(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Kryptographische Verfahren sind ein zentrales Mittel zum Schutz von Informationen vor unbefugtem Zugriff, Manipulation und Offenlegung. Sie dienen der Wahrung von Vertraulichkeit, Integrität, Authentizität und teilweise auch der Nicht-Abstreitbarkeit. Dieses Control stellt sicher, dass Kryptographie sicher, konsistent, angemessen und kontrolliert eingesetzt wird – sowohl technisch als auch organisatorisch.

Zweck des Controls

A 8.24 soll gewährleisten, dass kryptographische Maßnahmen auf Basis von Risiken, gesetzlichen Vorgaben und dem Schutzbedarf der Informationen ausgewählt, implementiert, betrieben und verwaltet werden. Das Control fordert zudem klare Regelungen zur Schlüsselverwaltung, zu Einsatzgrenzen, zur Interoperabilität sowie zur Pflege kryptographischer Verfahren.

Anforderungen und Maßnahmen

1. Kryptographie-Strategie und Richtlinien

Die Organisation muss eine verbindliche Kryptographie-Richtlinie etablieren, die umfasst:

• Ziele und Grundsätze des Einsatzes kryptographischer Verfahren.
• Geltungsbereiche (Daten in Ruhe, Daten in Bewegung, Daten in Nutzung).
• Vorgaben zu akzeptierten Algorithmen, Schlüssellängen und Protokollen.
• Rollen und Verantwortlichkeiten für die Verwaltung kryptographischer Systeme.
• Umgang mit gesetzlichen Vorgaben (z. B. Datenschutz, Exportkontrollen, branchenspezifische Vorgaben).

Die Richtlinie bildet den übergeordneten Rahmen für den sicheren Umgang mit Kryptographie.

2. Auswahl geeigneter kryptographischer Verfahren

Die Auswahl muss risikoorientiert erfolgen:

• Berücksichtigung aktueller Best Practices und Empfehlungen (z. B. BSI, NIST, ENISA).
• Verwendung starker, aktueller Algorithmen und sicherer Betriebsmodi.
• Vermeidung obsoleter oder kompromittierter Verfahren (z. B. MD5, SHA-1, unsichere TLS-Versionen).
• Bewertung von Performance, Kompatibilität und Systemanforderungen.

Ziel ist die Verwendung resistenter und langfristig sicherer Kryptographie.

3. Einsatz in relevanten Sicherheitskontexten

Kryptographie muss dort eingesetzt werden, wo sie zur Absicherung erforderlich ist:

• Daten in Ruhe: Verschlüsselung von Festplatten, mobilen Geräten, Datenbanken, Backups.
• Daten in Bewegung: Nutzung sicherer Protokolle wie TLS, VPN, SSH.
• Daten in Nutzung: Schutz sensibler Daten während der Verarbeitung (z. B. Tokenisierung, geheime Berechnungen).
• Authentifizierung und Signaturen: Einsatz digitaler Signaturen, Zertifikate, Schlüsselpaare.

Dies stellt sicher, dass kryptographische Maßnahmen alle relevanten Risiken adressieren.

4. Verwaltung kryptographischer Schlüssel

Ein zentrales Element des Controls ist die sichere Schlüsselverwaltung:

• Generierung kryptographisch starker Schlüssel.
• Sichere Speicherung (z. B. Hardware Security Module – HSM, TPM, sichere Speicherbereiche).
• Lebenszyklusmanagement: Erzeugung, Verteilung, Rotation, Archivierung und Löschung.
• Schutz vor unbefugtem Zugriff, Kopieren oder Offenlegung.
• Notfallkonzepte für Schlüsselverlust oder Kompromittierung.
• Dokumentation aller Schlüssel mit Verantwortlichkeiten und Ablaufdaten.

Ein strukturiertes Key-Management stellt sicher, dass die Kryptographie verlässlich funktioniert.

5. Technische und organisatorische Schutzmaßnahmen

Für die sichere Umsetzung kryptographischer Verfahren sind zusätzliche Maßnahmen notwendig:

• Einsatz validierter Implementierungen (z. B. zertifizierte Module).
• Sicherstellung der Integrität kryptographischer Bibliotheken und Tools.
• Einschränkung administrativer Berechtigungen für kryptographische Systeme.
• Kontrolle über Konfigurationen und Parameter (z. B. erlaubte Cipher Suites).
• Monitoring kryptographischer Prozesse und Fehlermeldungen.

So wird sichergestellt, dass Kryptographie technisch korrekt und sicher eingesetzt wird.

6. Rechts- und Compliance-Anforderungen

Kryptographie unterliegt oft gesetzlichen Rahmenbedingungen:

• Datenschutzrechtliche Anforderungen (z. B. Verschlüsselung personenbezogener Daten).
• Exportkontrollen und nationale Regulierung kryptographischer Technologien.
• Verträge und Kundenanforderungen.
• Nachweisführung zur Wirksamkeit kryptographischer Maßnahmen.

Die Organisation muss sicherstellen, dass der Einsatz rechtlich zulässig und konform ist.

7. Dokumentation und Nachweisführung

Alle kryptographischen Verfahren müssen dokumentiert sein:

• Einsatzbereiche und Algorithmen.
• Schlüsselmaterial, Verantwortlichkeiten und Abläufe.
• Konfigurationsparameter und technische Einstellungen.
• Abhängigkeiten zu Anwendungen, Diensten oder Prozessen.
• Nachweise über Prüfungen, Schlüsselrotationen und Sicherheitskontrollen.

Dies ermöglicht Transparenz und Revision­s­fähigkeit.

8. Schulung und Sensibilisierung

Mitarbeitende und Administratoren müssen über den sicheren Umgang mit Kryptographie informiert sein:

• Schulungen zu Grundlagen, Risiken und Abläufen.
• Bewusstsein für sichere Passwort- und Schlüsselnutzung.
• Nutzungsvorgaben für verschlüsselte Kommunikation und Speicherorte.
• Training für technische Teams zu Konfiguration und Fehlerszenarien.

Ohne Wissen können kryptographische Maßnahmen leicht kompromittiert werden.

9. Überwachung, Prüfung und kontinuierliche Verbesserung

Kryptographie ist hoch dynamisch — Verfahren altern, Bedrohungen entwickeln sich weiter:

• Regelmäßige Reviews von Algorithmen, Schlüsselstärken und Protokollen.
• Prüfung auf Schwachstellen oder Kompromittierungen (z. B. Zero-Day in Krypto-Bibliotheken).
• Aktualisierung der Richtlinie und technischen Standards.
• Reaktion auf neue gesetzliche, regulatorische oder technologische Anforderungen.

Kontinuierliche Verbesserung garantiert langfristige Sicherheit.

Zusammenfassung

A 8.24 verlangt, dass Kryptographie kontrolliert, sicher und anforderungsgerecht eingesetzt wird. Die Organisation muss geeignete Verfahren auswählen, eine verbindliche Kryptographie-Richtlinie implementieren, eine sichere Schlüsselverwaltung betreiben, rechtliche Anforderungen erfüllen und den Einsatz regelmäßig überwachen und verbessern. Dadurch wird die Vertraulichkeit, Integrität und Authentizität von Informationen über ihren gesamten Lebenszyklus hinweg wirksam geschützt.