argument für die Faktorunabhängigkeit. Da der private Schlüssel so konzipiert ist, dass er den Hardware-Token niemals verlässt, ist der „Etwas, das Sie haben“-Faktor robuster gegen Klonen durch softwarebasierte Angriffe oder die Kompromittierung von Cloud-Konten geschützt. Dies macht sie zu einer bevorzugten Option für viele Organisationen, die die strengen QSA-Erwartungen für administrative MFA erfüllen möchten. #### 6.4.3 Attestation zur Authenticator-Verifizierung [Attestation](https://www.corbado.com/glossary/attestation) ist eine Funktion in WebAuthn, bei der der Authenticator während des Passkey-Registrierungsprozesses überprüfbare Informationen über sich selbst (z. B. Hersteller, Modell, Zertifizierungsstatus, ob er hardwaregestützt ist) an die Relying Party (Ihren FIDO-Server) liefert. - **Warum es für PCI DSS wichtig ist:** [Attestation](https://www.corbado.com/glossary/attestation) kann QSAs entscheidende Beweise dafür liefern, dass die verwendeten Authenticatoren den Sicherheitsrichtlinien der Organisation entsprechen und wirklich das sind, was sie vorgeben zu sein (z. B. ein zertifizierter Hardware-Sicherheitsschlüssel). Dies kann besonders wichtig sein, um die Stärke und Unabhängigkeit der Authentifizierungsfaktoren nachzuweisen. - **Empfehlung:** Für hochsichere Zugriffe wie den administrativen CDE-Zugriff wird die Verwendung von Passkeys auf Hardware-Sicherheitsschlüsseln, die eine robuste Attestation unterstützen, dringend empfohlen. Dies ermöglicht es der Organisation, Richtlinien über akzeptable Authenticator-Typen durchzusetzen und einen stärkeren Nachweis der Compliance zu erbringen. In der Praxis entscheiden sich viele Unternehmen, um Audit-Reibung bei Anforderung 8.4.1 zu vermeiden, für die Ausgabe von gerätegebundenen Passkeys auf Hardware-Sicherheitsschlüsseln, die starke Zusicherungen zum Schlüsselschutz und potenziell zur Attestation bieten. ### 6.5 Zuordnung von Passkeys zu den Unterklauseln von Anforderung 8 Um klar zu veranschaulichen, wie Passkeys die Lücke schließen und die in Anforderung 8 detaillierten Kontrollen erfüllen, ordnet die folgende Tabelle spezifische Passkey-Funktionen und -Eigenschaften den relevanten Unterklauseln zu und gibt ihre Eignung für verschiedene Szenarien an. | Anf. 8 Unterklausel | Passkey-Funktion | Wie Passkey erfüllt/übertrifft | Synchronisiert OK? | Gerätegebunden OK? | | :----------------------------- | :-------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------------- | :----------------- | | 8.2 (Benutzer-ID) | Eindeutige Benutzer-ID über Passkey | Jeder Passkey ist einzigartig für die Registrierung eines Benutzers bei einem Dienst. Private Schlüssel werden nicht geteilt. Ermöglicht individuelle Verantwortlichkeit. | ✅ | ✅ | | 8.3.x (Passwörter) | Passwort-Ersatz | Wenn Passkeys Passwörter für einen Zugriffspfad vollständig ersetzen, werden passwortspezifische Kontrollen (Länge, Komplexität, Rotation, Historie) für diesen Pfad N/A, was die Compliance für diese Kontrollen vereinfacht. | ✅ | ✅ | | 8.4.1 (Admin-MFA) | Phishing-resistenter Faktor (Gerät + Lokal) | Passkey dient als ein starker, Phishing-resistenter Faktor. (QSA-Prüfung der Faktorunabhängigkeit bei synchronisierten Passkeys). | ⚠️ | ✅ | | 8.4.2 (Nicht-Konsolen-MFA) | Phishing-resistente Auth. (Gerät + Lokal) | Phishing-resistente Authentifizierung (wie Passkeys) kann _anstelle_ von traditioneller MFA für dieses Szenario verwendet werden. | ✅ | ✅ | | 8.4.3 (Remote-MFA) | Phishing-resistenter Faktor (Gerät + Lokal) | Passkey dient als ein starker, Phishing-resistenter Faktor für den Netzwerkzugriff. (QSA-Prüfung der Faktorunabhängigkeit bei synchronisierten Passkeys). | ⚠️ | ✅ | | 8.5.1 (Replay-Resistenz) | Eindeutige Challenge/Response | Jeder Login erzeugt eine einzigartige Signatur, die an eine Server-Challenge gebunden ist, was die Wiederverwendung abgefangener Authentifizierungsdaten verhindert. | ✅ | ✅ | | 8.5.x (Faktorunabhängigkeit) | Unterschiedliche lokale Faktoren (Gerät+Lokal) | Der kryptografische Schlüssel auf dem Gerät und die lokale Biometrie/PIN sind unabhängig. Die kryptografische Operation wird erst nach erfolgreicher lokaler Benutzerverifizierung durchgeführt. (Faktorunabhängigkeit bei synchronisierten Schlüsseln kann von QSAs in Hochrisikoszenarien in Frage gestellt werden). | ⚠️ | ✅ | | Phishing-Resistenz (Allgemein) | Kernsicherheit (Ursprungsbindung, keine Geheimnisse, PK-Krypto) | Grundlegend darauf ausgelegt, Phishing-Angriffe abzuwehren, indem sichergestellt wird, dass der Passkey nur auf der legitimen Seite funktioniert und kein Geheimnis übertragen wird, das gestohlen werden kann. | ✅ | ✅ | Diese Zuordnung zeigt, dass Passkeys nicht nur eine theoretische, sondern eine praktische und robuste Lösung zur Erfüllung der fortgeschrittenen Authentifizierungsanforderungen von PCI DSS 4.0 sind. ## 7. Fazit: Passkeys für eine starke Authentifizierung nutzen Die Landschaft der Zahlungssicherheit ist komplex und entwickelt sich ständig weiter. PCI DSS 4.0 spiegelt diese Realität wider und legt eine höhere Messlatte für Sicherheitskontrollen, insbesondere im Bereich der Authentifizierung. Während Organisationen bestrebt sind, diesen neuen, strengeren Anforderungen gerecht zu werden, erweisen sich Passkeys – basierend auf FIDO/WebAuthn-Standards – nicht nur als konforme Lösung, sondern als transformative Technologie, die den sicheren Zugriff neu definieren wird. Im Laufe dieser Analyse haben zwei zentrale Fragen unsere Untersuchung geleitet: 1. **Da PCI DSS 4.0 die Messlatte für die Authentifizierung höher legt, wie können Organisationen diese strengen neuen Anforderungen effektiv erfüllen, ohne Benutzer oder Sicherheitsteams zu überlasten?** Die Beweise deuten stark darauf hin, dass Organisationen die Authentifizierungsanforderungen von PCI DSS 4.0 effektiv erfüllen können, indem sie strategisch Phishing-resistente Multi-Faktor-Authentifizierungslösungen (MFA) wie Passkeys einführen. Diese Technologien bringen von Natur aus robuste, kryptografisch verifizierte Sicherheit mit deutlich verbesserten, oft schnelleren Benutzererfahrungen in Einklang. Darüber hinaus ermöglicht die Zulassung von „angepassten Implementierungen“ durch PCI DSS 4.0 den Organisationen, solche fortschrittlichen Lösungen auf ihre spezifischen Umgebungen und Risikoprofile zuzuschneiden und sich von einem Einheitsansatz zu lösen. Die eigene Anleitung des PCI SSC erleichtert dies zusätzlich, indem sie eine optimierte Compliance für einen großen Teil der Benutzer ermöglicht, während für risikoreichere administrative und Fernzugriffe mehrschichtige Ansätze vorbehalten bleiben. 2. **Können aufkommende Technologien wie Passkeys nicht nur die robusten Authentifizierungskontrollen von PCI DSS 4.0 erfüllen, sondern auch greifbare Vorteile über die reine Compliance hinaus bieten, wie z. B. erhöhte Sicherheit und verbesserte betriebliche Effizienz?** Die Antwort ist ein klares Ja. Passkeys sind nachweislich in der Lage, die zentralen Authentifizierungskontrollen innerhalb der PCI DSS 4.0 Anforderung 8 zu erfüllen, einschließlich ihrer MFA-, Phishing-Resistenz- und Replay-Resistenz-Kriterien. Ihr Wert geht jedoch über die reine Compliance hinaus. Das inhärente Design von Passkeys – die Eliminierung geteilter Geheimnisse und die Bindung der Authentifizierung an spezifische Ursprünge – reduziert das Risiko erfolgreicher Phishing-Angriffe und Kontoübernahmen drastisch, was zu greifbaren Reduzierungen von betrugsbedingten Verlusten führt. Betrieblich führt der Abschied von Passwörtern zu weniger passwortbezogenen Helpdesk-Tickets, was Kosten spart und IT-Ressourcen freisetzt. Benutzer profitieren von einem einfacheren, schnelleren und weniger frustrierenden Anmeldeerlebnis, was die Produktivität und Kundenzufriedenheit verbessern kann. Darüber hinaus entfällt bei vollständigem Ersatz von Passwörtern durch Passkeys für spezifische Zugriffspfade die Audit-Last für passwortspezifische Kontrollen, was die Compliance-Bemühungen in diesen Bereichen potenziell rationalisiert. Der Weg zu einem wirklich sicheren Zahlungsökosystem ist ein kontinuierlicher Prozess. PCI DSS 4.0 setzt neue Meilensteine, und die Passkey-Authentifizierung bietet ein leistungsstarkes Mittel, um diese zu erreichen. Organisationen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, wird dringend empfohlen, die Einführung von Passkeys zu bewerten und zu planen. Es geht nicht nur darum, sich an die neueste Version eines Standards zu halten; es geht darum, einen sichereren, effizienteren und benutzerzentrierten Ansatz zur Authentifizierung zu verfolgen, der mit der Zukunft der digitalen [Identität](https://www.corbado.com/de/blog/digital-credentials-api) übereinstimmt. Durch die strategische Implementierung von Passkeys können Unternehmen ihre Abwehrmaßnahmen gegen sich entwickelnde Bedrohungen stärken, wertvolle Zahlungsdaten schützen und in einer zunehmend digitalen Welt größeres Vertrauen bei ihren Kunden aufbauen.