(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Kryptographische Verfahren sind ein zentrales Mittel zum Schutz der Vertraulichkeit, Integrität und Authentizität von Informationen. Werden kryptographische Maßnahmen falsch ausgewählt, unsachgemäß implementiert oder unzureichend verwaltet, kann dies zu Sicherheitslücken oder Compliance-Verstößen führen. Dieses Control stellt sicher, dass Kryptographie gezielt, angemessen und wirksam eingesetzt wird.

Zweck des Controls

A 8.24 soll gewährleisten, dass kryptographische Maßnahmen zum Schutz von Informationen risikoorientiert eingesetzt werden. Ziel ist es, Informationen vor unbefugtem Zugriff, Manipulation oder Offenlegung zu schützen und gleichzeitig rechtliche, regulatorische und organisatorische Anforderungen zu erfüllen.

Anforderungen und Maßnahmen

1. Festlegung einer Kryptographie-Richtlinie

Organisationen müssen eine Kryptographie-Richtlinie definieren, insbesondere:

• Ziele und Grundsätze der kryptographischen Nutzung
• Einsatzbereiche für Verschlüsselung und Signaturen
• Verantwortlichkeiten für Auswahl und Betrieb
• Anforderungen an Schlüsselmanagement

Die Richtlinie muss dokumentiert und bekannt sein.

2. Identifikation von Schutzbedarfen

Der Einsatz kryptographischer Verfahren muss sich am Schutzbedarf orientieren:

• Vertraulichkeit sensibler Informationen
• Integrität von Daten und Systemen
• Authentizität von Kommunikationspartnern
• rechtliche oder vertragliche Anforderungen

So wird Kryptographie gezielt eingesetzt.

3. Auswahl geeigneter kryptographischer Verfahren

Geeignete Verfahren müssen ausgewählt werden:

• anerkannte und aktuelle Algorithmen
• ausreichende Schlüssellängen
• sichere Betriebsmodi
• Berücksichtigung von Stand der Technik

Unsichere oder veraltete Verfahren sind zu vermeiden.

4. Sichere Implementierung kryptographischer Maßnahmen

Kryptographische Verfahren müssen korrekt implementiert werden:

• Nutzung geprüfter Bibliotheken oder Module
• sichere Konfiguration der Verfahren
• Schutz vor Fehlkonfigurationen
• Vermeidung selbst entwickelter Kryptographie

Dies stellt die Wirksamkeit sicher.

5. Schlüsselmanagement

Kryptographische Schlüssel müssen sicher verwaltet werden:

• sichere Erzeugung von Schlüsseln
• Schutz bei Speicherung und Nutzung
• geregelte Verteilung und Nutzung
• regelmäßiger Wechsel und Widerruf

Schlüsselmanagement ist zentral für die Sicherheit.

6. Schutz kryptographischer Materialien

Kryptographische Materialien müssen besonders geschützt werden:

• Zugriffsbeschränkungen
• Schutz vor Verlust oder Diebstahl
• sichere Backup- und Wiederherstellungsverfahren
• Protokollierung sicherheitsrelevanter Ereignisse

So wird Missbrauch verhindert.

7. Berücksichtigung rechtlicher und regulatorischer Anforderungen

Der Einsatz von Kryptographie muss rechtliche Vorgaben berücksichtigen:

• Export- oder Nutzungseinschränkungen
• Datenschutz- und Compliance-Anforderungen
• branchenspezifische Vorgaben
• Nachweisbarkeit gegenüber Prüfern

Dies unterstützt Rechtskonformität.

8. Überprüfung und kontinuierliche Verbesserung

Kryptographische Maßnahmen müssen regelmäßig überprüft werden:

• Bewertung der Wirksamkeit
• Anpassung an neue Bedrohungen oder Standards
• Austausch veralteter Verfahren
• Integration von Lessons Learned

So bleibt die Kryptographie zukunftssicher.

Zusammenfassung

A 8.24 fordert, dass Organisationen Kryptographie systematisch und risikoorientiert einsetzen. Durch eine klare Kryptographie-Richtlinie, geeignete Verfahren, sichere Implementierung, wirksames Schlüsselmanagement sowie regelmäßige Überprüfung wird sichergestellt, dass kryptographische Maßnahmen einen wirksamen Beitrag zur Vertraulichkeit, Integrität und Authentizität von Informationen leisten. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.