BSI bringt den Mindeststandard zur Verwendung von Transport Layer Security (TLS) auf den neuesten Stand
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich den Mindeststandard zur Verwendung von Transport Layer Security (TLS) aktualisiert, um klare Vorgaben für die sichere Verwendung von TLS-Versionen und die sichere Konfiguration in der IT der Bundesverwaltung zu machen.
Mit der zunehmenden Verbreitung des mobilen Arbeitens und der Arbeit aus dem Homeoffice werden immer mehr Informationen über Kommunikationsnetze übertragen. Wenn diese Übertragung nicht ausreichend geschützt ist, können Cyber-Angriffe dazu führen, dass Informationen abgehört und manipuliert werden. Daher ist die Informationssicherheit ein wesentlicher Bestandteil bei der Bereitstellung und Nutzung von mobilen oder Homeoffice-Arbeitsplätzen. Eine Möglichkeit, die Übertragung von Informationen abzusichern, besteht in der Verwendung von Transport Layer Security (TLS).
Das TLS-Protokoll (Transport Layer Security) ist eine kryptografische Protokoll-Schicht, die hauptsächlich zur Sicherung der Kommunikation über das Internet verwendet wird. Es dient dazu, die Vertraulichkeit, Integrität und Authentizität der übertragenen Daten zu gewährleisten. Es ermöglicht sichere Verbindungen zwischen Client und Server, indem es eine verschlüsselte Kommunikation herstellt. Das Protokoll schützt vor potenziellen Bedrohungen wie Abhören, Manipulation und Diebstahl von Daten während der Übertragung.
Die aktuellste Version von TLS ist TLS 1.3. Sie wurde im Jahr 2018 veröffentlicht und bringt verschiedene Verbesserungen in Bezug auf Sicherheit, Leistung und Effizienz mit sich. TLS 1.3 bietet eine stärkere Verschlüsselung, unterstützt eine schnellere Handshake-Phase und entfernt unsichere kryptografische Algorithmen, die in früheren Versionen vorhanden waren.
Es ist wichtig zu beachten, dass ältere Versionen von TLS (wie TLS 1.0 und TLS 1.1) als unsicher angesehen werden, da sie Schwachstellen aufweisen. Daher wird dringend empfohlen, auf die Verwendung von TLS 1.3 oder einer zukünftigen sicheren Version zu aktualisieren, um eine angemessene Sicherheit für die Datenübertragung zu gewährleisten.
Diese Empfehlung findet sich auch in der neuen Version 2.4 des Papiers über Mindeststandards für TLS des BSI. Insgesamt berücksichtigt es die Empfehlungen und Vorgaben der aktualisierten Technischen Richtlinien TR-02102-2 und TR-03116-4 des BSI. Zudem bezieht es sich auf das aktuelle IT-Grundschutz-Kompendium, Edition 2023.
Gleichzeitig mit der Aktualisierung des Mindeststandards veröffentlicht das BSI ein überarbeitetes Hilfsdokument sowie eine aktualisierte Referenztabelle, die zur Abstimmung mit dem IT-Grundschutz-Kompendium dienen sollen.
Die Version 2.4 des Mindeststandards, das Hilfsdokument und die Referenztabelle stehen auf der Webseite des BSI zum Download zur Verfügung.
