PCI-Konformitätskostenrechner & Leitfaden

Ob Ihre Systeme gesichert oder völlig offen sind. Ob Sie selbst Hand anlegen, einen Berater engagieren oder alles einem Managed Service übergeben. Und ob Ihr Personal jemals—wirklich jemals—Kartendaten in einen Browser eingibt statt in ein Terminal.

Dieser Rechner trennt die Spreu vom Weizen.

Beantworten Sie ein paar Fragen zu Ihrer Zahlungsstruktur und Ihrer Sicherheitslage, und Sie erhalten die Gesamtkosten für das erste Jahr und jährlich – plus eine Übersicht, was die Kosten verursacht und wie Sie diese senken können, ohne Abstriche bei der Sicherheit zu machen.

So benutzen Sie den PCI-Compliance-Kostenrechner

Der Rechner führt Sie systematisch durch Ihre Umgebung:

1. Wählen Sie, wie Sie Zahlungen akzeptieren. Nur im Geschäft, nur online oder beides? Jeder Kanal bringt andere Compliance-Anforderungen mit sich – E-Commerce erfordert Scans, Handel vor Ort bringt Geräteverwaltung, Omnichannel bedeutet beides.
2. Geben Sie Standorte und Terminals an. Mehr Filialen und Kassen bedeuten mehr Richtlinien, mehr Endpunkte zur Absicherung und mehr Geräteverwaltung. Der Rechner berücksichtigt dies automatisch.
3. Wählen Sie Ihr monatliches Kartenvolumen. Ein höheres Transaktionsvolumen steigert die Kosten nicht linear, wirkt sich aber auf Prüfanforderungen und Kontrolle durch den Zahlungsabwickler aus. Der Rechner passt das entsprechend an.
4. Passen Sie optionale Einstellungen an. Wählen Sie Ihr System-Sicherheitsniveau (Basis, Mittel oder Fortgeschritten). Wählen Sie aus, wer die Compliance übernimmt – Sie selbst, Sie mit Beraterhilfe oder vollständig verwaltet. Geben Sie an, ob Mitarbeitende Karten in Browser eingeben und ob Terminals validiertes P2PE verwenden. Diese Optionen beeinflussen die Gesamtkosten erheblich.
5. Sie sehen Ihre Schätzung. Sie erhalten die Kosten fürs erste Jahr (inklusive Einrichtung) und die laufenden Jahreskosten. Die Aufschlüsselung zeigt, was die Summe antreibt – so können Sie gezielt optimieren.

Was die PCI-Compliance-Kosten tatsächlich bestimmt

Wenige Faktoren bestimmen den größten Teil der Gesamtkosten. Verstehen Sie diese, treffen Sie bessere Entscheidungen, bevor Sie Verträge unterzeichnen.

• Zahlungsfluss und Architektur. Gehosteter Checkout, bei dem Ihre Seite nie Kartendaten sieht? Minimale Anforderungen, minimale Kosten. Lokale Kassensysteme im flachen Firmennetzwerk? Maximale Anforderungen, maximale Kosten. P2PE-validierte Terminals, die Kartendaten direkt am Eingangspunkt verschlüsseln? Liegen irgendwo dazwischen – aber näher an den Minimal-Anforderungen.
• Anzahl der Standorte und Terminals. Jede Filiale benötigt Richtlinien, Mitarbeiterschulungen und ggf. eigene Scans. Jedes Terminal braucht Geräteverwaltung, Konfigurationsstandards und Sicherheitspatches. Fünf Standorte mit 20 Terminals verursachen mehr Aufwand als ein Standort mit fünf Terminals – aber nicht proportional mehr, wenn Sie es clever anstellen.
• Sicherheitsniveau. Bereits abgesicherte Systeme mit segmentierten Netzwerken, Patchmanagement, Zugangskontrollen und dokumentierten Richtlinien? Geringere Kosten, da weniger zu beheben ist. Offene Netzwerke, bei denen POS-Infrastruktur mit WLAN, Gastgeräten und Administrator-Arbeitsplätzen geteilt wird? Höhere Kosten, da alles von Grund auf aufgebaut werden muss.
• Selber machen oder Managed Services. Berater kosten Geld. Selber machen kostet Zeit. Es geht nicht darum, was günstiger ist – sondern was termingerecht klappt. Haben Sie ein IT-Team, das Netzwerksegmentierung kennt und Schwachstellenscans durchführen kann, funktioniert DIY. Führen Sie zu zweit 15 Filialen, sollten Sie auslagern. Im Rechner können Sie beide Varianten vergleichen.
• Menschen und Abläufe. Das Teuerste ist, wenn Mitarbeitende Karten in Browser eingeben – auch nur gelegentlich. Tippt ein Filialleiter Kartendaten in ein virtuelles Terminal an einem ungesicherten Laptop, dehnt das den Scope von wenigen Terminals auf alle Geräte im Netzwerk aus. Optimieren Sie zuerst die Arbeitsabläufe, dann das Compliance-Budget.

So machen Sie diese Schätzung nutzbar

Starten Sie heute mit den aktuellen Kosten.

Lassen Sie den Rechner mit Ihrer aktuellen Konfiguration laufen – mit allen Schwächen. Mitarbeitende geben Karten in Browser ein? Haken Sie das Kästchen ab. Flaches Netzwerk? Wählen Sie „Basis“-Sicherheit. DIY? Wählen Sie es aus. Das ist Ihre Ausgangsbasis.

Vergleichen Sie mit dem Risiko einer Datenpanne.

Laut Branchenangaben kostet eine Datenpanne durchschnittlich 200 $ pro kompromittierter Karte für Forensik, Benachrichtigung, Neuausstellung und Imageschäden.

Verarbeiten Sie 1.000 Karten im Monat und werden gehackt, stehen 200.000 $ Risiko im Raum. Plötzlich wirkt ein Compliance-Programm für 10.000 $ im Jahr günstig.

Modellieren Sie die optimierte Version.

Lassen Sie den Rechner jetzt noch einmal laufen, mit P2PE-Terminals, gehostetem Checkout beim Online-Verkauf und segmentierten Netzwerken.

Sehen Sie den Unterschied? Das ist Ihr Fahrplan. Wenn das Upgrade auf P2PE jährlich 15.000 $ an Compliance-Kosten spart, amortisiert es sich sehr schnell.

Beziehen Sie Prozessorstrafen mit ein.

Viele Zahlungsdienstleister erheben Nicht-Konformitätsgebühren—50 bis 200 $ pro Monat, bis Sie Ihr SAQ und Ihre Bestätigung abgeschlossen haben. Diese Gebühren allein können einen Berater oder Managed Service finanzieren.

Unser Leitfaden zu PCI-Compliance für kleine Unternehmen erklärt im Detail die Strafstrukturen nach Prozessortyp.

Ordnen Sie Ihr SAQ zu.

Wenn der Rechner hohe Kosten anzeigt und Sie überrascht sind, prüfen Sie, unter welches SAQ Sie fallen – nutzen Sie dazu unser PCI SAQ Quiz. Wenn Sie bei SAQ D (dem 329-Fragen-Monster) stecken, zeigt Ihnen der Rechner, warum—und wie Sie durch Verkleinerung des Umfangs zu einem einfacheren SAQ wechseln können.

Konkrete Wege, die Gesamtkosten zu senken, ohne an Qualität zu sparen

• Setzen Sie auf gehostete Lösungen im E-Commerce. Halten Sie Kartendaten komplett von Ihrer Website fern. Verwenden Sie gehostete Checkout-Seiten, Iframes oder Zahlungsfelder, die von Ihrem Zahlungsanbieter bereitgestellt werden – nicht von Ihrem CMS. So wechseln Sie von SAQ A-EP oder D zu SAQ A und sparen jährlich tausende Euro.
• Setzen Sie P2PE-validierte Terminals ein. Bei Point-to-Point-Verschlüsselung werden Kartendaten am Terminal verschlüsselt und bleiben es bis zur Entschlüsselung durch den Prozessor. Keine unverschlüsselten Kartendaten in Ihrer Umgebung bedeutet weniger Umfang, weniger Kontrollen, kürzere Audits. Fragen Sie Ihren Zahlungsdienstleister nach P2PE-Optionen – die Terminalkosten machen sich schnell bezahlt.
• Segmentieren Sie Ihre Netzwerke. Kassensysteme und Zahlungsterminals sollten keine Netzwerkinfrastruktur mit WLAN, Administrationsgeräten oder Gästebereich teilen. Ein segmentiertes VLAN für Zahlungssysteme verkleinert Ihre CDE (Umgebung für Karteninhaberdaten) vom gesamten Netzwerk auf lediglich das Zahlungssubnetz. Diese eine Änderung kann den Compliance-Aufwand um 60 % senken.
• Scans und Patching automatisieren. Vierteljährliche Schwachstellenscans sind für die meisten SAQs Pflicht. Monatliche Scans sind noch besser – sie entdecken Probleme, bevor sie auditrelevant werden. Automatisiertes Patch-Management hält Systeme aktuell ohne hektische Notfallaktionen. Beides reduziert Überraschungsaufwand während der Compliance-Phasen.
• Alles von Anfang an dokumentieren. Richtlinien, Schulungsnachweise, Änderungsprotokolle und Inventarlisten. Ist es nicht dokumentiert, gilt es als nicht passiert – und die Prüfer lassen Sie die Arbeit nachholen. Schreiben Sie laufend alles mit, statt erst kurz vor der jährlichen Validierung in den Unterlagen zu suchen.
• Schulen Sie Ihr Personal über das Warum, nicht nur das Was. „Kartennummern nicht aufschreiben“ ist eine Regel. „Kartennummern aufschreiben bedeutet, sie fallen in den Audit-Umfang, was unsere Compliance-Kosten verdreifacht und uns einer Haftung im Fall einer Datenpanne aussetzt“ ist eine Begründung. Geschultes Personal hält sich an Regeln – Menschen, die die Beweggründe kennen, setzen sie durch.
• Sichern Sie virtuelle Terminals rigoros ab. Wenn Ihr Team virtuelle Terminals (webbasierte Karteneingabe) nutzt, beschränken Sie den Zugriff auf bestimmte Geräte, setzen Sie Multi-Faktor-Authentifizierung ein und protokollieren Sie jede Sitzung. Noch besser: Schaffen Sie virtuelle Terminals ganz ab, indem Sie in jeder Zahlungsannahmestelle Terminals bereitstellen.

Wann Sie selbst machen – und wann Sie Hilfe holen sollten

DIY funktioniert, wenn:

• Sie weniger als fünf Standorte haben und nur geringes Transaktionsvolumen
• Ihr IT-Team Netzwerksegmentierung, Schwachstellenscans und Zugriffskontrollen versteht
• Sie bereits gehostete Checkout-Lösung oder P2PE-Terminals verwenden (geringer Umfang)
• Sie Zeit haben, PCI-Anforderungen zu lernen und alles zu dokumentieren

Holen Sie eine Beratung, wenn:

• Sie bei SAQ D feststecken und nicht wissen, wie Sie den Audit-Umfang begrenzen können
• Ihr Unternehmen komplex ist – Filialbetrieb mit zentralisierten Systemen
• Ihr IT-Team ausgelastet ist und Compliance-Aufgaben nicht stemmen kann
• Sie jemanden brauchen, der PCI-Anforderungen in konkrete technische Maßnahmen übersetzt

Setzen Sie vollständig auf Managed Services, wenn:

• Sie hausintern außer Grundsupport kein IT-Team haben
• Sie schnell wachsen und Compliance-Prozesse immer wieder ins Stocken geraten
• Die Rechnung aufgeht – Managed Services günstiger sind als die Zeit Ihres Teams plus Beratungskosten
• Sie jährlich garantierte Validierung ohne internes Projektmanagement wünschen

Mit dem Rechner können Sie alle drei Ansätze vergleichen. Sehen Sie sich die Zahlen an und entscheiden Sie dann entsprechend der Kapazität Ihres Teams – und nicht nur anhand der Kosten.

Versteckte Kosten: Wenn Sie es falsch machen

Der Rechner zeigt direkte Kosten – Tools, Services, Zeit. Was er nicht zeigt: Die Kosten, wenn Sie PCI-Compliance falsch umsetzen.

• Verlustkosten bei Datenverstößen. Im Branchendurchschnitt etwa $200 pro Karte. Kleine Einzelhändler, die 500 Karten pro Monat abwickeln, haben bei einem vollständigen Kompromittierungsfall ein Risiko von $100.000 – für Forensik, Benachrichtigung, Kartenaustausch, Anwaltskosten und Reputationsschäden.
• Strafen des Zahlungsabwicklers. Nicht-Konformitätsgebühren zwischen $50 und $200 pro Monat summieren sich auf $2.400 jährlich. Das entspricht den Kosten eines Beraters. Das entspricht den Kosten für P2PE-Terminals. Das entspricht den Kosten für einen Managed Service. Man zahlt so oder so – dann lieber für die Einhaltung der Vorschriften anstatt für Strafen.
• Durchgefallene Audits. Wenn Ihr Zahlungsabwickler von Ihnen einen Report on Compliance (ROC) statt einer Selbsteinschätzung verlangt und Sie diesen nicht bestehen, erwarten Sie Sanierungskosten sowie eine weitere Audit-Runde. Das Budget explodiert. Projekte verzögern sich. Teams geraten unter Stress.
• Scope Creep durch Abkürzungen. Sie haben einmal zugelassen, dass ein Manager eine Karte auf einem unkontrollierten Laptop eingibt? Herzlichen Glückwunsch, Ihre Compliance-Umgebung ist gerade von drei Terminals auf jedes Gerät im Netzwerk gewachsen. Die Kosten, dies zu beheben, sind zehnmal höher als die zusätzliche Bereitstellung eines weiteren Terminals.
• Berechnen Sie die tatsächliche Zahl – und handeln Sie entsprechend. Nutzen Sie dieses Tool, um Ihre Kosten zu verstehen. Überprüfen Sie dann mit unserem PCI SAQ Quiz Ihren SAQ-Typ und mit unserem PCI Compliance-Leitfaden für kleine Unternehmen bauen Sie Ihre Roadmap auf.

Was tun, wenn Ihr Wert höher als erwartet ist?

Wenn Ihnen der Rechner höhere Kosten anzeigt als erwartet, keine Panik. Es gibt Lösungen.

• Überprüfen Sie zuerst Ihr SAQ.

Nutzen Sie unser PCI SAQ Quiz, um sicherzugehen, dass Sie den richtigen Fragebogen verwenden.

Viele Unternehmen gehen davon aus, dass sie SAQ D benötigen, könnten aber mit kleinen Änderungen für B oder C qualifizieren. Der Umstieg auf ein einfacheres SAQ senkt die Kosten sofort.

• Setzen Sie auf Architekturänderungen.

Der Wechsel von lokalen Zahlungsseiten zu gehosteten Checkouts kann jährlich über $10.000 einsparen.

Durch den Einsatz von P2PE-Terminals statt Standardterminals sparen Sie dauerhaft Aufwand für Prüfungen und Audits. Das sind keine provisorischen Lösungen, sondern dauerhafte Kostensenkungen.

• Teilen Sie die Umsetzung in Phasen auf.

Sie müssen nicht alles auf einmal lösen.

Beginnen Sie mit den Maßnahmen mit dem größten Effekt – Netzwerksegmentierung, P2PE-Einführung, gehostete Checkouts – und kümmern Sie sich dann um Richtlinien und Dokumentation. Der Rechner zeigt die Gesamtkosten, aber Sie können die Umsetzung auf mehrere Quartale verteilen.

• Vergleichen Sie Ihre Dienstleister.

Zahlungs-Gateways unterscheiden sich stark darin, wie viel PCI-Aufwand sie verursachen.

Manche übernehmen die Compliance für Sie, manche überlassen sie komplett Ihnen. Unser Vergleich der besten Payment-Gateway-Anbieter berücksichtigt auch PCI-Aspekte – denn das günstigste Gateway ist nicht günstig, wenn es Ihre Compliance-Kosten verdreifacht.

• Fordern Sie vergleichende Angebote an.

Wenn der Rechner anzeigt, dass Sie Unterstützung brauchen, holen Sie Angebote von mehreren QSAs (Qualified Security Assessors) oder Anbietern von Managed Services ein.

Die Preise unterscheiden sich um den Faktor 3 für die gleiche Arbeit. Vergleichen lohnt sich.