Transport Layer Security & Secure Sockets Layer: Worum geht es?
Unter dem Begriff SSL (Secure Sockets Layer) ist es bekannt geworden – zu TLS (Transport Layer Security) wurde es weiterentwickelt: Das Verschlüsselungsprotokoll zur sicheren Datenübertragung in potenziell unsicheren Netzwerken, wie z.B. dem Internet. Mittlerweile ist es aus unserer Welt nicht mehr wegzudenken. Die Datenschutz-Grundverordnung fordert von der verantwortlichen Stelle den Einsatz geeigneter technischer und organisatorischer Maßnahmen, die dem Stand der Technik entsprechen. Insbesondere bei Datenübermittlungen in unsicheren Netzwerken muss die verantwortliche Stelle die Vertraulichkeit und Integrität der Informationen durch eigene Maßnahmen gewährleisten. Das Protokoll TLS stellt dabei eine von vielen verschiedenen Maßnahmen dar, um Datenübertragungen abzusichern.
Bei der TLS Verschlüsselung handelt es sich um eine reine Transportkanalverschlüsselung. Sämtliche übermittelte Daten werden während des Transportes durch das jeweilige Netzwerk vor Zugriffen durch Dritte verlässlich geschützt. Im Gegensatz zur Ende-zu-Ende Verschlüsselung findet jedoch keine Verschlüsselung der Daten selbst statt. Es stellt lediglich einen gesicherten Kommunikationskanal bereit. Dieser Kommunikationskanal kann sich über eine Vielzahl von an der Kommunikation beteiligten Geräten spannen. Der gesicherte Transportkanal wird dann von Gerät zu Gerät aufgespannt. Die Daten – sofern sie auf den an der Kommunikation beteiligten Geräten verweilen – liegen auf diesen Geräten nicht verschlüsselt vor und befinden sich dort (zumindest ohne weitere Maßnahmen) im Klartext. Bei Angriffen auf diese Geräte können die Informationen daher im Nachgang offengelegt werden und zu einem Datenschutzvorfall führen.
Anwendungsbereich & Ihr Nutzen
Das TLS Protokoll (insbesondere in der jeweils aktuellen Version) ist eine etablierte und dem Stand der Technik entsprechende Möglichkeit, um eine Vielzahl an Diensten abzusichern, die über unsichere Netzwerke kommunizieren. Die gängigsten Anwendungsgebiete sind die Absicherung des Datenflusses zwischen Internetseiten und den aufrufenden Personen (bzw. deren Webbrowsern), der E-Mail-Verkehr sowie auf SSL/TLS basierende VPN Netzwerke.
Insbesondere auf Internetseiten, die personenbezogene Daten erheben oder übermitteln, ist der Einsatz von TLS unumgänglich. Dies ist z.B. bei Online-Shops, Webseiten mit Login-Möglichkeiten (Übertragung von Kennwörtern und Zugängen), dem Online-Banking oder schlicht bei Angebot eines Kontaktformulars der Fall.
Bei der Umsetzung sollten Sie darauf achten, immer eine aktuelle TLS-Version (aktuell 1.3) zu nutzen. Als veraltet geltende Versionen, wie z.B. TLS 1.0 und 1.1, sollten nicht mehr eingesetzt werden. Wichtig ist auch, dass ein sogenannter „Fall back“ auf veraltete Versionen auch dann nicht möglich ist, wenn der Kommunikationspartner aufgrund veralteter Anwendungen keine aktuelle Version unterstützt.
Hilfreicher Link:
Verfasser: Steven Bösel, 15.12.2021
Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!