Encryption at Rest – Praxis

Encryption at Rest ist im Audit deswegen haeufig ein Schwachpunkt, weil Organisationen einzelne Systeme verschluesseln, aber keine Gesamtuebersicht haben. Was Auditoren pruefen und welche Evidence notwendig ist, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Encryption at Rest fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-ER-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-ER-01

Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?

RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis

EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

Keine vollstaendige Inventarliste verschluesselter Systeme
Backupmedien nicht verschluesselt
Schluessel und verschluesselte Daten auf demselben Medium
Kein Nachweis der Schluesselrotation

Praxis-Tipp

Fuer Encryption at Rest gilt: Ein Inventar aller gespeicherten Daten mit Klassifizierung und Verschluesselungsstatus ist staerker als abstrakte Richtlinien. Auditoren wollen wissen, wo Daten liegen und ob sie verschluesselt sind -- nicht nur, ob eine Richtlinie das vorschreibt.

Umsetzung Schritt fuer Schritt

Erster Schritt: Inventar aller Datenspeicher anlegen -- Server, Datenbanken, Backups, Cloud-Speicher, Endgeraete. Zweiter Schritt: Klassifizierung der gespeicherten Daten und Ableitung des Verschluesselungsbedarfs. Dritter Schritt: Verschluesselung implementieren -- beginnend mit den kritischsten Systemen und personenbezogenen Daten. Vierter Schritt: Schluesselverwaltung zentralisieren, Schluessel von verschluesselten Daten trennen. Fuenfter Schritt: Jaehrliche Pruefung der Abdeckung dokumentieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: ein datiertes Inventar aller Datenspeicher mit Verschluesselungsstatus, Konfigurationsauszuege aus Systemen (z.B. BitLocker-Status, Datenbankeinstellungen), Nachweis der Schluesselverwaltung (Trennung von Schluesseln und Daten, Rotationsintervall) und Bescheinigungen ueber sichere Vernichtung ausgemusterter Speichermedien.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte -- unverbindlich, 20 Minuten.

NIS-2-Stresstest starten → BAM Core →

Die strategische Einordnung -- warum Encryption at Rest langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.