Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang April das zu fordernde Mindestniveau für die Informationssicherheit bei der Übertragung von Informationen über Kommunikations- und Datennetze mit Blick auf die Gewährleistung der Schutzziele Vertraulichkeit, Authentizität und Integrität angehoben und seine Empfehlungen für den Einsatz des kryptographischen TLS-Protokolls aktualisiert.
“Das BSI weist in seiner Technischen Richtlinie TR-02102–2 ausdrücklich auch auf die verbleibenden Risiken hin, die beim Einsatz des kryptographischen TLS-Protokolls fortbestehen.” – Matthias Herkert
Durch den Einsatz der nun vom BSI empfohlenen Protokolle wird bei der Datenübertragung zwischen den beiden Verbindungspartnern ein verschlüsselter, authentisierter und integritätsgeschützter Kanal aufgebaut, der eine sichere Übertragung der Informationen über TCP/IP-basierte Verbindungen ermöglicht. In ihrer Technischen Richtlinie TR-02102–2 zum Einsatz von kryptographischen Verfahren* werden hierzu die SSL-Protokolle (Secure Sockets Layer) SSL v2 und SSL v3 genauso wie die TLS-Versionen (Transport Layer Security) 1.0 und 1.1 als nicht mehr ausreichend sicher eingestuft. Empfohlen wird der Einsatz der Verschlüsselungsprotokolle TLS 1.2 und TLS 1.3, jeweils in Kombination mit Perfect Forward Secrecy (PFS).
Der Einsatz von TLS-Versionen die älter als TLS 1.2 sind wird von der nationale Cyber-Sicherheitsbehörde in der Stellungnahme zu Mindeststandards des BSI zur Verwendung von Transport Layer Security (TLS)** hierbei ausdrücklich als „ein Risiko für die Informationssicherheit“ bezeichnet.
Empfehlungscharakter und Verbindlichkeit der Mindestanforderungen
Mit den vorliegenden Mindeststandards erfüllt das Bundesamt für Sicherheit in der Informationstechnik seinen gesetzlichen Auftrag gemäß § 8 Abs.1 S. 1 BSIG. Das Bundesministerium des Innern kann diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes einsetzen. Auch wenn die Mindeststandards zur Informationssicherheit bei der Datenübertragung damit weder in den Behörden des Bundes oder der Länder, noch in der freien Wirtschaft unmittelbar verbindlich sind, stellen die Empfehlungen sehr konkrete Mindestniveaus, die auch von den Aufsichtsbehörden ganz regelmäßig als Stand der Technik unter anderem im Kontext des Artikel 32 DSGVO interpretiert werden.
Auch der Einsatz des Transport Layer Security (TLS) Protokolls bietet keine abschließende Übertragungssicherheit
Das BSI weist in seiner Technischen Richtlinie TR-02102–2 ausdrücklich auch auf die verbleibenden Risiken hin, die beim Einsatz des kryptographischen TLS-Protokolls fortbestehen. Da auch das TLS-Protokoll Verbindungen zulässt, die nur einseitig (i.d.R. auf Serverseite) authentisiert sind, werden die Entwickler kryptographischer Systeme aufgefordert, bei der Risikobeurteilung grundsätzlich zu prüfen, ob weitere Authentisierungen, zum Beispiel durch den Einsatz der Zwei-Faktor-Authentisierung, erforderlich sind.
Konkreter Handlungsbedarf
Unternehmen und Behörden, die bei der Datenübertragung noch SSL v2, SSL v3 oder TLS 1.0 bzw. TLS 1.1 Protokolle verwenden, sollten diese kurzfristig identifizieren und an die Mindeststandards anheben, um ihre Datenübertragung kryptographisch abzusichern. Argumente wie die Anforderung der Anwender an die Abwärtskompatibilität können mit Blick auf die hierin gründenden Risiken für die Informationssicherheit keinesfalls zur Unterschreitung des „Stands der Technik“ herangezogen werden.
Artikel zum selben Thema:
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]