Entwurf Mindeststandard Bund TLS

**HINWEIS:** Dieses Dokument ist ein Entwurf. # 1. Mindeststandard des BSI zur Verwendung von Transport Layer Security ## 1.1 Einleitung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes auf der Grundlage des § 44 Abs. 1 BSIG. Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf. Der Mindeststandard richtet sich primär an IT-Verantwortliche, IT-Sicherheitsbeauftragte (IT-SiBe) und IT-Betriebspersonal. ## 1.2 Geltungsbereich und Abgrenzung dieses Mindeststandards Im Rahmen der stetig zunehmenden Digitalisierung und der damit verbundenen Übertragung von Informationen über Kommunikationsnetze ist es eine zwingende Notwendigkeit, Informationen während der Übertragung abzusichern, um die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleisten zu können. Eine zuverlässige Absicherung der Übertragung in Netzen kann durch den Einsatz des Protokolls Transport Layer Security (TLS) erreicht werden. TLS wird verwendet, um Informationen während der Übertragung in Netzen kryptographisch durch Etablierung eines sicheren Kanals (verschlüsselt, authentisiert und integritätsgeschützt) abzusichern. So können Daten aus höheren Schichten des OSI-Referenzmodells sicher über TCP/IP-basierte Verbindungen übertragen werden (z.B. HTTPS, FTPS, IMAPS, LDAPS). Es existieren jedoch unterschiedliche Versionen von TLS, wobei nicht jede Version heute als sicher eingestuft werden kann. Daher ist es wichtig, die geeignete Version in der richtigen Konfiguration einzusetzen, um die oben genannten Schutzziele zu erreichen. Dieser Mindeststandard stellt konkrete Anforderungen an die sichere Verwendung und Konfiguration von TLS. Dieser Mindeststandard fordert nicht, dass TLS zur kryptographischen Absicherung von Informationen während der Übertragung in Netzen verwendet werden muss. Unter der Voraussetzung, dass keine Einschränkungen für das angestrebte Sicherheitsniveau entstehen, können auch andere Protokolle und/oder Verfahren zur Transportverschlüsselung verwendet werden. Sobald jedoch TLS verwendet wird, müssen die in diesem Mindeststandards beschriebenen Sicherheitsanforderungen von Einrichtungen der Bundesverwaltung beachtet und umgesetzt werden. Der Mindeststandard setzt die IT-Grundschutz-Vorgehensweise des BSI zum Management der Informationssicherheit voraus. Er gilt für alle Schutzbedarfskategorien. Die Erfüllung der im Mindeststandard vorgegebenen Sicherheitsanforderungen ist für ein angemessenes Sicherheitsniveau notwendig, aber in der Regel nicht hinreichend. Unter Berücksichtigung des individuellen Schutzbedarfs muss die Prüfung sowie gegebenenfalls die Festlegung und Umsetzung eventuell zusätzlich erforderlicher Sicherheitsmaßnahmen erfolgen.