BSI
Mindeststandard für verschlüsselte Internetverbindungen
Fortsetzung des Artikels von Teil 1
Vom Mindeststandard zur Verwaltungsvorschrift
Gemäß § 8 Absatz 1 des BSI-Gesetzes hat das BSI die Befugnis, allgemeine technische Mindeststandards für die Sicherung der Informationstechnik des Bundes festzulegen. Der Mindeststandard beschreibt die zu erfüllenden sicherheitstechnischen Anforderungen an eine Produkt- bzw. Dienstleistungskategorie oder Methoden, um einen angemessenen Mindestschutz gegen IT-Sicherheitsbedrohungen zu erreichen. Mindeststandards stellen zunächst unverbindliche Empfehlungen dar. Nach Zustimmung des IT-Rats kann das Bundesministerium des Innern die im Mindeststandard formulierten Anforderungen ganz oder teilweise als allgemeine Verwaltungsvorschrift erlassen und dadurch für die Bundesverwaltung für verbindlich erklären. Darüber hinaus kann auch der IT-Planungsrat die Mindeststandards des BSI als gemeinsame Standards für den Datenaustausch zwischen Bund und den Ländern festlegen.
Schutzbedarf individuell analysieren
Eine Migration zu TLS 1.2 umfasst in der Regel nicht nur Software-, sondern auch Hardware-Produkte und kann kosten- und zeitintensiv sein. Daher rät das BSI, bis zur Umstellung zusätzliche Schutzmaßnahmen umzusetzen. So kann TLS 1.0 in bestehenden Anwendungen übergangsweise weiter eingesetzt werden, sofern geeignete Schutzmaßnahmen gegen bereits bekannte Angriffe gegen das SSL/TLS-Protokoll (beispielsweise BEAST, CRIME) ergriffen werden. Zudem sollten während der Übergangsphase alternative Maßnahmen zum Schutz der Vertraulichkeit der Kommunikation getroffen werden. So sollte sich beispielsweise der TLS-Server in einer gesicherten Umgebung befinden, damit kein Angreifer Zugriff auf den geheimen Schlüssel erlangen kann.
- Mindeststandard für verschlüsselte Internetverbindungen
- Vom Mindeststandard zur Verwaltungsvorschrift
Lesen Sie mehr zum Thema
