Compliance-Lexikon · Technik

Cryptography

[krɪpˈtɒgrəfi] · auch: Kryptographie, Verschlüsselung

Cryptography bezeichnet den Einsatz mathematischer Verfahren zur Verschlüsselung von Daten, sowohl bei der Übertragung als auch bei der Speicherung, um Vertraulichkeit und Integrität sicherzustellen und unautorisierten Zugriff wirkungsvoll zu verhindern.

Warum Cryptography zentral ist

Verschlüsselung ist die letzte Verteidigungslinie, wenn andere Schutzmaßnahmen versagen: selbst bei erfolgreichem Zugriff auf Rohdaten bleiben diese ohne den passenden Schlüssel unlesbar. Nahezu jedes Framework, von der DSGVO bis zu DORA, nennt Kryptographie explizit als geeignete technische Maßnahme zur Risikominderung.

Wo Cryptography gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022A.8.24Einsatz von Kryptographie nach dokumentierter Richtlinie mit definierten Algorithmen und Schlüssellängen.
DSGVOArt. 32 Abs. 1aVerschlüsselung personenbezogener Daten als Beispiel geeigneter technischer Maßnahmen.
NIS-2 / BSIG§ 30 Abs. 2hKonzepte und Verfahren für den Einsatz von Kryptographie als eigener Mindestmaßnahmenbereich.
DORAArt. 9 Abs. 3dEinsatz aktueller und angemessener kryptographischer Techniken zum Schutz von Daten in Ruhe und bei Übertragung.

BAM-Objektreferenz

BAM-Objekt CROSS-CR-01
BeschreibungKryptographie-Richtlinie mit genehmigten Algorithmen, Schlüssellängen und Rotationsintervallen

Häufige Audit-Fehler

  • Kryptographie-Richtlinie existiert, wird aber nicht in allen Systemen durchgesetzt
  • Schlüssel werden nie oder unregelmäßig rotiert
  • Daten sind bei der Übertragung verschlüsselt, bei der Speicherung jedoch nicht
  • Veraltete Algorithmen (z.B. SHA-1, DES) werden ohne Migrationsplan weiterverwendet

Symmetrische versus asymmetrische Verschlüsselung

Symmetrische Verfahren wie AES-256 nutzen denselben Schlüssel für Ver- und Entschlüsselung und eignen sich für große Datenmengen. Asymmetrische Verfahren wie RSA (mindestens 3072 Bit) oder elliptische Kurven (ECC P-256) nutzen ein Schlüsselpaar und kommen vor allem beim Schlüsselaustausch und bei digitalen Signaturen zum Einsatz. Die meisten praktischen Systeme kombinieren beide Verfahren.

Aktuelle Empfehlungen des BSI

Das BSI veröffentlicht mit der Technischen Richtlinie TR-02102 regelmäßig aktualisierte Empfehlungen zu Algorithmen und Schlüssellängen. Eine dokumentierte Kryptographie-Richtlinie sollte sich an dieser Richtlinie orientieren und mindestens jährlich gegen die aktuelle Fassung geprüft werden, da als sicher geltende Verfahren mit der Zeit geschwächt werden können.

Nächste Ebene

Cryptography implementieren: NIS-2, DORA und ISO 27001

Wie eine Kryptographie-Richtlinie strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.