Ein HSM (Hardware Security Module) ist das physische Herzstück jedes sicheren Zahlungssystems: Es ist ein dedizierter Hardwareprozessor, der kryptografische Operationen in einer manipulationssicheren Umgebung ausführt. Im Kontext von Zahlungen und PCI DSS ist das HSM die Komponente, die sicherstellt, dass kryptografische Schlüssel – die Grundlage der Datenverschlüsselung – nie im Klartextformat auf einem allgemeinen Server oder im Speicher existieren. Das Verständnis der Funktionsweise eines HSM hilft zu verstehen, warum ein Token-Vault mit dediziertem HSM ein wirklich anderes Sicherheitsniveau bietet als eine softwarebasierte Tokenisierungslösung.
Was ist ein HSM und wie funktioniert es
Ein Hardware Security Module ist ein physisches Gerät – in der Regel in Form einer PCI-Erweiterungskarte oder eines Netzwerkgeräts – das entwickelt wurde, um:
- Kryptografische Schlüssel sicher zu generieren, zu speichern und zu verwalten
- Kryptografische Operationen (Verschlüsselung, Entschlüsselung, Signierung, Verifizierung) innerhalb einer sicheren Hardwareumgebung auszuführen
- Physische Angriffe zu erkennen und zu reagieren – im Falle eines Eingriffs löscht das Gerät automatisch die gespeicherten Schlüssel (Tamper-Evidence)
- Eine manipulationssichere Umgebung für kryptografische Operationen zu bieten, die nicht von Software außerhalb des HSM einsehbar oder abgefangen werden kann
In einem Token-Vault ist das HSM der Ort, an dem der Master-Verschlüsselungsschlüssel (MEK) gespeichert ist. Dieser Schlüssel entschlüsselt die im Vault gespeicherten PANs für Operationen, die dies erfordern (z.B. Auflösung eines Tokens für eine Transaktion beim Acquirer). Da der MEK im HSM gespeichert ist und das Gerät nie verlässt, kann ein Angreifer, der Zugang zum Vault-Server erhält, die gespeicherten Daten nicht entschlüsseln, ohne physischen Zugang zum HSM zu haben.
FIPS 140-2 und FIPS 140-3: Warum HSM-Zertifizierungen wichtig sind
FIPS 140-2 (Federal Information Processing Standard Publication 140-2) ist der US-Standard für kryptografische Hardwaremodule, der vom NIST (National Institute of Standards and Technology) verwaltet wird. Er definiert vier Sicherheitsstufen für HSMs:
- Level 1: Grundlegende Sicherheitsanforderungen für kryptografische Algorithmen
- Level 2: Physischer Nachweis von Manipulationsversuchen (Tamper-Evidence)
- Level 3: Physische Manipulationssicherheit und automatische Schlüssellöschung bei Eingriff
- Level 4: Maximale Sicherheit: Schutz vor physischen Angriffen in Umgebungen mit niedrigem Physikalschutz (selten für kommerzielle Zahlungsanwendungen verwendet)
Für Zahlungsanwendungen und PCI DSS-konforme Token-Vaults ist FIPS 140-2 Level 3 der branchenübliche Standard. Ein HSM auf diesem Level gewährleistet, dass selbst im Falle eines physischen Kompromisses des Geräts die kryptografischen Schlüssel automatisch gelöscht werden, bevor sie extrahiert werden können. PCI Proxy EU verwendet in seinem Token-Vault dedizierte HSMs mit FIPS 140-2 Level 3-Zertifizierung.
Dediziertes HSM vs. softwarebasierte Tokenisierung
Nicht alle Tokenisierungslösungen verwenden ein dediziertes HSM. Einige PSPs implementieren softwarebasierte Tokenisierung, bei der der Verschlüsselungsschlüssel auf einem allgemeinen Server gespeichert ist, möglicherweise in einer sicheren Enklave (wie Intel SGX) oder in einem Cloud KMS (Key Management Service). Diese Ansätze bieten ein angemessenes Schutzniveau für viele Anwendungsfälle, aber nicht das physische Sicherheitsniveau eines FIPS 140-2 Level 3 zertifizierten HSM.
Für Händler, die ein Level 1 PCI DSS-konformes Audit benötigen oder in hochregulierten Sektoren tätig sind (Finanzdienstleistungen, Gesundheitswesen, Regierung), ist ein Token-Vault mit dediziertem HSM der Goldstandard. Es bietet die beste Verteidigung gegen sowohl logische als auch physische Angriffe und ermöglicht eine robuste Verteidigungsstrategie bei einem PCI-Audit.
Häufig gestellte Fragen
Benötige ich als Händler ein eigenes HSM für die PCI DSS-Compliance?
Nein. Als Händler müssen Sie kein eigenes HSM besitzen oder verwalten: Die Verwendung eines zertifizierten PCI DSS Level 1 Tokenisierungsdienstes wie PCI Proxy EU, der ein dediziertes HSM in seiner Infrastruktur einsetzt, ist ausreichend. Das Vorhandensein eines HSM im Token-Vault des Anbieters wird in der AOC (Attestation of Compliance) dokumentiert, die Sie dem Acquirer vorlegen können.
Was ist der Unterschied zwischen einem HSM und einem TPM (Trusted Platform Module)?
Ein TPM ist ein auf einem Standard-Motherboard integrierter Chip, der für grundlegende Plattformauthentifizierung und Schlüsselverwaltung auf PC-Ebene ausgelegt ist. Ein HSM ist ein separates, dediziertes Gerät für Hochleistungs-kryptografische Operationen in Unternehmens- und Zahlungsumgebungen. HSMs unterstützen ein viel breiteres Spektrum an kryptografischen Algorithmen, höhere Transaktionsraten und sind für den Betrieb in sicheren Rechenzentren ausgelegt, nicht für Consumer-Hardware.
Wie kann ich überprüfen, ob ein Token-Vault-Anbieter wirklich ein FIPS 140-2-zertifiziertes HSM verwendet?
Fordern Sie die AOC (Attestation of Compliance) des Anbieters an und prüfen Sie den Abschnitt zu kryptografischen Hardwareimplementierungen. Ein seriöser Anbieter sollte die Modelle der verwendeten HSMs angeben und bestätigen können, dass diese auf der NIST CMVP-Validierungsliste erscheinen. PCI Proxy EU stellt diese Dokumentation auf Anfrage zur Verfügung.
Möchten Sie einen Token-Vault mit dediziertem FIPS 140-2 Level 3 HSM für Ihre PCI-Compliance nutzen? Entdecken Sie PCI Proxy EU.