Wer nach dem 25. Mai 2018 noch das Verschlüsselungsprotokoll TLS 1.0 (bzw. SSL 3.1) einsetzt, riskiert saftige Strafen. Denn an diesem Tag tritt die neue Datenschutzgrundverordnung (DSGVO) der europäischen Union in Kraft und sie fordert ganz klar Datenschutz nach aktuellem „Stand der Technik“. Ein 19 Jahre altes Verschlüsselungsprotokoll ist dabei wohl eher keine Hilfe.
Verschlüsselung von Daten: Was ist SSL/TLS?
SSL steht für Secure Socket Layer und ist ein Verschlüsselungsprotokoll, um Daten im Internet sicher zu übertragen. Die letzte Version von SSL war die Version 3.0 und anschließend wurde das Protokoll unter dem Namen Transport Layer Security oder kurz TLS weiterentwickelt, beginnend mit der Version 1.0.
TLS 1.0 wurde im Jahr 1999 veröffentlicht. Google war damals noch ein kleines Start-Up. Ins Internet ging man mit dem 56k-Modem, wobei dann natürlich währenddessen die Telefonleitung blockiert war. Und von den Deutschen waren nur etwa 17% „online“ (zum Vergleich: 2017 waren es 89,8%). Wenn man sich das vor Augen führt, ist es wenig verwunderlich, dass TLS 1.0 mittlerweile veraltet ist und unzählige Angriffe gegen das Protokoll bekannt sind.
DSGVO: Wie schnell muss ich handeln?
Am besten sofort! In diesem Blogeintrag haben wir bereits beschrieben, dass die DSGVO ab dem 25. Mai 2018 Datenschutz nach aktuellem „Stand der Technik“ fordert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet bei der Frage, welche technischen Maßnahmen man dabei konkret umsetzen muss eine gute Orientierung. In den technischen Richtlinien des BSI heißt es ganz klar, dass TLS 1.0 „nicht empfohlen wird“.
Auch der Rat der Payment Card Industry (PCI) hat bereits vor einiger Zeit entschieden, dass TLS 1.0 nicht länger sicher ist und auch deren Deadline rückt immer näher. Wer nach dem 30.6.2018 noch mit TLS 1.0 verschlüsselt ist nicht mehr PCI-DSS konform! PCI-DSS steht dabei für Payment Card Industry Data Security Standard.
Jedes Unternehmen, das Kreditkarten-Transaktionen speichert, übermittelt, oder abwickelt, muss den zwölf Anforderungen aus dem PCI-DSS entweder direkt oder durch eine Ausgleichskontrolle entsprechen. Werden die Anforderungen nicht erfüllt, kann dies mit Geldstrafen oder dem Entzug der Genehmigung zur Verarbeitung von Kreditkartendaten bestraft werden.
Möchten Sie testen, ob in Ihrem Unternehmen noch TLS 1.0 eingesetzt wird? Dann registrieren Sie sich einfach bei uns und probieren Sie alle Enginsight Funktionen 14 Tage lang kostenlos aus.
