Autor: DMARC Team

PCI DSS – Implementierung von DMARC bald für Händler notwendig

Als Reaktion auf die explosionsartige Zunahme von weltweit gemeldeten Phishing-Angriffen wird die nächste Version der Standards für die Kreditkartenindustrie (PCI DSS v4.0) die Implementierung des DMARC-Protokolls vorschreiben, um den E-Mail-Verkehr sicherer zu machen.

Hier finden Sie alles, was Sie darüber wissen sollten.

Was ist PCI DSS und wer ist davon betroffen?

Dieses Akronym steht für eine Reihe von Sicherheitsstandards, die entwickelt wurden, um den Schutz von Informationen im Zusammenhang mit Kreditkarten zu gewährleisten. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) geschaffen. Die Organisation vereint die wichtigsten Unternehmen der Kreditkartenbranche wie Visa, MasterCard, American Express, Discover und JCB.

Das Hauptziel des PCI DSS ist es, die Sicherheit von Transaktionen mit Kreditkarten zu gewährleisten und die sensiblen Daten der Karteninhaber, wie  Kartennummern, Ablaufdaten und Geheimzahl, zu schützen.

Die Einhaltung des PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen verarbeiten, speichern oder weitergeben.

In seiner aktuellen Version basiert der Standard auf den folgenden Kriterien:

  • Einrichtung und Verwaltung eines sicheren Netzwerks und Systems
  • Schutz der Daten des Karteninhabers
  • Aufrechterhaltung eines Programms zum Schwachstellenmanagement
  • Umsetzung strenger Maßnahmen zur Zugangskontrolle
  • Regelmäßige Überwachung und Tests der Netzwerke
  • Aufrechterhaltung einer Richtlinie zur Informationssicherheit

E-Mails nicht betroffen von den Maßnahmen – bis März 2025

Wie Sie bemerkt haben, werden E-Mails in den Kriterien, die der PCI DSS-Standard in seiner aktuellen Version definiert, nicht eindeutig erwähnt. Da E-Mails jedoch der Hauptvektor für Online-Betrügereien sind, war es höchste Zeit, sie vollständig in den Mittelpunkt zu stellen und einen starken Aktionsplan zum Schutz von Händlern und ihren Kunden zu definieren.

In diesem Zusammenhang wird sich der PCI DSS-Standard bald weiterentwickeln und den Einsatz einer strengen DMARC-Richtlinie („p=reject“ oder „p=quarantine“) vorschreiben, damit Anti-Spam-Software E-Mails, die von Ihrem Domainnamen aus ohne Ihre Genehmigung verschickt werden, effektiver herausfiltern kann.

Ab März 2025 werden PCI DSS-Prüfer die korrekte Konfiguration der Protokolle SPF, DKIM und DMARC bei ihren Audits berücksichtigen.

Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.

Bildnachweis: pixabay/storyset.com/nameshield

Neue Anforderungen an die E-Mail-Authentifizierung von Google und Yahoo

Google und Yahoo haben kürzlich bedeutende Änderungen an ihren Anforderungen für die Authentifizierung von E-Mails angekündigt. Diese Anpassungen zielen darauf ab, die Sicherheit der Online-Kommunikation zu erhöhen, was in der heutigen Zeit der Cyberkriminalität eine große Herausforderung darstellt.

Die beiden Branchenriesen legen den Schwerpunkt auf die Einführung fortschrittlicher Authentifizierungsprotokolle, insbesondere DMARC (Domain-based Message Authentication, Reporting and Conformance). DMARC baut auf den bestehenden Standards SPF und DKIM auf und bietet eine robuste Methode, um die Authentizität von E-Mails zu überprüfen und das Risiko von Identitätsdiebstahl und Phishing zu verringern.

Um diese neuen Anforderungen umzusetzen, werden Google und Yahoo ihre Algorithmen anpassen, um E-Mails von Domains zu priorisieren, die DMARC korrekt implementiert haben. Dadurch soll die Zustellbarkeit authentifizierter E-Mails verbessert werden, wodurch das Vertrauen der Nutzer in die Sicherheit ihrer Posteingänge gestärkt wird.

Die neuen Richtlinien gelten ab dem 1. Februar 2024 für alle Absender, die mehr als 5.000 E-Mails pro Tag versenden. Sie unterstreichen das Engagement von Google und Yahoo im Kampf gegen Online-Bedrohungen, insbesondere gegen Phishing, eine gängige Methode von Cyberkriminellen, um Nutzer zu täuschen und an ihre sensiblen Informationen zu gelangen. Durch die Einführung strengerer Anforderungen an die E-Mail-Authentifizierung erhöhen diese Unternehmen den Schutz der Nutzer vor bösartigen Angriffen.

Für Domaininhaber und Akteure der digitalen Welt ist es nun entscheidend, diese neuen Richtlinien einzuhalten, um zur Schaffung eines sichereren und geschützteren Internets für alle beizutragen.

Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.