Hier werden die wesentlichen Änderungen des aktualisierten Mindeststandards gegenüber der jeweiligen Vorgängerversion aufgeführt. Um die Liste übersichtlich zu halten und einen Abgleich zu erleichtern, werden dabei nur größere inhaltliche Änderungen aufgelistet. Strukturelle und sprachliche Anpassungen sowie kleinere Aktualisierungen (z.B. Versionsänderung bei referenzierten Dokumenten) werden daher nicht oder nur zusammengefasst beschrieben.

Version 2.4 vom 25.05.2023

Allgemein

• Das Vorwort wurde entsprechend der aktuell gültigen Fassung überarbeitet
• Aktualisierung von Verweisen
• Anpassung des Literatur- und Abkürzungsverzeichnisses
• Überarbeitung der Referenztabelle und des Hilfsdokumentes

Sicherheitsanforderungen

• TLS.2.0.02 – Verwendung von kryptografischen Verfahren

  • Anpassung des Bezugs auf eine konkrete Version der Technischen Richtlinie TR-02102-2 auf die 'jeweils aktuelle' Version
  • Fußnote zum Abgleich mit der Technischen Richtlinie TR-02102-2 wurde ergänzt

• TLS.2.0.03 – Abweichungen und Risikomanagement

  • Fußnoten zum Verweis auf RFC 8996 (Internet Engineering Taskforce, 2021) wurden ergänzt

• TLS.2.0.05 – Sicherheitsanforderungen für Projekte des Bundes

  • Anpassung des Bezugs auf eine konkrete Version der Technischen Richtlinie TR-03116-4 auf die 'jeweils aktuelle' Version

Version 2.3 vom 15.03.2022

Allgemein

• Das Vorwort wurde mit Bezug auf das neue IT-SiG 2.0 überarbeitet

• Aufgliederung des Kapitels 1. Beschreibung in Unterkapitel

  • 1.1 Einleitung und Abgrenzung
  • 1.2 Modalverben
• Aktualisierung von Verweisen
• Anpassung des Literatur- und Abkürzungsverzeichnisses
• Überarbeitung der Referenztabelle und des Hilfsdokumentes

Sicherheitsanforderungen

• Nummerierung der Sicherheitsanforderungen wurde angepasst

Sicherheitsanforderungen sind durch eine Identifikationsnummer nummeriert und somit referenzierbar. Die Bezeichnung der einzelnen Sicherheitsanforderungen setzt sich zusammen aus dem Kürzel des jeweiligen Mindeststandards, der Kapitelnummer, der Unterkapitelnummer, sowie der Anforderungsnummer (siehe Beispiel-Abbildung). Diese kann in bestimmten, optionalen Fällen durch Buchstaben in Teil-Anforderungen unterteilt sein.
Da der MST-TLS keine Unterkapitelstruktur aufweist, werden die Sicherheitsanforderungen nach dem Schema TLS.2.0.01 \02 \03... nummeriert.

• TLS.2.0.0.5: 'Sicherheitsanforderungen für Projekte des Bundes'

  • Abweichend von der TR-02102-2 durfte nach Anforderung TLS.2.0.0.5 b) bei den Signaturalgorithmen bis einschließlich 2021 die Hashfunktion SHA-224 eingesetzt werden, und es durfte auch bis einschließlich 2021 die elliptische Kurve secp224r1 (IANA-Nr. 22) eingesetzt werden. Da diese Frist abgelaufen ist, wurde die Anforderung 2.0.0.5 b) aus dem Mindeststandard entfernt.
  • Anpassung der Abbildung 1 (Mindeststandard zur Verwendung von Transport Layer Security und Technische Richtlinien) an die aktualisierten Sicherheitsanforderungen.

Version 2.2 vom 03.05.2021

Allgemein

• Unterscheidung zwischen TLS-Versionen und TLS-Verfahren eingeführt durch Aufteilung von TLS.2.1.01
• Einführung des Begriffes 'nicht konforme Versionen und Verfahren'
• Risikobehandlung als eigenen Punkt TLS.2.1.03 aufgeführt (Abweichungen und Risikomanagement)
• Untergliederung der Risikobehandlung in Einzelanforderungen unter TLS.2.1.03
• Untergliederung der Sicherheitsanforderung für Projekte des Bundes in Einzelanforderungen
• Aktualisierung von Verweisen
• Anpassung des Literatur- und Abkürzungsverzeichnisses

Sicherheitsanforderungen

TLS.2.1.01: 'Verwendung von TLS' wurde angepasst

• Beschränkung der Anforderungen in diesem Punkt auf TLS-Versionen.
• TLS-Verfahren und Risikomanagement werden in TLS.2.1.02 und TLS.2.1.03 gesondert aufgeführt

TLS.2.1.02: 'Verwendung von kryptografischen Verfahren' wurde hinzugefügt

• Anforderung an TLS-Verfahren wurde aus TLS.2.1.01 entfernt und gesondert unter TLS.2.1.02 aufgeführt.

TLS.2.1.03: 'Abweichungen und Risikomanagement'

• Abweichungen und Risikomanagement wurden aus TLS.2.1.01 entfernt und gesondert unter TLS.2.1.03 aufgeführt
• Aufgliederung des Risikomanagements in einzelne Anforderungen
• Beschränkung der Thematisierung der Abweichung auf ältere Versionen erweitert um die Abweichung auf zum Mindeststandard nicht konforme TLS-Versionen und -Verfahren

TLS.2.1.04: 'TLS für Webserver'

• Erläuterung des Begriffes 'veraltete Verfahren' aus dem IT-Grundschutz angepasst (nun Versionen und Verfahren)

TLS.2.1.05: 'Sicherheitsanforderungen für Projekte des Bundes'

• Aufgliederung in einzelne Anforderungen
• TR-03116-4 ist bezüglich des Einsatzes von SHA-224 und elliptischer Kurven eine Abschwächung zu TR-02102-2, deshalb nicht mehr als MUSS- sondern als KANN-Anforderung formuliert.

Version 2.1 vom 09.04.2020

Allgemein

• Verwendung von definierten Modalverben
• Definition der verwendeten Modalverben eingefügt
• Untergliederung der Sicherheitsanforderungen
• Aktualisierung von Verweisen
• Anpassung des Literatur- und Abkürzungsverzeichnisses

Sicherheitsanforderungen

TLS.2.0.01: 'Verwendung von TLS' wurde angepasst

• Forderung nach Überprüfung aktivierter Versionen und Deaktivierung unsicherer Versionen hinzugefügt.

TLS.2.0.02: 'TLS für Webserver' wurde hinzugefügt

• Konkretisierung der Basis-Anforderung APP.3.2.A11 des IT-Grundschutz-Kompendiums 2020.