Cryptography – Strategie

Kryptographie wird in den meisten Organisationen als technische Pflichtmassnahme behandelt. Das unterschaetzt ihre strategische Bedeutung: Wer Kryptographie als System-Eigenschaft verankert, reduziert das Schadensausmass von Datenpannen strukturell -- unabhaengig davon, wie Angreifer eindringen.

Die strategische Perspektive

Cryptography ist die einzige Schutzmassnahme, die auch bei erfolgreichem Einbruch wirksam bleibt. Verschluesselte Daten sind fuer Angreifer ohne Schluessel wertlos. Das macht Kryptographie zum Fundament jeder Defense-in-Depth-Strategie -- und zur Massnahme mit dem hoechsten Restschutzwert nach einem Incident.

Cryptography und Executable Compliance

Der groesste strategische Hebel bei Cryptography liegt in der Automatisierung der Pruefung: Statt einmal jaehrlich manuell zu pruefen, ob Systeme korrekt konfiguriert sind, lassen sich Konfigurationspruefungen automatisieren. Das BAM-Objekt CROSS-CR-01 ist der Einstiegspunkt fuer diese Art von Executable Compliance.

Post-Quantum-Kryptographie als strategische Herausforderung

Quantencomputer werden mittelfristig heutige asymmetrische Verfahren (RSA, ECC) brechen koennen. NIST hat 2024 erste Post-Quantum-Standards veroeffentlicht (CRYSTALS-Kyber, CRYSTALS-Dilithium). Fuer langlebige Daten und kritische Infrastrukturen ist jetzt der richtige Zeitpunkt, eine Krypto-Agilitaets-Strategie zu entwickeln: Systeme so bauen, dass Algorithmen austauschbar sind, ohne Architektur-Umbau.

Kryptographie-Inventar als strategisches Steuerungsinstrument

Ein vollstaendiges Kryptographie-Inventar -- alle Verschluesselungsimplementierungen, eingesetzte Algorithmen, Schluesselalter und -verwaltung -- ist die Voraussetzung fuer Crypto-Agilitat. Es ermoeglicht gezielte Migration zu neueren Algorithmen, priorisiert nach Datenklassifizierung und Lebensdauer der Daten.

Den praktischen Einstieg -- wie Cryptography konkret fuer ISO 27001, NIS-2 und DORA implementiert wird -- findet sich auf Ebene 2.