VDA ISA 6.0.2

TISAX® Kapitel 5.1.1
Inwieweit wird die Nutzung kryptografischer Verfahren verwaltet?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.

Ziel

Beim Einsatz von kryptografischen Verfahren ist es wichtig, Risiken im Bereich Verfügbarkeit (verlorenes Schlüsselmaterial) wie auch Risiken durch falsch angewendete Verfahren im Bereich Integrität und Vertraulichkeit (schlechte Algorithmen/Protokolle oder unzureichende Schlüsselstärken) zu berücksichtigen.

Anforderungen

Muss
Alle angewendeten kryptografischen Verfahren (z.B. Verschlüsselung, Signatur und Hash-Algorithmen, Protokolle) bieten die für das jeweilige Anwendungsgebiet notwendige Sicherheit entsprechend der anerkannten Industrienorm soweit wie rechtlich möglich
Sollte
Erstellung eines technischen Regelwerkes mit Anforderungen an die Verschlüsselung zum Schutz von Informationen entsprechend ihrer Klassifizierung.
Sollte
Ein Nutzungskonzept für Kryptografie ist definiert und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
Sollte
Kryptografische Verfahren
Sollte
Schlüsselstärken
Sollte
Verfahren für den vollständigen Lebenszyklus von kryptografischen Schlüsseln einschließlich Erzeugung, Speicherung, Archivierung, Abruf, Verteilung, Deaktivierung, Erneuerung und Löschung.
Sollte
Ein Notfallprozess zur Wiederherstellung von Schlüsselmaterial ist etabliert.
Schutzbedarf hoch
Anforderungen an die Schlüsselhoheit (insbesondere bei organisationsfremder Verarbeitung) sind ermittelt und erfüllt. (C, I)

Umsetzung

Muss-Anforderungen

Um sicherzustellen, dass die verwendeten kryptografischen Verfahren adäquate Sicherheit bieten, ist eine sorgfältige Auswahl basierend auf anerkannten Industrienormen erforderlich. Dies umfasst den Einsatz von Standardprotokollen und Algorithmen, die in der Fachwelt als sicher gelten. Hierzu sollten Sie eine Analyse der in Ihrem Unternehmen eingesetzten kryptografischen Methoden durchführen und diese mit aktuellen Empfehlungen von Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgleichen. Es ist auch wichtig, rechtliche Anforderungen und Einschränkungen zu berücksichtigen, die den Einsatz bestimmter kryptografischer Technologien beeinflussen können.

Sollte-Anforderungen

Die Entwicklung eines technischen Regelwerks ist entscheidend, um die Anwendungen von Verschlüsselungstechnologien systematisch zu steuern. In diesem Regelwerk sollten Sie spezifische Kriterien festlegen, die sich auf die Klassifizierung von Informationen und die entsprechenden Sicherheitsstufen beziehen. Darüber hinaus ist es ratsam, ein Nutzungskonzept für Kryptografie zu erstellen, das folgende Elemente beinhaltet:

  • Die Auswahl der kryptografischen Verfahren.
  • Bestimmung der erforderlichen Schlüsselstärken.
  • Management des gesamten Lebenszyklus von Schlüsseln, inklusive Erzeugung, Speicherung, Verteilung und Löschung.

Ein weiterer kritischer Aspekt ist die Einrichtung eines Notfallprozesses für die Wiederherstellung von Schlüsselmaterial, um im Falle eines Sicherheitsvorfalls schnell und effektiv reagieren zu können. Definieren Sie klare Prozesse und Zuständigkeiten, und sorgen Sie für die regelmäßige Überprüfung und Anpassung dieser Prozeduren.

Anforderungen bei hohem Schutzbedarf

Bei einem hohen Schutzbedarf ist die Kontrolle über die Schlüsselverwaltung besonders wichtig, insbesondere wenn Datenverarbeitungen durch externe Dienstleister erfolgen. Hier müssen Sie sicherstellen, dass die Schlüsselhoheit jederzeit gewährleistet ist. Legen Sie vertraglich fest, wie und wo kryptografische Schlüssel verwaltet werden und wer darauf Zugriff hat. Auditieren Sie diese Prozesse regelmäßig, um Compliance zu gewährleisten und mögliche Sicherheitsrisiken frühzeitig zu identifizieren.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache. Für 4999€ erhalten Sie von uns ein vollständig konformes Dokumentenpaket, welches Ihnen alle notwendigen Dokumente für Ihr Assessment liefert.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde