Am 9. April 2019 hat das Bundesamt für Sicherheit in der Informationstechnik den Mindeststandard bei der Absicherung für die Übertragung personenbezogener Daten in Netzen erneuert. Berücksichtigt wurden nur solche Verfahren, die heute noch als sicher angesehen werden können. Das sind TLS 1.2 in Verbindung mit Perfect Forward Secrecy (PFS) und TLS 1.3, ebenfalls unter Einschluss von PFS. Dass BSI weist zudem darauf hin, dass für die korrekte Umsetzung die Beachtung der Technischen Richtlinie TR-02102-2 (Version 23019-01) erforderlich ist.
Für Bundesbehörden sind diese Mindeststandards verbindlich. Auch kirchliche Anbieter, die auf ihren Webseiten personenbezogene Daten, bei denen im Falle von Bestellungen auch Zahlungsangaben abgefragt werden, verarbeiten, sind zur Einrichtung einer sicheren Seite mit TLS verpflichtet bzw. haben Ihren IT-Dienstleister auf die Einhaltung der BSI-Standards zu verpflichten. Sie sollten sich daher an den vom BSI veröffentlichten Mindeststandards orientieren.
Weitere Informationen:
- Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS) nach § 8 Absatz 1 Satz 1 BSIG – Version 2.0 vom 05.04.2019
- BSI TR02102-2 "Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)" Version: 2019-1 (PDF, 829KB, Datei ist barrierefrei⁄barrierearm)
- BSI TR03116-4 Kryptographische Vorgaben für Projekte der Bundesregierung Teil 4 (PDF, 927KB, Datei ist barrierefrei⁄barrierearm)
- Pressemitteilung des BSI vom 23.04.2019