Richtlinie zu kryptografischen Kontrollen

Die Richtlinie zu kryptografischen Kontrollen (P18) legt die verbindlichen Kontrollen fest, die den Einsatz kryptografischer Mechanismen in der gesamten Organisation regeln, um die Vertraulichkeit, Integrität und Authentizität aller sensiblen und regulierten Informationen sicherzustellen. Da Kryptografie grundlegend für sichere Kommunikation, regulatorische Compliance und Datenschutz ist, beschreibt diese Richtlinie detaillierte Anforderungen, die an führenden globalen Normen und sich weiterentwickelnden regulatorischen Vorgaben ausgerichtet sind. Hauptzweck ist es, sicherzustellen, dass geeignete kryptografische Methoden überall dort konsistent angewendet werden, wo sensible Daten übertragen, verarbeitet oder gespeichert werden, um Vertrauen in der Organisation aufzubauen und sichere Abläufe in allen Geschäftsbereichen zu unterstützen. Die Richtlinie gilt organisationsweit und umfasst alle Geschäftsbereiche, sämtliches Personal sowie relevante Drittdienstleister, die an kryptografischen Tätigkeiten beteiligt sind. Der Geltungsbereich erstreckt sich über Produktions-, Entwicklungs-, Staging-, Datensicherungssysteme und Notfallwiederherstellungsumgebungen und verweist ausdrücklich auf Systeme, die vertrauliche, hochvertrauliche oder regulierte Daten verarbeiten. Kryptografische Anwendungsfälle reichen von symmetrischer und asymmetrischer Verschlüsselung, digitalen Signaturen, sicherem Hashing und API-Ebene-Verschlüsselung bis hin zu robuster Schlüsselerzeugung, -verteilung und -vernichtung, einschließlich Technologien wie Hardware Security Modules (HSMs), Trusted Platform Modules (TPMs) und Key Management Systems (KMS). Es wird ein starkes Governance-Modell etabliert, geführt durch den Informationssicherheitsbeauftragten oder CISO, der die Richtlinie verantwortet und ihre Einhaltung u. a. mit ISO/IEC 27001:2022 Anhang A Maßnahme 8.24 sicherstellt. Der Leiter für kryptografische Operationen pflegt die Liste zugelassener kryptografischer Methoden (ACML) und das Schlüsselmanagement-Register und leitet die Überprüfung und Integration neuer Technologien. Linienvorgesetzte, Systemadministratoren, Asset-Eigentümer, Entwickler und Drittdienstleister erhalten klare Verantwortlichkeiten für Freigabe, Konfiguration, Durchsetzung und Überprüfung kryptografischer Kontrollen in ihren Bereichen. Jährliche Überprüfungen und kryptografische Design Reviews (CDRs) sind für alle neuen oder geänderten Bereitstellungen verbindlich, um die Ausrichtung an aktuellen Bedrohungen und regulatorischen Anforderungen sicherzustellen. Die Anforderungen an die Umsetzung sind umfassend. Es dürfen nur organisationsweit genehmigte Algorithmen und Protokolle verwendet werden, darunter AES-256 für symmetrische Verschlüsselung, RSA 2048+/ECC für asymmetrische, SHA-256/SHA-3 für Hashing und TLS 1.2+ für den Transport. Ein formaler, zentral verwalteter Schlüsselmanagementprozess ist definiert und umfasst sichere Schlüsselerzeugung, Speicherung, Nutzung, Rotation, Widerruf, Vernichtung und Zertifikatserneuerung. Funktionstrennung und Dual Custody für sensible Tätigkeiten stellen Rechenschaftspflicht sicher und reduzieren Insider-Bedrohungen, während kontinuierliche Überwachung Zertifikatsablauf, veraltete Cipher-Nutzung und unbefugten Schlüsselzugriff identifiziert. Der Umgang mit Risiko, Ausnahmen und Durchsetzung ist strikt. Abweichungen von Standardalgorithmen erfordern einen dokumentierten Genehmigungsprozess einschließlich Risikobeurteilung und kompensierender Kontrollen. Jährliche Audits kryptografischer Kontrollen, strikte Eskalation bei Nichteinhaltung oder Schlüsselkompromittierung sowie formale disziplinarische oder vertragliche Abhilfen sind Standard. Die Richtlinie wird regelmäßig überprüft und aktualisiert als Reaktion auf neue kryptografische Schwachstellen, regulatorische Änderungen, operative Audits oder wesentliche Tool-Upgrades, mit zentraler Kommunikation und Versionskontrolle über das ISMS-Dokumentenlenkungsregister.