Compliance-Lexikon · Strategie
Encryption at Rest – Strategie
Speicherverschluesselung wird haeufig als einmalige technische Massnahme implementiert. Das unterschaetzt ihre strategische Bedeutung: In einer Welt, in der Cloud-Migrationen, Geraetewechsel und Dienstleisterwechsel alltaeglich sind, ist Encryption at Rest die einzige Massnahme, die Daten auch ausserhalb des eigenen Kontrollbereichs schuetzt.
Die strategische Perspektive
Encryption at Rest ist die letzte Verteidigungslinie gegen physischen Datenverlust. Alle anderen Sicherheitsmassnahmen -- Zugangskontrolle, Firewalls, Monitoring -- setzen voraus, dass der Angreifer im Netzwerk agiert. Encryption at Rest ist die einzige Massnahme, die auch dann wirkt, wenn ein Speichermedium physisch entwendet wird.
Encryption at Rest und Executable Compliance
Der groesste strategische Hebel liegt in der kontinuierlichen Verifikation: Statt einmal im Jahr manuell zu pruefen, ob Systeme verschluesselt sind, lassen sich Konfigurationspruefungen automatisieren. Das BAM-Objekt CROSS-ER-01 ist der Einstiegspunkt fuer diese Art von Executable Compliance.
Strategischer Kern
Die entscheidende Frage lautet nicht "Haben wir Speicherverschluesselung implementiert?", sondern "Koennen wir jederzeit nachweisen, dass alle relevanten Datenspeicher lueckenlos verschluesselt sind?" Der Unterschied ist der zwischen Verschluesselung als Einmalmassnahme und Verschluesselung als kontinuierlich verifizierbarem Systemzustand.
Cloud-Speicher und Customer-Managed Keys
Bei Cloud-Diensten bieten AWS, Azure und GCP standardmaessig serverseitige Verschluesselung mit eigenen Schluesseln. Fuer regulierte Branchen (Finanz, Gesundheit, kritische Infrastruktur) ist die Nutzung von Customer-Managed Keys (CMK) die empfohlene Strategie: Der Cloud-Anbieter kann die Daten nicht entschluesseln -- auch nicht auf behoerdliche Anforderung hin. DORA Art. 9 und NIS-2 sehen in der Verwendung von CMK eine Best Practice fuer wesentliche Einrichtungen.
Zero-Trust und Encryption at Rest
In einer Zero-Trust-Architektur wird kein Vertrauen in Netzwerksegmente oder physische Standorte vorausgesetzt. Encryption at Rest ist in diesem Modell keine Option, sondern Grundvoraussetzung: Jeder Datenspeicher muss verschluesselt sein, unabhaengig davon, wo er sich befindet und wer physischen Zugang hat.
BAM Enterprise · Executable Compliance
Enterprise-Setup besprechen
Encryption at Rest als ausfuehrbares Compliance-Artefakt -- in allen acht Frameworks gleichzeitig.
Den praktischen Einstieg -- wie Encryption at Rest konkret fuer ISO 27001, NIS-2 und DORA implementiert wird -- findet sich auf Ebene 2.