TISAX® Kapitel 5.1.1
Inwieweit wird die Nutzung kryptografischer Verfahren verwaltet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Beim Einsatz von kryptografischen Verfahren ist es wichtig, Risiken im Bereich Verfügbarkeit (verlorenes Schlüsselmaterial) wie auch Risiken durch falsch angewendete Verfahren im Bereich Integrität und Vertraulichkeit (schlechte Algorithmen/Protokolle oder unzureichende Schlüsselstärken) zu berücksichtigen.
Anforderungen
- Muss
- Alle angewendeten kryptografischen Verfahren (z.B. Verschlüsselung, Signatur und Hash-Algorithmen, Protokolle) bieten die für das jeweilige Anwendungsgebiet notwendige Sicherheit entsprechend der anerkannten Industrienorm soweit wie rechtlich möglich
- Sollte
- Erstellung eines technischen Regelwerkes mit Anforderungen an die Verschlüsselung zum Schutz von Informationen entsprechend ihrer Klassifizierung.
- Sollte
- Ein Nutzungskonzept für Kryptografie ist definiert und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
- Sollte
- Kryptografische Verfahren
- Sollte
- Schlüsselstärken
- Sollte
- Verfahren für den vollständigen Lebenszyklus von kryptografischen Schlüsseln einschließlich Erzeugung, Speicherung, Archivierung, Abruf, Verteilung, Deaktivierung, Erneuerung und Löschung.
- Sollte
- Ein Notfallprozess zur Wiederherstellung von Schlüsselmaterial ist etabliert.
- Schutzbedarf hoch
- Anforderungen an die Schlüsselhoheit (insbesondere bei organisationsfremder Verarbeitung) sind ermittelt und erfüllt. (C, I)
Umsetzung
Muss-Anforderungen
Um sicherzustellen, dass die verwendeten kryptografischen Verfahren adäquate Sicherheit bieten, ist eine sorgfältige Auswahl basierend auf anerkannten Industrienormen erforderlich. Dies umfasst den Einsatz von Standardprotokollen und Algorithmen, die in der Fachwelt als sicher gelten. Hierzu sollten Sie eine Analyse der in Ihrem Unternehmen eingesetzten kryptografischen Methoden durchführen und diese mit aktuellen Empfehlungen von Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgleichen. Es ist auch wichtig, rechtliche Anforderungen und Einschränkungen zu berücksichtigen, die den Einsatz bestimmter kryptografischer Technologien beeinflussen können.
Sollte-Anforderungen
Die Entwicklung eines technischen Regelwerks ist entscheidend, um die Anwendungen von Verschlüsselungstechnologien systematisch zu steuern. In diesem Regelwerk sollten Sie spezifische Kriterien festlegen, die sich auf die Klassifizierung von Informationen und die entsprechenden Sicherheitsstufen beziehen. Darüber hinaus ist es ratsam, ein Nutzungskonzept für Kryptografie zu erstellen, das folgende Elemente beinhaltet:
- Die Auswahl der kryptografischen Verfahren.
- Bestimmung der erforderlichen Schlüsselstärken.
- Management des gesamten Lebenszyklus von Schlüsseln, inklusive Erzeugung, Speicherung, Verteilung und Löschung.
Ein weiterer kritischer Aspekt ist die Einrichtung eines Notfallprozesses für die Wiederherstellung von Schlüsselmaterial, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können. Definieren Sie klare Prozesse und Zuständigkeiten, und sorgen Sie für die regelmäßige Überprüfung und Anpassung dieser Prozeduren.
Anforderungen bei hohem Schutzbedarf
Bei einem hohen Schutzbedarf ist die Kontrolle über die Schlüsselverwaltung besonders wichtig, insbesondere wenn Datenverarbeitungen durch externe Dienstleister erfolgen. Hier müssen Sie sicherstellen, dass die Schlüsselhoheit jederzeit gewährleistet ist. Legen Sie vertraglich fest, wie und wo kryptografische Schlüssel verwaltet werden und wer darauf Zugriff hat. Auditieren Sie diese Prozesse regelmäßig, um Compliance zu gewährleisten und mögliche Sicherheitsrisiken frühzeitig zu identifizieren.
