Die Uhr tickt für klassische Kryptographie: In der aktuellen Fortschreibung seiner Technischen Richtlinie TR-02102 setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals ein konkretes Ablaufdatum für herkömmliche asymmetrische Verschlüsselungsverfahren. Spätestens bis Ende 2031 – bei höchstsensitiven Anwendungen bereits bis Ende 2030 – sollen diese Verfahren nach dem Willen der Behörde nicht mehr isoliert eingesetzt werden. Künftig verlangt das BSI eine hybride Implementierung in Kombination mit Post-Quanten-Kryptographie. Für klassische Signaturverfahren ist das Ende der alleinigen Nutzung bis spätestens Ende 2035 vorgesehen.
Ein Paradigmenwechsel?
BSI-Präsidentin Claudia Plattner spricht von einem Paradigmenwechsel: Die Umstellung auf Post-Quanten-Kryptographie sei „alternativlos“, die Technische Richtlinie formuliere nun konkreten Handlungsbedarf. Damit wird deutlich: Es handelt sich nicht um eine bloße Zukunftsvision, sondern um eine regulatorisch flankierte Transformationsanforderung mit absehbarem Zeitrahmen.
Die Tragweite dieser Ankündigung reicht weit über die IT-Sicherheits-Community hinaus. Die TR-02102 gilt in zahlreichen Branchen als Referenz für den Stand der Technik – auch international. In sensiblen Bereichen, etwa bei der Verarbeitung von Verschlusssachen, ist die Konformität mit der BSI-Richtlinie sogar verbindlich vorgeschrieben. Unternehmen und öffentliche Stellen stehen daher nicht nur vor einer technischen, sondern auch vor einer rechtlichen und organisatorischen Herausforderung: Wer langfristige Vertraulichkeit gewährleisten und regulatorische Risiken vermeiden will, muss sich bereits heute mit der Migration zu quantensicheren Verfahren befassen.
Die TR-02102 im Überblick
Die Technische Richtlinie BSI TR-02102 ist das zentrale Referenzwerk des BSI zur Bewertung kryptographischer Verfahren. Sie soll eine verlässliche, längerfristige Orientierung bei der Auswahl geeigneter Algorithmen und Parameter bieten – insbesondere für Entwickler und Organisationen, die neue kryptographische Infrastrukturen planen. Ein Anspruch auf Vollständigkeit besteht dabei ausdrücklich nicht.
In der Praxis wird die TR-02102 jedoch häufig als Maßstab für den „Stand der Technik“ herangezogen – und gewinnt damit auch datenschutzrechtliche Relevanz, insbesondere im Rahmen von Art. 32 DSGVO.
TR-02102-1: Algorithmen und Schlüssellängen
Teil 1 („Empfehlungen und Schlüssellängen“, Version 2026-01) enthält die grundlegende sicherheitstechnische Bewertung kryptographischer Verfahren. Hier finden sich auch die neuen Fristen zur Ablösung klassischer asymmetrischer Verschlüsselung sowie die Vorgaben zur hybriden Nutzung mit Post-Quanten-Kryptographie.
TR-02102-2 bis -4: Konkrete Protokolle
Die weiteren Teile konkretisieren diese Vorgaben für zentrale Sicherheitsprotokolle:
- TR-02102-2 (TLS): Empfehlungen zur sicheren Konfiguration von Transport Layer Security für die geschützte Datenübertragung in Netzwerken.
- TR-02102-3 (IPsec und IKEv2): Vorgaben zur Absicherung von Netzwerkverbindungen; für Neuentwicklungen wird ausdrücklich IKEv2 empfohlen.
- TR-02102-4 (SSH): Empfehlungen zur sicheren Nutzung von Secure Shell, insbesondere zu Protokollversionen und Algorithmen.
Zusammengenommen zeigen die Richtlinien: Die Abkündigung klassischer Verfahren ist Teil einer umfassenden kryptographischen Neujustierung. Unternehmen sollten die Vorgaben daher nicht isoliert betrachten, sondern im Rahmen einer strategischen und compliance-orientierten Migrationsplanung. Wir helfen Ihnen, sich im komplexen Regelungswerk zurechtzufinden.
Fazit
Aus juristischer Sicht markieren die neuen Vorgaben der TR-02102 einen klaren Referenzpunkt für die Bestimmung des „Stands der Technik“ im Sinne von Art. 32 DSGVO sowie für vergleichbare sicherheitsrechtliche Anforderungen, etwa im KRITIS- oder VS-Umfeld. Auch wenn Technische Richtlinien formal keine Gesetze sind, entfalten sie faktisch erhebliche normative Wirkung: Wer dauerhaft von den BSI-Empfehlungen abweicht, wird dies im Fall eines Sicherheitsvorfalls oder einer aufsichtsbehördlichen Prüfung belastbar begründen müssen. Die frühzeitige Planung einer hybriden bzw. post-quantenfähigen Kryptostrategie ist daher nicht nur eine technische, sondern auch eine haftungs- und compliance-relevante Weichenstellung. Gerne unterstützen wir Sie bei der rechtlichen Bewertung Ihrer bestehenden Kryptokonzeption und der Entwicklung einer zukunftssicheren Migrationsstrategie.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
