Encryption at Rest

[ɪnˈkrɪpʃn æt rɛst] · auch: Datenverschluesselung im Ruhezustand, Speicherverschluesselung

Encryption at Rest bezeichnet die Verschluesselung gespeicherter Daten -- auf Festplatten, in Datenbanken, in Cloud-Speichern oder auf Backupmedien -- um sicherzustellen, dass physischer Zugriff auf Speichermedien nicht zu einem Datenschutzvorfall fuehrt.

Warum Encryption at Rest wichtig ist

Physischer Diebstahl von Speichermedien, der Austausch defekter Festplatten im Rechenzentrum oder der unberechtigte Zugriff auf Backup-Baender -- all das fuehrt ohne Speicherverschluesselung unmittelbar zu einem Datenschutzvorfall mit Meldepflicht. Encryption at Rest schliesst diese Luecke. Auditoren pruefen nicht nur ob Verschluesselung vorhanden ist, sondern ob sie lueckenlos auf alle relevanten Datenkategorien angewandt wird.

Wo Encryption at Rest gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.24	Einsatz kryptographischer Verfahren umfasst explizit die Verschluesselung gespeicherter Daten.
NIS-2 / BSIG	§ 30 Abs. 2b	Verschluesselung als technische Schutzmassnahme fuer wesentliche Einrichtungen vorgeschrieben -- gilt auch fuer gespeicherte Daten.
DSGVO	Art. 32 Abs. 1a	Pseudonymisierung und Verschluesselung personenbezogener Daten als geeignete technische Massnahme genannt.
DORA	Art. 9 Abs. 2	Datenverschluesselung bei Speicherung als Mindestanforderung fuer IKT-Risikomanagement.
BSI TR-02102	Kap. 2ff.	Technische Richtlinie definiert zugelassene Algorithmen fuer Speicherverschluesselung: AES-256 als Standard.

BAM-Objektreferenz

BAM-Objekt CROSS-ER-01

BeschreibungCompliance-Objekt mit Framework-Mapping und Evidence-Anforderungen

GitHubBAM Core →

Haeufige Audit-Fehler

Produktionssysteme verschluesselt, Backups nicht
Entwicklungsumgebungen mit Produktionsdaten ohne Verschluesselung
Keine dokumentierte Schluesselverwaltung fuer Speicherschluessel
Defekte oder ausgemusterte Festplatten nicht sicher geloescht

Verschluesselung auf verschiedenen Ebenen

Encryption at Rest kann auf verschiedenen Ebenen implementiert werden. Full Disk Encryption (FDE) verschluesselt das gesamte Speichermedium -- BitLocker (Windows), LUKS (Linux), FileVault (macOS). Datenbankverschluesselung verschluesselt auf Ebene der Datenbank (Transparent Data Encryption in SQL Server, MySQL, PostgreSQL). Feldverschluesselung verschluesselt einzelne Felder -- maximaler Schutz, hoechster Implementierungsaufwand. Cloud-Anbieter bieten serverseitige Verschluesselung (SSE) mit eigenem Schluesselmaterial oder Customer-Managed Keys (CMK).

Schluesselverwaltung bei Speicherverschluesselung

Der haeufigste Fehler ist nicht die fehlende Verschluesselung, sondern die mangelhafte Schluesselverwaltung: Schluessel werden auf demselben Speichermedium abgelegt wie die verschluesselten Daten -- dann ist die Verschluesselung wirkungslos. ISO 27001 A.8.24 fordert eine klare Trennung von Schluesseln und verschluesselten Daten sowie eine dokumentierte Schluesselrotation.

Naechste Ebene

Encryption at Rest in der Praxis: Audit-Anforderungen und Evidence

Was Auditoren konkret pruefen -- Abdeckung, Schluesselverwaltung, Backups und Evidence-Checkliste.

Ebene 2 lesen → NIS-2-Stresstest starten →