MENU Schließen
Schließen

SSL/TLS auf dem Stand der Technik -Validierung nach BSI Maßgabe

Um den Datenschutz europaweit zu vereinheitlichen tritt ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese fordert IT-Sicherheit nach dem „Stand der Technik“. Was das genau heißt, sprich konkrete IT-Sicherheitsverfahren, wurden jedoch ganz bewusst aus der DSGVO herausgehalten, denn diese könnten zu schnell veralten.

Stand der Technik IT-Sicherheit: Das Bundesamt für Sicherheit in der Informationstechnik

Orientierung kann hier z.B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten. Das BSI veröffentlich regelmäßig Orientierungshilfen und Best-Practice Empfehlungen zu allen Fragen der IT-Sicherheit. Diese Empfehlungen nutzen wir als Grundlage, um Ihnen die Möglichkeit zu geben ihre Konfiguration auf den „Stand der Technik“ hin zu überprüfen.

IT-Sicherheitsempfehlungen zu TLS

In den technischen Richtlinien des BSI zum Thema TLS steht zum Beispiel, dass TLS 1.0 „nicht empfohlen“ und TLS 1.1 „nicht mehr empfohlen“ werden, sondern grundsätzlich TLS 1.2. Des Weiteren empfiehlt das BSI bei der Verwendung von TLS zum Schutz von personenbezogenen (oder anderen sensiblen) Daten grundsätzlich die Nutzung von Perfect Forward Secrecy. PFS (oder nur Forward Secrecy) heißt, dass eine Kommunikation selbst bei Kenntnis der Langzeit-Schlüssel der Kommunikationspartner nicht nachträglich entschlüsselt werden kann. Wird also TLS 1.0 oder 1.1 verwendet oder keine PFS, dann entspricht dies nicht mehr dem Stand der Technik.

Auch für die Betriebsmodi von bestimmten Chiffren gibt es Empfehlungen vom BSI. Bestimmte Betriebsmodi garantieren zusätzlich zur Vertraulichkeit der Daten auch eine kryptographisch sichere Datenauthentisierung. Diese Eigenschaft nennt man Authenticated Encryption with Associated Data (AEAD). Nutzt man Betriebsmodi ohne diese Eigenschaft, dann empfiehlt das BSI generell, separate Mechanismen zur Datenauthentisierung im System vorzusehen. Bei TLS 1.3 wird allerdings ausschließlich diese Art von Chiffren verwendet, daher muss früher oder später sowieso auf AEAD Chiffren umgestellt werden.

Datensicherheit nach DSGVO: Wie schnell muss ich jetzt handeln?

In der DSGVO steht natürlich nicht: „Setzen Sie bitte den Stand der Technik um“. Sondern es heißt, relativierter:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen, […] die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Das bedeutet, dass Sie natürlich nicht gezwungen sind, sofort unter massiven Kosten Ihr komplettes System zu aktualisieren. Aber bei großen und vor allem seit langem bestehenden Sicherheitslücken kann es durch die DSVGO ganz schön teuer werden. Die Datenschutz-Aufsichtsbehörden können Bußgelder bis zu 10 Millionen Euro oder bis 2% des weltweiten erzielten Jahresumsatz eines Unternehmens verhängen, je nachdem welcher Wert höher ist.

Dank unserer ganzheitlichen Überwachung haben Sie diese Punkte im wahrsten Sinne des Wortes auf dem Schirm. Möchten Sie gerne auch von unserem System profitieren? Dann registrieren Sie sich einfach und testen Sie unsere Plattform 14 Tage lang kostenlos.

Titelbild Quelle: Bundesamt für Sicherheit in der Informationstechnik

Weitere Beiträge im Enginsight Blog