A.8 Technologische Maßnahmen

A.8.24

Einsatz von Kryptografie

ISO 27001NIS2TISAXDSGVOBSI

Regeln für den wirksamen Einsatz von Kryptografie, einschließlich des Managements kryptografischer Schlüssel, müssen festgelegt und umgesetzt werden.

Was fordert dieses Control?

Regeln für den wirksamen Einsatz von Kryptografie, einschließlich des Managements kryptografischer Schlüssel, müssen festgelegt und umgesetzt werden.

Warum ist das wichtig?

Verschlüsselung schützt Daten bei Speicherung und Übertragung. Entscheidend ist dabei ein sauberes Schlüsselmanagement, sonst ist auch starke Krypto wirkungslos.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX5.2.4Direkt
DSGVOArt. 32Direkt
BSICON.1Direkt

Was der Auditor erwartet

  1. 1Kryptografie-Richtlinie mit Verfahren und Stärken
  2. 2Schlüsselmanagement über den Lebenszyklus
  3. 3Verschlüsselung sensibler Daten at rest und in transit

Audit-Checkliste

Dokumente

  • Kryptografie-Richtlinie

    Zugelassene Verfahren, Schlüssellängen und Einsatzregeln

Nachweise

  • Schlüsselmanagement

    Erzeugung, Aufbewahrung, Rotation und Vernichtung von Schlüsseln

  • Zertifikatsinventar mit Monitoring

    Übersicht mit Ablaufdaten und Erneuerungs-Alarmen

  • Verschlüsselungsnachweise

    Belege je Datenkategorie für Übertragung und Ruhezustand

Technisch

  • Verschlüsselung

    TLS für Übertragung, Verschlüsselung sensibler Daten at rest

Praxis-Tipps zur Umsetzung

1

Standards nutzen

Auf etablierte, aktuelle Verfahren setzen, keine Eigenentwicklungen.

2

Schlüssel schützen

Schlüsselmanagement (Aufbewahrung, Rotation) klar regeln, idealerweise mit HSM/Key-Vault.

3

At rest und in transit

Sowohl gespeicherte als auch übertragene sensible Daten verschlüsseln.

Häufige Fehler

Schlüssel ungeschützt

Krypto ist stark, aber die Schlüssel liegen unsicher herum.

Veraltete Verfahren

Schwache Algorithmen oder kurze Schlüssel werden weiter genutzt.

Recovery-Key nur auf dem Gerät

BitLocker-Wiederherstellungsschlüssel liegen nur lokal statt zentral hinterlegt.

Häufig gestellte Fragen

Was ist beim Schlüsselmanagement wichtig?

Sichere Erzeugung, geschützte Aufbewahrung, geregelte Rotation und kontrollierte Vernichtung der Schlüssel.

Muss man alles verschlüsseln?

Risikobasiert, sensible Daten at rest und in transit jedenfalls, der Aufwand richtet sich nach dem Schutzbedarf.

Sind eigene Verschlüsselungsverfahren erlaubt?

Nein, es sollten ausschließlich anerkannte, geprüfte Standardverfahren eingesetzt werden.

So hilft CompliantDesk bei A.8.24

Hinterlegen Sie die Kryptografie-Richtlinie und das Schlüsselmanagement als Kontrolle und belegen Sie Verschlüsselung über die M365-Integration.