TLS-Protokoll: BSI legt Mindeststandard für Verschlüsselung fest

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Mindeststandard für den Einsatz einer Transportverschlüsselung mit dem TLS-Protokoll veröffentlicht. Damit wird in der Bundesverwaltung das Protokoll TLS 1.2 in Kombination mit Perfect Forward Secrecy (PFS) als Mindeststandard auf beiden Seiten der Regierungskommunikation vorgegeben. Als Ergänzung müsse eine "geeignete Konfiguration" dazukommen.

Ein BSI-Sprecher sagte Golem.de, welche Browser derzeit TLS 1.2 unterstützen: Dazu gehören Google Chrome 29, Internet Explorer 11, Opera 16, Safari auf iOS, Mozilla Firefox 24 Beta sowie der Internet Explorer 8 bis 10 - Letzterer jedoch nur unter Windows 7 oder höher. Allerdings unterstützen viele der vom BSI genannten Browser TLS 1.2 nicht in der Standardkonfiguration, es muss vom Nutzer in oft schwer zu findenden Optionen selbst aktiviert werden.

"Das BSI empfiehlt Anwendern aufgrund der dynamischen IT-Bedrohungslage einen raschen und möglichst flächendeckenden Umstieg auf TLS 1.2", erklärte die Behörde. Eine Migration zu TLS 1.2 umfasst nicht nur Software-, sondern auch Hardwareprodukte und könne kosten- und zeitintensiv sein, so das BSI. Bis zur Umstellung könne TLS 1.0 in bestehenden Anwendungen übergangsweise weiter eingesetzt werden, wenn Schutzmaßnahmen gegen bereits bekannte Angriffe gegen das SSL/TLS-Protokoll wie Beast und Crime ergriffen würden. Zusätzlich sollte sich der TLS-Server in einer gesicherten Umgebung befinden, damit Angreifer nicht an den geheimen Schlüssel herankommen.

Das BSI kann allgemeine technische Mindeststandards für die Sicherung der Informationstechnik des Bundes festlegen. Diese sind aber nur unverbindliche Empfehlungen, bis das Bundesinnenministerium eine Verwaltungsvorschrift dazu erlässt.