Sicherheitsgrundlagen
PCI DSS-Passwort-Anforderungen: Compliance-Richtlinien
PCI DSS verpflichtet zu strengen Passwort-Richtlinien, um Karteninhaberdaten zu schützen. Dieser Leitfaden erläutert die wesentlichen Anforderungen für sichere Passwort-Verwaltung und Compliance.
Wissenswert
1 Min. LesezeitAktualisiert: 27.03.2026Autor: GeneratePasswordTo Editorial Team
Wichtige PCI DSS-Passwort-Anforderungen
Der Payment Card Industry Data Security Standard (PCI DSS) definiert klare Richtlinien zum Schutz sensibler Zahlungsinformationen. Unternehmen, die Kartendaten speichern, verarbeiten oder übertragen, müssen diese Anforderungen erfüllen, um Sicherheitsrisiken zu minimieren und regulatorische Compliance zu gewährleisten.
Die zentralen Passwortanforderungen nach PCI DSS umfassen:
1. Passwort-Komplexität: Passwörter müssen eine Mischung aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Durch diese Vielfalt wird die Anzahl möglicher Kombinationen erhöht, was Brute-Force-Angriffe deutlich erschwert.
2. Minimale Passwort-Länge: Passwörter müssen mindestens 7 Zeichen enthalten, empfohlen wird jedoch eine Länge von 12 oder mehr Zeichen, um die Sicherheit zu erhöhen. Längere Passwörter sind schwerer zu erraten und bieten einen besseren Schutz vor unbefugtem Zugriff.
3. Passwort-Verfallsfrist: Passwörter sollten alle 90 Tage geändert werden. Systeme, die längere Intervalle zulassen, müssen eine Risikoanalyse durchführen, um sicherzustellen, dass die Sicherheit nicht beeinträchtigt wird. Regelmäßige Passwortwechsel begrenzen das Risiko kompromittierter Konten.
4. Multi-Faktor-Authentifizierung (MFA): MFA ist Pflicht für Systeme, die Kartendaten verarbeiten. Die Kombination mehrerer Authentifizierungsfaktoren (z. B. Passwort + Token oder Biometrie) bietet einen signifikant höheren Schutz als Passwörter allein.
5. Kontensperre: Nach einer definierten Anzahl fehlerhafter Anmeldeversuche müssen Konten automatisch gesperrt werden, um Brute-Force-Angriffe zu verhindern und den Missbrauch von schwachen Passwörtern zu minimieren.
Zusätzlich empfiehlt PCI DSS: die Überwachung und Protokollierung von Anmeldeaktivitäten, das Verbot der Wiederverwendung von Passwörtern oder die Verwendung einfacher Passwörter und die Schulung von Benutzern im sicheren Umgang mit Passwörtern. Diese Maßnahmen tragen dazu bei, die Sicherheitsrisiken weiter zu reduzieren.
Die Einhaltung dieser Anforderungen schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen von Kunden und Partnern und gewährleistet die Einhaltung der Industriestandards.
- Mindestens 7 Zeichen mit Kombination aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen.
- Empfohlen: Passwörter mit 12 oder mehr Zeichen.
- Regelmäßiger Passwortwechsel alle 90 Tage oder längere Intervalle mit Risikoanalyse.
- MFA erforderlich für alle Systeme mit Kartendatenzugriff.
- Automatische Kontensperre nach mehreren fehlgeschlagenen Anmeldeversuchen.
- Überwachung und Protokollierung der Anmeldeaktivitäten.
- Verbot der Wiederverwendung einfacher oder kompromittierter Passwörter.
- Benutzerschulung für Erstellung und Verwaltung sicherer Passwörter.