Compliance-Lexikon · Technik
Cryptography
[krɪpˈtɒgrəfi] · auch: Kryptographie, Verschlüsselung
Cryptography bezeichnet den Einsatz mathematischer Verfahren zur Verschlüsselung von Daten, sowohl bei der Übertragung als auch bei der Speicherung, um Vertraulichkeit und Integrität sicherzustellen und unautorisierten Zugriff wirkungsvoll zu verhindern.
Warum Cryptography zentral ist
Verschlüsselung ist die letzte Verteidigungslinie, wenn andere Schutzmaßnahmen versagen: selbst bei erfolgreichem Zugriff auf Rohdaten bleiben diese ohne den passenden Schlüssel unlesbar. Nahezu jedes Framework, von der DSGVO bis zu DORA, nennt Kryptographie explizit als geeignete technische Maßnahme zur Risikominderung.
Wo Cryptography gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.24 | Einsatz von Kryptographie nach dokumentierter Richtlinie mit definierten Algorithmen und Schlüssellängen. |
| DSGVO | Art. 32 Abs. 1a | Verschlüsselung personenbezogener Daten als Beispiel geeigneter technischer Maßnahmen. |
| NIS-2 / BSIG | § 30 Abs. 2h | Konzepte und Verfahren für den Einsatz von Kryptographie als eigener Mindestmaßnahmenbereich. |
| DORA | Art. 9 Abs. 3d | Einsatz aktueller und angemessener kryptographischer Techniken zum Schutz von Daten in Ruhe und bei Übertragung. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Kryptographie-Richtlinie existiert, wird aber nicht in allen Systemen durchgesetzt
- Schlüssel werden nie oder unregelmäßig rotiert
- Daten sind bei der Übertragung verschlüsselt, bei der Speicherung jedoch nicht
- Veraltete Algorithmen (z.B. SHA-1, DES) werden ohne Migrationsplan weiterverwendet
Symmetrische versus asymmetrische Verschlüsselung
Symmetrische Verfahren wie AES-256 nutzen denselben Schlüssel für Ver- und Entschlüsselung und eignen sich für große Datenmengen. Asymmetrische Verfahren wie RSA (mindestens 3072 Bit) oder elliptische Kurven (ECC P-256) nutzen ein Schlüsselpaar und kommen vor allem beim Schlüsselaustausch und bei digitalen Signaturen zum Einsatz. Die meisten praktischen Systeme kombinieren beide Verfahren.
Aktuelle Empfehlungen des BSI
Das BSI veröffentlicht mit der Technischen Richtlinie TR-02102 regelmäßig aktualisierte Empfehlungen zu Algorithmen und Schlüssellängen. Eine dokumentierte Kryptographie-Richtlinie sollte sich an dieser Richtlinie orientieren und mindestens jährlich gegen die aktuelle Fassung geprüft werden, da als sicher geltende Verfahren mit der Zeit geschwächt werden können.
Nächste Ebene
Cryptography implementieren: NIS-2, DORA und ISO 27001
Wie eine Kryptographie-Richtlinie strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.