Sicherheitsprotokolle für Unternehmen: TLS, IPsec und SSH richtig einsetzen

Inhalt in Kürze

• Sicherheitsprotokolle wie TLS, IPsec und SSH schützen Daten bei der Übertragung. Art. 32 DSGVO verlangt Verschlüsselung nach Stand der Technik.
• Das BSI hat im Januar 2026 die Technische Richtlinie TR-02102 aktualisiert. TLS 1.2+ mit AES-GCM und ECDHE ist Pflicht, TLS 1.0/1.1 sind abgekündigt.
• Laut BSI-Lagebericht 2025 erfüllen KMU im Schnitt nur 56 Prozent der IT-Sicherheits-Basisanforderungen. 80 Prozent der Cyberangriffe treffen den Mittelstand.
• Protokollhygiene ist kein einmaliges Projekt. Vierteljährliche Prüfung von Zertifikaten, VPN-Konfigurationen und SSH-Schlüsseln gehört zum Pflichtprogramm.

Ihr Webserver nutzt TLS, der VPN-Tunnel läuft über IPsec, die Admins verbinden sich per SSH. Klingt solide. Aber wann haben Sie zuletzt geprüft, ob diese Protokolle noch dem Stand der Technik entsprechen?

Genau hier liegt das Problem. Viele Unternehmen richten Sicherheitsprotokolle einmal ein und vergessen sie dann. Dabei ändern sich die Anforderungen ständig. Das BSI hat erst im Januar 2026 die Technische Richtlinie TR-02102 aktualisiert -- mit direkten Auswirkungen auf TLS, IPsec und SSH.

Was Sicherheitsprotokolle leisten -- und warum sie Pflicht sind

Sicherheitsprotokolle regeln, wie Daten verschlüsselt und authentifiziert übertragen werden. Sie sind die unsichtbare Schutzschicht zwischen Ihrem Unternehmen und dem Internet.

Art. 32 DSGVO fordert "geeignete technische und organisatorische Maßnahmen" unter Berücksichtigung des Stands der Technik. Verschlüsselung wird dabei ausdrücklich als Maßnahme genannt. Wer personenbezogene Daten ohne aktuelle Verschlüsselungsprotokolle überträgt, verstößt gegen geltendes Recht.

Quelle: BSI-Lagebericht 2025

Die drei wichtigsten Protokolle im Überblick

TLS -- Transport Layer Security

TLS schützt jede Verbindung zwischen Browser und Webserver, zwischen E-Mail-Client und Mailserver, zwischen App und Cloud-Dienst. Aktuell empfiehlt das BSI TLS 1.2 mit AES-GCM-Cipher-Suiten und ECDHE-Schlüsselaustausch als Minimum. TLS 1.3 ist noch besser, weil es unsichere Cipher-Suiten gar nicht erst zulässt.

TLS 1.0 und 1.1 sind seit Jahren abgekündigt. Trotzdem laufen sie auf manchen älteren Systemen noch mit. Prüfen Sie das. Jetzt.

IPsec -- Internet Protocol Security

IPsec sichert Netzwerkverbindungen auf IP-Ebene ab. Typischer Einsatz: VPN-Tunnel zwischen Firmenstandorten oder für den Fernzugriff von Mitarbeitenden im Homeoffice. Das BSI empfiehlt in der TR-02102-3 ausdrücklich IKEv2 für neue Implementierungen. IKEv1 sollte abgelöst werden.

SSH -- Secure Shell

SSH ist das Standardprotokoll für die sichere Serveradministration. Admins verbinden sich damit verschlüsselt auf Linux-Server, Firewalls und Netzwerkgeräte. Wichtig: Passwort-Login per SSH abschalten. Nur Schlüsselauthentifizierung mit Ed25519 oder RSA-4096 verwenden. SSH-Schlüssel regelmäßig rotieren.

Aus der Praxis: Protokolle allein reichen nicht

Wir sehen bei unseren Mandanten regelmäßig dasselbe Muster. Die Technik stimmt auf dem Papier. TLS ist aktiv, der VPN-Tunnel steht. Aber dann klickt ein Mitarbeiter auf einen Phishing-Link -- und das beste Protokoll schützt nicht mehr.

Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.

Nils OehmichenDatenschutzberater bei frag.hugo

Technische Protokolle und Mitarbeitersensibilisierung gehören zusammen. Das eine ohne das andere ist wie eine Alarmanlage, die niemand scharf schaltet.

Sicherheitsprotokolle richtig einführen

1. Bestandsaufnahme machen: Welche Protokolle und Verschlüsselungsverfahren sind aktuell im Einsatz? TLS-Version, Cipher-Suiten, VPN-Konfiguration, SSH-Einstellungen dokumentieren.
2. BSI-Richtlinie abgleichen: Vergleichen Sie Ihre Konfiguration mit der TR-02102. Veraltete Protokolle (TLS 1.0/1.1, SHA-1, 3DES) identifizieren und auf die Abschaltliste setzen.
3. Migrationsplan erstellen: Nicht alles auf einmal umstellen. Zuerst externe Dienste (Website, E-Mail), dann interne Systeme. Kompatibilität mit älteren Clients prüfen.
4. Zertifikatsmanagement aufsetzen: Automatische Erneuerung von TLS-Zertifikaten einrichten (z.B. via Let's Encrypt). Ablaufdaten überwachen. Manuelle Zertifikatsverwaltung ist die häufigste Fehlerquelle.
5. Vierteljährliche Prüfung einplanen: SSL-Labs-Test für Webserver, VPN-Konfigurationscheck, SSH-Schlüsselrotation. Ergebnisse dokumentieren -- das ist Teil Ihrer DSGVO-Nachweispflicht.
6. Mitarbeitende schulen: Technik allein genügt nicht. Security-Awareness-Maßnahmen verankern, damit Protokolle nicht durch menschliche Fehler umgangen werden.

Was sich 2026 geändert hat

Das BSI hat Anfang 2026 die gesamte Richtlinienserie TR-02102 aktualisiert. Die wichtigsten Neuerungen:

• Post-Quanten-Kryptographie (PQC): Erstmals enthält die Richtlinie konkrete Migrationsfristen. Klassische asymmetrische Verfahren (RSA, ECDSA) dürfen noch bis 2031 allein eingesetzt werden. Danach wird hybride Verschlüsselung Pflicht.
• Hybridisierung: Für zukunftssichere Systeme empfiehlt das BSI bereits jetzt die Kombination klassischer und quantensicherer Verfahren.
• Cipher-Suiten: AES-GCM und AES-CCM bleiben empfohlen. Die Gültigkeitsdauer wurde auf 2031+ verlängert.

Für KMU bedeutet das: Handeln Sie jetzt, nicht erst 2031. Die Migration auf aktuelle Protokolle dauert Monate, nicht Tage. Und wer erst reagiert, wenn die Frist abläuft, zahlt drauf.

Sicherheitsprotokolle für Hamburger Unternehmen

Hamburger Unternehmen verarbeiten täglich sensible Daten über verschiedene Kanäle -- von E-Mail über VPN bis zu Cloud-Plattformen. Der Hamburgische Beauftragte für Datenschutz erwartet den Einsatz aktueller Verschlüsselungsstandards gemäß Art. 32 DSGVO.

Als IT-Sicherheitsberatung in Hamburg unterstützen wir Sie bei der Auswahl und Konfiguration geeigneter Protokolle. Ob TLS-Härtung für Ihren Webshop, VPN-Modernisierung für Homeoffice-Arbeitsplätze oder SSH-Absicherung Ihrer Server -- wir machen das pragmatisch und ohne Technik-Buzzwords.

Häufige Fragen (FAQ)

Welche Sicherheitsprotokolle braucht mein Unternehmen?

Jedes Unternehmen sollte mindestens TLS 1.2 oder höher für Webverkehr, IPsec oder WireGuard für VPN-Verbindungen und SSH mit Schlüsselauthentifizierung für Serveradministration einsetzen. Das BSI empfiehlt diese Protokolle in der Technischen Richtlinie TR-02102.

Ist Verschlüsselung nach DSGVO Pflicht?

Art. 32 DSGVO nennt Verschlüsselung ausdrücklich als geeignete technische Maßnahme. Ob sie im Einzelfall verpflichtend ist, hängt vom Risiko ab. Bei personenbezogenen Daten in E-Mails, Cloud-Diensten oder Fernzugriffen ist Verschlüsselung nach Stand der Technik faktisch unverzichtbar.

Was bedeutet Stand der Technik bei Sicherheitsprotokollen?

Stand der Technik bezeichnet Verfahren, die sich in der Praxis bewährt haben und von Fachgremien empfohlen werden. Konkret: TLS 1.2 mit AES-GCM, ECDHE-Schlüsselaustausch und SHA-256 oder besser. Ältere Verfahren wie TLS 1.0 oder SHA-1 gelten nicht mehr als Stand der Technik. Der TeleTrusT-Verband veröffentlicht dazu eine regelmäßig aktualisierte Handreichung.

Wie oft sollten Sicherheitsprotokolle überprüft werden?

Mindestens einmal pro Quartal. Prüfen Sie SSL/TLS-Zertifikate, VPN-Konfigurationen und SSH-Schlüssel. Bei Bekanntwerden neuer Schwachstellen sofort. Das BSI aktualisiert seine Empfehlungen regelmäßig -- zuletzt im Januar 2026.

Was passiert bei veralteten Sicherheitsprotokollen?

Veraltete Protokolle wie SSL 3.0 oder TLS 1.0 haben bekannte Schwachstellen, die Angreifer aktiv ausnutzen. Bei einer DSGVO-Prüfung gelten sie als unzureichende technisch-organisatorische Maßnahmen. Im Schadensfall drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes.