Ratgeber · BSI, eIDAS & Praxis
BSI TR-02102: was das Bundesamt für Hash-Funktionen empfiehlt
Wer in Deutschland eine Anwendung in der Bundesverwaltung, in KRITIS-Sektoren oder unter dem IT-Grundschutz baut, kommt am BSI TR-02102 nicht vorbei. Die Richtlinie listet jährlich aktualisiert die zulässigen Algorithmen, Schlüssellängen und Hash-Funktionen.
Was die TR-02102 ist und wofür sie gilt
Die Technische Richtlinie TR-02102 des Bundesamts für Sicherheit in der Informationstechnik trägt den Titel “Kryptographische Verfahren: Empfehlungen und Schlüssellängen”. Sie ist seit der ersten Version 2008 ein Standardwerk der deutschen IT-Sicherheits-Landschaft. Die Richtlinie definiert, welche kryptografischen Algorithmen, Schlüssellängen, Hash-Funktionen und Protokolle für sicherheitskritische Anwendungen im deutschen Geltungsbereich als geeignet gelten.
TR-02102 besteht aus mehreren Teil-Dokumenten:
- TR-02102-1: Hauptdokument mit den eigentlichen Empfehlungen für Algorithmen und Schlüssellängen
- TR-02102-2: TLS-spezifische Empfehlungen (Cipher Suites, Versionen)
- TR-02102-3: IPsec-spezifische Empfehlungen
- TR-02102-4: SSH-spezifische Empfehlungen
Für Hash-Funktionen ist TR-02102-1 das relevante Dokument. Die aktuelle Version 2024-01 wurde im Januar 2024 veröffentlicht und gilt bis zur nächsten Aktualisierung im Januar 2025.
Die Richtlinie ist verbindlich für die Bundesverwaltung über die Verschlusssachen-Anweisung (VSA) und den BSI IT-Grundschutz. Für KRITIS-Betreiber (Kritische Infrastrukturen wie Energie, Wasser, Telekommunikation, Finanzen, Gesundheit, Transport) ist die Richtlinie über § 8a BSIG verpflichtend, sobald das BSI sie als Stand der Technik referenziert. Für qualifizierte elektronische Signaturen nach eIDAS-Verordnung ist sie über die deutsche Vertrauensdiensteanbieter-Regulierung der Bundesnetzagentur einschlägig.
Zulässige Hash-Funktionen nach 2024-01
Die TR-02102-1 listet in Kapitel 5.1 die zulässigen Hash-Funktionen. Stand 2024-01 sind das:
- SHA-256, SHA-384, SHA-512 aus der SHA-2-Familie nach FIPS 180-4
- SHA3-256, SHA3-384, SHA3-512 aus der SHA-3-Familie nach FIPS 202
- BLAKE2b, BLAKE2s in den Standard-Konfigurationen nach RFC 7693
Die Mindest-Output-Länge ist 256 Bit. SHA-224 und SHA3-224 sind nicht zugelassen, ebenso wenig die alten Funktionen MD5 (gebrochen seit 2004) und SHA-1 (gebrochen seit 2017). Wer in einem Audit nachweisen muss, BSI-konforme Kryptographie zu verwenden, hat damit eine klare Liste.
Für Passwort-Hashing macht das BSI eine Sonderbemerkung: Hier empfiehlt die TR-02102 nicht eine reine Hash-Funktion, sondern eine spezialisierte Konstruktion wie Argon2 (vorzugsweise Argon2id), scrypt oder bcrypt. SHA-256 oder SHA-512 sind für Passwort-Hashing ausdrücklich nicht ausreichend.
Verbotene und auslaufende Algorithmen
Klar verboten sind:
- MD5: kryptografisch gebrochen seit Wang Xiaoyun 2004. Auch in HMAC-MD5 nur noch in Bestandssystemen geduldet.
- SHA-1: Chosen-Prefix-Kollisionen seit 2017 (SHAttered), 2020 für unter 50.000 USD machbar. Auch in HMAC-SHA1 nicht mehr empfohlen.
- RIPEMD-160, Whirlpool: nicht standardisiert auf BSI-Niveau, in Spezialfällen toleriert.
Auslaufend sind:
- 3DES: noch in Bestandssystemen bis 2030 zulässig, in Neuentwicklungen verboten.
- RSA mit 2048 Bit: noch zulässig bis 2030. Neue Anwendungen sollten 3072 Bit oder ECC verwenden.
Wer in einer aktuellen Code-Basis MD5 oder SHA-1 findet, hat zwei Optionen: Entweder die Funktion in einem nicht-kryptografischen Kontext nachweisen (Cache-Key, Datei-Deduplizierung), oder sie ablösen. Audits bewerten MD5- und SHA-1-Reste in sicherheitskritischen Kontexten regelmäßig als kritisches Finding.
Übergangsfristen verstehen
Die TR-02102 unterscheidet sauber zwischen drei Status:
-
Empfohlen für Neuanwendungen: Die Algorithmen, mit denen man heute eine grüne Wiese bauen sollte. Bei Hash-Funktionen: SHA-256 oder besser, SHA-3, BLAKE2.
-
Zulässig für Bestandssysteme: Algorithmen, die in laufenden Systemen weiter genutzt werden dürfen, aber nicht in neuen Anwendungen verwendet werden sollen. Hier liegen RSA-2048 (bis 2030), 3DES (bis 2030).
-
Nicht mehr zulässig: Algorithmen, die in keinem Kontext mehr verwendet werden dürfen. MD5, SHA-1, DES, RC4 fallen hierunter.
Die Übergangsfristen sind nicht willkürlich. Sie spiegeln die abschätzbare Hardware-Entwicklung und kryptanalytischen Fortschritte. RSA-2048 wird nach BSI-Einschätzung bis 2030 sicher bleiben, danach steigt das Risiko, dass leistungsfähigere Faktorierungs-Algorithmen oder dedizierte Hardware den Schutz unterlaufen. Wer ein System aufsetzt, das 20 Jahre laufen soll, wählt direkt RSA-3072 oder besser, um nicht 2030 eine Massenmigration durchführen zu müssen.
eIDAS-Verordnung und qualifizierte Signaturen
Die eIDAS-Verordnung (EU) Nr. 910/2014 regelt elektronische Identifizierung und Vertrauensdienste im EU-Binnenmarkt. Für qualifizierte elektronische Signaturen (QES) und qualifizierte Siegel verlangt eIDAS die Verwendung kryptografischer Verfahren auf “Stand der Technik”. In Deutschland verweist die zuständige Bundesnetzagentur dafür auf die TR-02102-1.
Konkret bedeutet das für QES-Signaturen seit 2024: Der zugrundeliegende Hash muss aus der SHA-2-Familie ab 256 Bit oder aus SHA-3 stammen. Eine QES-Signatur mit SHA-1 ist seit Jahren ungültig. Wer eine QES-Lösung in Deutschland anbietet, wird im Vertrauensdiensteanbieter-Audit auf TR-02102-Konformität geprüft.
Für die Praxis heißt das: Eine signierte PDF-Datei mit qualifizierter Signatur muss SHA-256 oder höher verwenden. Adobe Acrobat, DocuSign und andere QES-fähige Tools setzen das automatisch um, aber wer eine eigene Signatur-Implementierung baut, muss explizit auf SHA-256 als Mindestwert achten.
KRITIS und § 8a BSIG
Der § 8a BSIG verpflichtet KRITIS-Betreiber, “angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme” zu treffen. Was “angemessen” heißt, konkretisieren branchen-spezifische Sicherheitsstandards (B3S) und die BSI-Veröffentlichungen.
Bei kryptografischen Verfahren ist die TR-02102 der etablierte Maßstab. Eine KRITIS-Prüfung wird Hash-Funktionen, die in TR-02102 als “nicht mehr zulässig” gelistet sind (MD5, SHA-1), als Schwachstelle benennen, die nachweisbar zu beheben ist.
Das gilt für die 10 KRITIS-Sektoren: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, kommunale Abfallentsorgung, Staat und Verwaltung. Welcher Betreiber unter KRITIS fällt, ist in der BSI-Kritisverordnung (BSI-KritisV) geregelt.
TR-02102 im IT-Grundschutz
Der BSI IT-Grundschutz ist das deutsche Standardwerk für IT-Sicherheit in Behörden und Unternehmen. Er besteht aus dem IT-Grundschutz-Kompendium (Edition 2023, aktuell Edition 2024 in Vorbereitung) und ergänzenden Bausteinen für spezifische Themen.
Der Baustein CON.1 “Kryptokonzept” verweist für die Auswahl kryptografischer Verfahren auf die TR-02102. Wer eine Behörde oder ein Unternehmen nach IT-Grundschutz zertifizieren lässt (ISO 27001 auf Basis IT-Grundschutz), muss in der Risikoanalyse die TR-02102-Konformität der eingesetzten Algorithmen nachweisen.
Für hash-generieren.de selbst gilt: Das Tool ist ein Berechnungswerkzeug, kein zertifiziertes Sicherheitssystem. Die Auswahl der angebotenen Algorithmen (MD5, SHA-1, SHA-256, SHA-512) orientiert sich an Lern- und Verifikations-Zwecken. MD5 und SHA-1 sind verfügbar, um alte Hash-Werte aus Legacy-Kontexten zu prüfen, nicht für neue kryptografische Anwendungen. Wer eine BSI-konforme Hash-Berechnung in einer Anwendung benötigt, verwendet die Web Crypto API (crypto.subtle.digest) mit SHA-256 oder besser direkt in der eigenen Anwendung, nicht ein externes Tool. Bei rechtlichen Fragen ist die Korrekturen-Adresse der Anlaufpunkt, hintergrundliches steht auf der Methodik-Seite und der Autorenseite Eike-Christian.
Was hängenbleibt
BSI TR-02102 ist der deutsche Maßstab für kryptografische Verfahren in Bundesverwaltung, KRITIS und qualifizierten Vertrauensdiensten. Hash-Funktionen-Stand 2024-01: SHA-256, SHA-384, SHA-512, SHA-3-Familie und BLAKE2 sind zulässig. MD5 und SHA-1 sind nicht mehr zulässig. Für Passwort-Hashing ist Argon2id, scrypt oder bcrypt vorgesehen. Übergangsfristen wie “noch bis 2030” gelten nur für Bestandssysteme, nicht für Neuentwicklungen. Die Richtlinie wird jährlich aktualisiert, jeweils zum Jahresanfang. Wer als Anwendung BSI-Konformität braucht, hält die Versionsnummer aktuell und folgt der jeweils gültigen Liste.
FAQ
Häufige Fragen
Wer ist das BSI und welchen Auftrag hat es?
Das Bundesamt für Sicherheit in der Informationstechnik wurde 1991 durch das BSI-Errichtungsgesetz gegründet und untersteht dem Bundesministerium des Innern. Sitz ist Bonn-Mehlem. Aufgabe ist die Sicherheit der Informationstechnik des Bundes und der Wirtschaft. Rechtsgrundlage ist seit 2009 das BSI-Gesetz (BSIG), seit 2021 ergänzt durch IT-Sicherheitsgesetz 2.0. Das BSI erarbeitet technische Richtlinien, Mindeststandards und führt Zertifizierungen durch. TR-02102 ist eine der zentralen kryptografischen Richtlinien.
Welche Hash-Funktionen sind nach TR-02102 zugelassen?
Die Version 2024-01 der TR-02102-1 listet als zulässig: SHA-256, SHA-384, SHA-512 (alle aus der SHA-2-Familie nach FIPS 180-4) sowie SHA3-256, SHA3-384, SHA3-512 (nach FIPS 202). Außerdem die BLAKE2-Varianten BLAKE2b und BLAKE2s. Nicht mehr zulässig sind MD5 und SHA-1, beide gelten als kryptografisch gebrochen. Für Passwort-Hashing empfiehlt das BSI Argon2id, scrypt oder bcrypt als spezielle Funktionen mit Memory-Hardness und Cost-Faktor.
Was bedeutet 'noch zulässig bis 2030' bei TR-02102?
Manche Algorithmen sind im Übergang. Sie dürfen in bestehenden Systemen noch bis zu einem Stichtag verwendet werden, dürfen aber nicht mehr in neuen Anwendungen eingesetzt werden. Beispiel: RSA mit 2048 Bit Schlüssellänge ist noch bis 2030 zulässig, für neue Anwendungen empfiehlt das BSI 3072 Bit oder mehr. Diese Übergangsfristen geben Planungssicherheit für Migrationen. Wer aktuell ein neues System baut, sollte direkt auf die langfristigen Empfehlungen zielen, um spätere Migrationen zu sparen.
Wo ist TR-02102 verbindlich?
Verbindlich ist TR-02102 für die Bundesverwaltung (über die Verschlusssachen-Anweisung und den IT-Grundschutz), für KRITIS-Sektoren nach § 8a BSIG, für qualifizierte Vertrauensdienste nach eIDAS-Verordnung (EU) Nr. 910/2014 und für die Bundesnetzagentur-Zertifizierung von Trust-Service-Providern. Im privatwirtschaftlichen Bereich ist TR-02102 nicht direkt verbindlich, gilt aber als 'Stand der Technik' im Sinne von Art. 32 DSGVO und wird in Audits (ISO 27001, PCI-DSS) regelmäßig herangezogen.
Wie oft wird TR-02102 aktualisiert?
Mindestens jährlich. Das BSI veröffentlicht jeweils zum Jahresanfang eine neue Version mit aktualisierten Empfehlungen, Übergangsfristen und neuen Bedrohungseinschätzungen. Die Version 2024-01 ersetzte die Version 2023-01. Wer TR-02102-konform sein will, hält die Versionsnummer aktuell. Eine aktuelle Übersicht der zulässigen Verfahren ist auf bsi.bund.de unter Themen → Standards und Zertifizierung → Technische Richtlinien → TR-02102 zu finden.
Quellen