SSL/TLS auf dem Stand der Technik -Validierung nach BSI Maßgabe

Inhalt

Um den Datenschutz europaweit zu vereinheitlichen tritt ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese fordert IT-Sicherheit nach dem „Stand der Technik“. Was das genau heißt, sprich konkrete IT-Sicherheitsverfahren, wurden jedoch ganz bewusst aus der DSGVO herausgehalten, denn diese könnten zu schnell veralten.

Stand der Technik IT-Sicherheit: Das Bundesamt für Sicherheit in der Informationstechnik

Orientierung kann hier z.B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten. Das BSI veröffentlich regelmäßig Orientierungshilfen und Best-Practice Empfehlungen zu allen Fragen der IT-Sicherheit. Diese Empfehlungen nutzen wir als Grundlage, um Ihnen die Möglichkeit zu geben ihre Konfiguration auf den „Stand der Technik“ hin zu überprüfen.

IT-Sicherheitsempfehlungen zu TLS

In den technischen Richtlinien des BSI zum Thema TLS steht zum Beispiel, dass TLS 1.0 „nicht empfohlen“ und TLS 1.1 „nicht mehr empfohlen“ werden, sondern grundsätzlich TLS 1.2. Des Weiteren empfiehlt das BSI bei der Verwendung von TLS zum Schutz von personenbezogenen (oder anderen sensiblen) Daten grundsätzlich die Nutzung von Perfect Forward Secrecy. PFS (oder nur Forward Secrecy) heißt, dass eine Kommunikation selbst bei Kenntnis der Langzeit-Schlüssel der Kommunikationspartner nicht nachträglich entschlüsselt werden kann. Wird also TLS 1.0 oder 1.1 verwendet oder keine PFS, dann entspricht dies nicht mehr dem Stand der Technik.

Auch für die Betriebsmodi von bestimmten Chiffren gibt es Empfehlungen vom BSI. Bestimmte Betriebsmodi garantieren zusätzlich zur Vertraulichkeit der Daten auch eine kryptographisch sichere Datenauthentisierung. Diese Eigenschaft nennt man Authenticated Encryption with Associated Data (AEAD). Nutzt man Betriebsmodi ohne diese Eigenschaft, dann empfiehlt das BSI generell, separate Mechanismen zur Datenauthentisierung im System vorzusehen. Bei TLS 1.3 wird allerdings ausschließlich diese Art von Chiffren verwendet, daher muss früher oder später sowieso auf AEAD Chiffren umgestellt werden.

Datensicherheit nach DSGVO: Wie schnell muss ich jetzt handeln?

In der DSGVO steht natürlich nicht: „Setzen Sie bitte den Stand der Technik um“. Sondern es heißt, relativierter:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen, […] die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Das bedeutet, dass Sie natürlich nicht gezwungen sind, sofort unter massiven Kosten Ihr komplettes System zu aktualisieren. Aber bei großen und vor allem seit langem bestehenden Sicherheitslücken kann es durch die DSVGO ganz schön teuer werden. Die Datenschutz-Aufsichtsbehörden können Bußgelder bis zu 10 Millionen Euro oder bis 2% des weltweiten erzielten Jahresumsatz eines Unternehmens verhängen, je nachdem welcher Wert höher ist.

Dank unserer ganzheitlichen Überwachung haben Sie diese Punkte im wahrsten Sinne des Wortes auf dem Schirm. Möchten Sie gerne auch von unserem System profitieren? Dann registrieren Sie sich einfach und testen Sie unsere Plattform 14 Tage lang kostenlos.

Titelbild Quelle: Bundesamt für Sicherheit in der Informationstechnik

 

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Unser neues Dashboard – Release Notes 14.10.2019

Indem wir das Dashboard überarbeitet haben, ist Enginsight mit dem Oktorber-Update noch übersichtlicher geworden. Die aus dem Monitoring gezogenen Informationen lassen sich jetzt intuitiver verstehen. Was genau wir alles überarbeitet haben, lesen Sie in den Release Notes.

Weiterlesen »

Jahresrückblick 2020

Mit frischen Köpfen und vollem Einsatz konnten wir im Jahr 2020 viele neue Kunden und Partner gewinnen. Durch neue Funktionen und Möglichkeiten haben wir zudem unsere Software ein gutes Stück mächtiger gemacht.

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo