Bundesamt für Sicherheit in der Informationstechnik

Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden

Inhalt des vorliegenden Dokuments sind Mindestsicherheitsanforderungen für den Einsatz des SSL/TLS-Protokolls in der öffentlichen Verwaltung.

Der Mindeststandard macht Vorgaben für die Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzen.

Auf seiner 33. Sitzung am 12.12.2014 hat der IT-Rat dem Erlass einer Allgemeinen Verwaltungsvorschrift zur Schaffung der rechtlichen Verbindlichkeit des Mindeststandards für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung zugestimmt. Die entsprechende Allgemeine Verwaltungsvorschrift tritt am Tag nach ihrer Veröffentlichung in Kraft.

Für alle Neusysteme gilt der Mindeststandard nach Inkraftsetzung ab sofort. Bestandssysteme sind innerhalb der im Mindeststandard genannten Fristen zu migrieren.

Der Mindeststandard sieht vor, dass Systeme, die sich nicht rechtzeitig migrieren lassen, dem BSI oder IT-Sicherheitsbeauftragten des Ressorts notifiziert werden.

Zum Mindeststandard TLS 1.2 steht ein Migrationsleitfaden zur Verfügung, der Sie bei der Umsetzung unterstützt.

Der Leitfaden vermittelt, welche Systeme bis wann auf TLS umzustellen sind und stellt ein Vorgehensmodell für die Migration zur Verfügung. Zusätzlich beinhaltet das Dokument praktische Arbeitshilfen für die Umsetzung auf Seiten der Administratotion, etwa Anleitungen zur Konfiguration von Browsern und Webservern sowie Kompatibilitätsmatrizen.

Download Mindeststandard und Migrationsleitfaden

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung (PDF, 287KB, Datei ist nicht barrierefrei)

Migrationsleitfaden zum Mindeststandard des BSI "Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung"; Version 1.2 (PDF, 2MB, Datei ist nicht barrierefrei)