SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance

Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf...
2 Min. Lesezeit
Letzte Aktualisierung am 1. November 2021

Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf sichere Kommunikationsprotokolle gibt es zumindest eine bedeutende Aktualisierung: Der Council hat beschlossen, dass SSL und TLS 1.0 nach dem 30. Juni 2016 nicht mehr eingesetzt werden dürfen.

Das Kleingedruckte zu diesen beiden Protokollen finden Sie unter Anforderung 2.0: „Keine der vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden“.

Ich nehme an, die von Netscape entwickelten Protokolle SSL (Secure Socket Layer) und TLS (Transport Layer Security) fallen unter die Beschreibung als „andere Sicherheitsparameter“.

Adieu SSL
Auf jeden Fall reagiert der Council damit auf den bekannten SSL-Exploit POODLE sowie die Stellungnahme der US-Regierungsbehörde NIST (National Institute of Standards and Technology) zum Thema SSL. Das NIST hatte im April 2014 bekannt gegeben, SSL dürfe zum Schutz von Informationen in Regierungsbehörden nicht mehr eingesetzt werden.

Um die Rolle von TLS zu verstehen, hilft es seine Geschichte zu kennen.

Die TLS-Version 1.0 TLS wurde in den 90er Jahren von der IETF-Gruppe entwickelt und basierte größtenteils auf SSL. Ziel war es, eine einzige, nicht proprietäre Sicherheitslösung zu schaffen, um Kompatibilitätsprobleme zu lösen. In TLS 1.1 und der aktuellen Version 1.2 wurde eine Reihe von kryptographischen Verbesserungen umgesetzt.

Ein wichtiger Punkt ist, dass TLS-Implementierungen einen Downgrade-Aushandlungsprozess unterstützen, bei dem Client und Server sich selbst auf das schwächere SSL-Protokoll einigen können, wenn die Kommunikation zunächst über das neue TLS 1.2 stattfindet.

Die SSL-Attacke POODLE nutzt genau diesen Downgrade-Mechanismus, indem sie den Server zur Verwendung des überholten SSL-Protokolls zwingt. So macht die Attacke theoretisch auch TLS angreifbar.

Im Dezember 2014 entdeckten Sicherheitsforscher, dass eine POODLE-ähnliche Attacke in der Lage ist TLS direkt anzugreifen, also ohne einen Downgrade auszuhandeln.

Insgesamt wird das Thema ziemlich schnell kompliziert, und es gibt sehr unterschiedliche Meinungen dazu. Manche Sicherheitsexperten werfen Browser-Anbietern vor, Kompatibilität über Sicherheitsanforderungen zu stellen, indem sie weiterhin SSL unterstützen, andere machen die gesamte Branche für das Problem verantwortlich, weil der TLS-Standard ihrer Meinung nach nicht korrekt implementiert wurde.

Eine interessante Diskussion zu diesem Thema finden Sie auf dieser Q&A-Seite von Stack Exchange.

Was können Sie tun?
Der Council empfiehlt, SSL 3.0 und TSL 1.0 überhaupt nicht mehr zu unterstützen. Kurz gesagt: Sie sollten SSL auf allen Servern und Clients deaktivieren und im Idealfall alles komplett auf TLS 1.2 umstellen.

TLS 1.1 ist jedoch akzeptabel, sofern es richtig konfiguriert wird. Der Council verweist dazu auf einen vom NIST veröffentlichten Leitfaden, in dem diese Konfiguration beschrieben wird.

The post SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

3-schritte-zur-sicherung-ihrer-snowflake-daten
3 Schritte zur Sicherung Ihrer Snowflake-Daten
Entdecken Sie die Risiken der Datensicherheit in Snowflake und lernen Sie spezifische Taktiken, um sichere Praktiken zu gewährleisten.
der-bericht-zur-datensicherheit-zeigt,-dass-99 %-der-unternehmen-sensible-informationen-gegenüber-ki-offengelegt-haben.
Der Bericht zur Datensicherheit zeigt, dass 99 % der Unternehmen sensible Informationen gegenüber KI offengelegt haben.
Der Bericht zur Datensicherheit 2025 von Varonis enthält Informationen zu Erkenntnissen aus 1.000 realen IT-Umgebungen, um die dunkle Seite des KI-Booms aufzudecken und welche proaktiven Schritte Unternehmen unternehmen können, um kritische Informationen zu sichern.
varonis-arbeitet-mit-pure-storage-zusammen,-um-kritische-daten-zu-schützen
Varonis arbeitet mit Pure Storage zusammen, um kritische Daten zu schützen
Gemeinsam ermöglichen Varonis und Pure Storage es ihren Kunden, sensitive Daten proaktiv zu sichern, Bedrohungen zu erkennen und sich entwickelnde Datenschutz- und KI-Regeln einzuhalten. 
datenermittlung-und--klassifizierung:-die-bedeutung-der-art-und-weise,-wie-daten-gescannt-werden 
Datenermittlung und -klassifizierung: Die Bedeutung der Art und Weise, wie Daten gescannt werden 
Die Datenermittlung und -klassifizierung sind die Grundlagen für Data Security Posture Management und Datensicherheit, aber wie Ihre Daten gescannt werden, ist wichtiger, als Sie vielleicht denken.