Richtlinie zu kryptografischen Kontrollen – KMU

Die P18S-Richtlinie zu kryptografischen Kontrollen ist eine spezialisierte Richtlinie, die für kleine und mittelständische Unternehmen (KMU) entwickelt wurde und klar auf vereinfachte Rollen und Prozesse zugeschnitten ist – insbesondere auf die Rolle „General Manager“ – statt auf unternehmensspezifische Titel wie CISO oder Security Operations Center (SOC). Sie stellt sicher, dass diese Organisationen robuste kryptografische Kontrollen implementieren, die die Vertraulichkeit, Integrität und Authentizität von geschäftlichen und personenbezogenen Daten schützen. Der Kernzweck dieser Richtlinie besteht darin, verbindliche Anforderungen an Verschlüsselung und andere kryptografische Maßnahmen zu definieren und diese direkt an den Zertifizierungsanforderungen nach ISO/IEC 27001:2022 sowie an regulatorischen Rahmenwerken wie der GDPR, der NIS2-Richtlinie und der EU-DORA auszurichten. Der Geltungsbereich der Richtlinie umfasst sämtliches Personal, einschließlich Mitarbeiter, Auftragnehmer und Dritte, die Unternehmensdaten verarbeiten, und deckt jedes Geschäftssystem, Endgerät oder jede Cloud-Plattform ab, die vertrauliche Informationen speichert, überträgt oder darauf zugreift. Sie gilt für alle klassifizierten Daten gemäß der Datenklassifizierung des Unternehmens und umfasst kryptografische Kontrollen wie Verschlüsselungsmethoden, Zertifikate, Schlüssel, Passwörter und Sicherheitsmodule. Die Schutzanforderungen erstrecken sich auf Daten im Ruhezustand, bei der Übertragung und bei der Nutzung und umfassen Verschlüsselung für Backups, E-Mail, externe Übermittlungen und Websites der Organisation. Die Ziele der Richtlinie sind klar: Schutz sensibler und regulierter Daten durch geeignete kryptografische Maßnahmen; Festlegung von Befugnissen und Rechenschaftspflicht für Tool-Auswahl, Konfiguration und Schlüsselmanagement; sowie Sicherstellung starker präventiver Kontrollen gegen unbefugten Zugriff, Manipulation oder Datenverlust. Die Richtlinie betont die strikte Einhaltung rechtlicher und regulatorischer Verpflichtungen, die Verschlüsselung erfordern, und unterstreicht die Bedeutung eines wirksamen Zertifikats- und Schlüsselmanagements für die operative Sicherheit. Rollen und Verantwortlichkeiten sind für den KMU-Kontext gestrafft: Der General Manager (GM) übernimmt die Verantwortung für die Richtlinie und überwacht Durchsetzung sowie Genehmigung von Ausnahmen. Der IT Support Provider oder ein interner IT-Administrator übernimmt den täglichen Betrieb und die Pflege von Verschlüsselungstechnologien, Zertifikaten und Backup-Schutz. Ein Privacy- oder Security Coordinator stellt die fortlaufende Einhaltung von Datenschutzpflichten, Risikomanagement und rechtlicher Verteidigungsfähigkeit sicher. Alle Mitarbeiter und Auftragnehmer müssen die genehmigte Nutzung von Verschlüsselung einhalten und dürfen keinen Sicherheitsmechanismus umgehen. Zentrale Governance-Merkmale umfassen die jährliche Richtlinienüberprüfung (oder bei wesentlicher Datenschutzverletzung oder Änderung), die vollständige Dokumentation aller Aktivitäten zu Verschlüsselung/Schlüsselmanagement sowie strenge Anforderungen an die Nutzung branchenüblicher kryptografischer Algorithmen (z. B. AES-256, RSA 2048 und TLS 1.2 oder neuer). Veraltete oder unsichere Protokolle müssen gesperrt werden, und alle Schlüssel müssen sicher gespeichert werden – mit kontrolliertem, regelmäßig überprüftem Zugriff – niemals im Klartext. Backup-Verschlüsselung, Zertifikatsmanagement, Planung von Risikoszenarien und ein gut dokumentierter Ausnahmeantragsprozess sind zentrale Anforderungen. Verstöße ziehen definierte Konsequenzen nach sich, und alle kryptografischen Ausfälle werden protokolliert, untersucht und im Rahmen von Verfahren zum Umgang mit Informationssicherheitsvorfällen bearbeitet. Diese Richtlinie entspricht der KMU-Vorlage und ist damit besonders geeignet für Organisationen mit weniger Ressourcen oder ohne sicherheitsspezialisiertes Personal, bietet jedoch weiterhin eine vollständige Ausrichtung an ISO/IEC 27001:2022 und relevante regulatorische Anforderungen.