Cryptography – Praxis

Kryptographie ist in jedem Compliance-Audit praesent -- als Anforderung, die sich leicht auf dem Papier erfullen laesst, aber in der Umsetzung haeufig Luecken hat. Was Auditoren wirklich pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Cryptography fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-CR-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• Algorithmen-Richtlinie existiert, wird aber nicht durchgesetzt
• Schluessel werden nicht rotiert
• Keine Evidence ueber aktive Verschluesselung in Produktion
• Uebertragung verschluesselt, Speicherung nicht

Umsetzung Schritt fuer Schritt

Erster Schritt: Kryptographie-Richtlinie erstellen, die Algorithmen (AES-256 fuer Symmetrie, RSA min. 3072 Bit oder ECC P-256 fuer Asymmetrie), Schluessellangen und Rotationsintervalle verbindlich festlegt. Zweiter Schritt: Inventar aller Verschluesselungsimplementierungen anlegen -- Datenbanken, Backups, Netzwerkverbindungen, Endgeraete. Dritter Schritt: Schluesselverwaltung zentralisieren, idealerweise ueber ein Key Management System (KMS). Vierter Schritt: Jaehrliche Pruefung der eingesetzten Algorithmen gegen aktuelle BSI-Empfehlungen (TR-02102).

Evidence-Anforderungen im Audit

Der Auditor erwartet: die datierte Kryptographie-Richtlinie mit genehmigten Algorithmen, Konfigurationsauszuege aus Systemen (z.B. TLS-Konfiguration des Webservers, Verschluesselungseinstellungen der Datenbank), Nachweise der Schluesselverwaltung (wer hat Zugriff, wann wurden Schluessel rotiert) und das Ergebnis der letzten Algorithmen-Pruefung gegen BSI TR-02102.

Die strategische Einordnung -- warum Cryptography langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.