Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance

Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf...
Michael Buckbee
2 minute gelesen
Veröffentlicht 15. Juli 2016
Letzte aktualisierung 1. November 2021

Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf sichere Kommunikationsprotokolle gibt es zumindest eine bedeutende Aktualisierung: Der Council hat beschlossen, dass SSL und TLS 1.0 nach dem 30. Juni 2016 nicht mehr eingesetzt werden dürfen.

Das Kleingedruckte zu diesen beiden Protokollen finden Sie unter Anforderung 2.0: „Keine der vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden“.

Ich nehme an, die von Netscape entwickelten Protokolle SSL (Secure Socket Layer) und TLS (Transport Layer Security) fallen unter die Beschreibung als „andere Sicherheitsparameter“.

Adieu SSL
Auf jeden Fall reagiert der Council damit auf den bekannten SSL-Exploit POODLE sowie die Stellungnahme der US-Regierungsbehörde NIST (National Institute of Standards and Technology) zum Thema SSL. Das NIST hatte im April 2014 bekannt gegeben, SSL dürfe zum Schutz von Informationen in Regierungsbehörden nicht mehr eingesetzt werden.

Um die Rolle von TLS zu verstehen, hilft es seine Geschichte zu kennen.

Die TLS-Version 1.0 TLS wurde in den 90er Jahren von der IETF-Gruppe entwickelt und basierte größtenteils auf SSL. Ziel war es, eine einzige, nicht proprietäre Sicherheitslösung zu schaffen, um Kompatibilitätsprobleme zu lösen. In TLS 1.1 und der aktuellen Version 1.2 wurde eine Reihe von kryptographischen Verbesserungen umgesetzt.

Ein wichtiger Punkt ist, dass TLS-Implementierungen einen Downgrade-Aushandlungsprozess unterstützen, bei dem Client und Server sich selbst auf das schwächere SSL-Protokoll einigen können, wenn die Kommunikation zunächst über das neue TLS 1.2 stattfindet.

Die SSL-Attacke POODLE nutzt genau diesen Downgrade-Mechanismus, indem sie den Server zur Verwendung des überholten SSL-Protokolls zwingt. So macht die Attacke theoretisch auch TLS angreifbar.

Im Dezember 2014 entdeckten Sicherheitsforscher, dass eine POODLE-ähnliche Attacke in der Lage ist TLS direkt anzugreifen, also ohne einen Downgrade auszuhandeln.

Insgesamt wird das Thema ziemlich schnell kompliziert, und es gibt sehr unterschiedliche Meinungen dazu. Manche Sicherheitsexperten werfen Browser-Anbietern vor, Kompatibilität über Sicherheitsanforderungen zu stellen, indem sie weiterhin SSL unterstützen, andere machen die gesamte Branche für das Problem verantwortlich, weil der TLS-Standard ihrer Meinung nach nicht korrekt implementiert wurde.

Eine interessante Diskussion zu diesem Thema finden Sie auf dieser Q&A-Seite von Stack Exchange.

Was können Sie tun?
Der Council empfiehlt, SSL 3.0 und TSL 1.0 überhaupt nicht mehr zu unterstützen. Kurz gesagt: Sie sollten SSL auf allen Servern und Clients deaktivieren und im Idealfall alles komplett auf TLS 1.2 umstellen.

TLS 1.1 ist jedoch akzeptabel, sofern es richtig konfiguriert wird. Der Council verweist dazu auf einen vom NIST veröffentlichten Leitfaden, in dem diese Konfiguration beschrieben wird.

The post SSL und TLS 1.0 reichen nicht mehr für PCI-Compliance appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?