Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 19.06.2026 · 2 min Lesezeit

PCI DSS 4.0.1: Checkout-Skripte als Sicherheitsrisiko - was Admins jetzt prüfen müssen

The Hacker News, PCI Council und SecurityWeek: PCI DSS 4.0.1 macht CSP, SRI und Script-Inventar zur Pflicht. Technische Maßnahmen gegen Magecart.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Redaktionelle IT-News-Grafik zu PCI DSS 4.0.1: Checkout-Skripte als Sicherheitsrisiko - was Admins jetzt pruefen muessen

The Hacker News, PCI Security Standards Council und BleepingComputer berichten über eine Verschärfung der PCI-DSS-Anforderungen für Skripte auf Zahlungsseiten. PCI DSS 4.0.1 macht Content Security Policies (CSP), Subresource Integrity (SRI) und regelmässige Script-Inventare zur Pflicht. Für Admins mit E-Commerce-Shops bedeutet das konkrete Massnahmen gegen Magecart, Formgrabbing und Skimming.

Meldung und Einordnung

Drittanbieter-Skripte auf Checkout-Seiten sind kein neues Problem. Magecart-Angreifer nutzen seit Jahren kompromittierte Tracking-Skripte und Tag-Manager. Die Zahl der Vorfälle stieg um 37 Prozent (BleepingComputer). Der PCI Council reagiert mit PCI DSS 4.0.1.

Bisher galt: keine eigenen Skripte auf der Zahlungsseite (SAQ A). SAQ A-EP verlangte detailliertere Kontrollen. Mit 4.0.1 werden beide SAQ-Typen verschärft und um technische Prüfungen ergänzt.

Technische Details für Admins

Die neuen Anforderungen:

AnforderungBeschreibungTechnische Umsetzung
Req 6.4.3Script-Inventar: Alle Skripte inventarisiert, autorisiert, Integrität geprüftListe mit URLs, SHA-384-Hashes, Zweck
Req 6.2.2Subresource Integrity für externe Skripteintegrity-Attribut mit sha384-Hash
Req 11.6.1Vierteljährlicher Scan auf unautorisierte SkripteDOM-Vergleich mit Baseline
Req 12.9.1Nachweispflicht für DrittanbieterSchriftliche Bestätigung der Controls

CSP muss mit nonce- oder hash-basiertem script-src arbeiten. unsafe-inline auf Zahlungsseiten nicht mehr zulässig.

Risiko für KMU und Betrieb

KMU mit WooCommerce, Shopify oder anderen Shop-Systemen sind besonders betroffen. Tracking-Skripte, Tag-Manager und Zahlungs-Widgets sind potenzielle Angriffspunkte. Ein kompromittiertes Plugin kann auf der Checkout-Seite beliebigen JavaScript-Code einschleusen.

Ein Magecart-Angriff bleibt oft wochenlang unbemerkt. Imageschaden und PCI-DSS-Nachaudit können ein KMU in Existenznöte bringen. Req 11.6.1 soll diese Erkennungszeiträume verkürzen.

Was Admins jetzt prüfen sollten

  1. Script-Inventar: Alle Scripts auf Checkout-Seite dokumentieren: Quelle, Zweck, SHA-384
  2. CSP konfigurieren: Content-Security-Policy mit nonce-basiertem script-src und strict-dynamic
  3. SRI für externe Skripte: integrity-Attribut mit SHA-384-Hash an jedes externe Script
  4. Tag-Manager prüfen: GTM CSP-Unterstützung in Container-Einstellungen aktivieren
  5. Baseline-Scan: Automatischer täglicher DOM-Vergleich mit Baseline
  6. Drittanbieter-Nachweis: Vom Zahlungsdienstleister schriftliche Bestätigung anfordern

Betriebscheck nach der Meldung

  1. Checkout-Seite mit DevTools auf unerwartete Skripte geprüft?
  2. CSP-Header im Report-Only getestet, dann auf Enforce umgestellt?
  3. Script-Integrität bei jedem Deployment automatisch geprüft?
  4. Zahlungs-Widget regelmässig gegen offizielle Quelle geprüft?
  5. Incident-Response-Plan für kompromittierte Checkout-Seite?

Admin-Einschätzung

Req 6.2.2 (SRI) und Req 11.6.1 sind technisch präzise und mit Standard-Mitteln umsetzbar. Grösster Aufwand: Script-Inventar und CSP bei gewachsenen Skript-Strukturen.

Wer Checkout-Seite dokumentiert, CSP und SRI einrichtet, hat nicht nur PCI-Compliance, sondern echten Schutz gegen Magecart.

Passende Anleitungen auf S-EDV

  1. Docker Compose absichern - Shop-Container sicher betreiben
  2. Linux-Server absichern: UFW und Fail2ban - Basis für Shop-Server

Quellen

  1. The Hacker News: Checkout page scripts security problem
  2. PCI Security Standards Council: Document Library
  3. BleepingComputer: Magecart Attacks Force PCI DSS 4.0.1
Verwandt

Weiter lesen

Alle Artikel →
IT News Grafik zur Sicherheitslücke im WordPress Plugin Gravity SMTP. Darstellung eines unautorisierten Datenlecks mit offengelegten API Schlüsseln, Systeminformationen, Serverdaten und Cybersecurity Warnhinweisen für WordPress Administratoren.
18.06.2026 ·4 min

Gravity SMTP: Unauthentifizierte Lücke leakt API-Schlüssel und Systemdaten WordPress-Sites

Das WordPress-Plugin Gravity SMTP mit 100.000 Installationen hat eine unauthentifizierte REST-API-Lücke, die vollständige Systemberichte inklusive API-Schlüssel und OAuth-Tokens preisgibt. Wordfence zählte 17 Millionen Ausnutzungsversuche.
IT News Grafik zu WordPress Sicherheit mit Plugin Risiken, festen Updateprozessen und Prüfprozessen für Administratoren.
18.06.2026 ·2 min

WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse

WordPress bleibt durch seine Plugin-Landschaft ein häufiges Angriffsziel. Betreiber sollten Updates, Rechte, Backups und Plugin-Auswahl konsequent prüfen.
Moderne IT-Grafik zur Anleitung für die native Installation von WordPress auf Ubuntu mit LAMP-Stack, Apache, MariaDB und PHP-FPM, inklusive Server, Terminal, Weboberfläche und wichtigen Konfigurationspfaden.
16.06.2026 ·10 min

WordPress nativ auf Ubuntu installieren: LAMP-Stack mit Apache, MariaDB und PHP-FPM (ohne Docker)

WordPress 7.0 direkt auf Ubuntu 24.04 LTS betreiben – ohne Docker, dafür mit Apache 2.4, MariaDB 10.11 und PHP 8.3-FPM als produktionsreifem LAMP-Stack. Diese Anleitung führt dich Schritt für Schritt von der Paketinstallation bis zu TLS, systemd-Services und korrekten Dateiberechtigungen.