Blog: Neue Version von PCI DSS zwingt Firmen zur Umstellung auf aktuelle TLS-Version

11.05.2015

Unternehmen haben Zeit bis nächstes Jahr, um von SSL auf eine neuere Version von TLS umzustellen und damit weiterhin PCI-DSS-konform zu sein.

Das PCI Security Standards Council hat letzten Monat Version 3.1 des Payment Card Industry Data Security Standards (PCI DSS) veröffentlicht. Die neue Version enthält Vorgaben, was Unternehmen tun müssen, um Zahlungsdaten von Kunden weiterhin adäquat zu schützen.

Zu den wichtigsten Änderungen gehört, dass der Standard die Nutzung von Secure-Sockets-Layer-(SSL)-Verschlüsselung nicht länger unterstützt. Stattdessen müssen Unternehmen ihre Systeme auf eine der neueren Versionen von Transport Layer Security (TLS) umstellen, um PCI-DSS-Compliance zu erzielen. TLS gilt als sicherer.

Laut Pressemitteilung des Standards Council hält das US National Institute of Standards and Technology (NIST) SSL wegen der dem Kryptografie-Protokoll inhärenten Schwächen als fortan ungeeignet zur Kommunikationssicherung.

Das Council erklärt weiter, dass ein Upgrade von SSL zu einer aktuellen, sicheren Version von TLS der einzige bekannte Weg sei, um die Schwachstellen zu adressieren, die Unternehmen anfällig für Attacken wie POODLE oder BEAST machen können.

Was Unternehmen jetzt tun müssen

Anforderungen 2.2.3, 2.3 und 4.1 des PCI-DSS-Updates 3.1 führen SSL und frühere TLS-Versionen nicht länger als Beispiele starker Verschlüsselung auf. Version 3.1 ist zwar ab sofort gültig, Unternehmen haben aber bis 30. Juni 2016 Zeit, ihre Systeme zu aktualisieren.

Nach diesem Datum dürfen SSL und frühe TLS-Versionen nicht mehr zum Schutz von Zahlungsdaten eingesetzt werden. Ausserdem müssen Unternehmen für bestehende Implementierungen der Protokollversionen während des Übergangszeitraums Massnahmen zur Risikominderung und Migrationspläne bereithalten. Für neue Implementationen dürfen SSL und frühe TLS-Versionen bereits ab sofort nicht mehr eingesetzt werden.

Standards Council Geschäftsführer Stephen Orfei kommentiert: „Mit PCI DSS 3.1 und den zusätzlichen Anleitungen rüsten wir Organisationen mit einer pragmatischen, risikobasierten Vorgehensweise aus, um die Schwachstellen des SSL-Protokolls zu adressieren, die Zahlungsdaten gefährden können.“

Die Entwicklung der Verschlüsselung in Unternehmen

Die Überarbeitung des Standards ist ein Indiz für die schnelle Entwicklung der Verschlüsselung im geschäftlichen Kontext und dafür wie wichtig es ist, auf dem neuesten Stand zu sein. Die Anforderungen der vorherigen PCI-DSS-Version 3.0 waren erst seit 1. Januar 2015 gültig, in den letzten Monaten wurde jedoch eine Reihe wichtiger Schwachstellen im SSL-Protokoll bekannt, auf die das PCI SSC Council reagieren musste.

TLS ist aus SSL entstanden und in den neueren Versionen wurden viele Schwachstellen behoben, die der Vorgängertechnologie Probleme bereiteten. TLS ist zwar mit SSL nicht kompatibel, wird aber von allen aktuellen Systemen unterstützt. Für die meisten Unternehmen wird ein Umstieg von SSL auf TLS relativ einfach, da die benötigten Zertifikate mit beiden Protokollen funktionieren.

Trotzdem haben viele Unternehmen noch keine entsprechenden Massnahmen ergriffen. Nach einem Artikel in CSO Online haben fast 40 Prozent der Zahlungsanbieter noch nichts unternommen, um auf TLS umzustellen.

Keine vollständige Lösung

Obwohl TLS viele Verbesserungen im Vergleich zu SSL enthält, bietet das Protokoll alleine keinen vollständigen Schutz vor Hackern. Bei TLS handelt es sich um eine Lösung zur Verschlüsselung des Übertragungskanals, nicht zur Verschlüsselung des Inhalts. Das bedeutet, dass Daten während der Übertragung von Punkt zu Punkt geschützt sind. Da es sich aber nicht um eine echte Ende-zu-Ende-Verschlüsselung handelt, ist es alleine nicht zum vollständigen Schutz von Daten wie E-Mails geeignet.

Darüber hinaus hat auch TLS gewissen Schwachstellen, die ich bereits in einem früheren Blog-Beitrag behandelt habe. Dazu gehören zum Beispiel Probleme, die entstehen können, wenn Zertifikate nicht durch eine unabhängige Zertifizierungsstelle validiert werden. Daher spielt TLS zwar eine wichtige Rolle beim Schutz kritischer geschäftlicher Informationen wie Zahlungsdaten, ist aber nicht die einzige Lösung, die Unternehmen brauchen, um ihre Daten zu schützen.


von Marcel Mock, CTO