Logo der activeMind AG

ISO 27002Kapitel 8.24 Verwendung von Kryptographie

In Kapitel 8.24 der ISO 27002 geht es um die Feinheiten beim Einsatz von Verschlüsselung.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Ein Bereich der Informationssicherheit, dessen extreme Bedeutung keinesfalls unterschätzt werden darf, ist die Kryptographie. Der Einsatz von Verschlüsselung ist insbesondere bei der Übermittlung von Informationen mittlerweile Standard und unabdingbar. Aber auch ruhende Daten müssen gegebenenfalls sicher verschlüsselt werden. Gerade im letzteren Fall ist auch der absolut zuverlässige Umgang mit den verwendeten Schlüsseln existenziell, was häufiger denjenigen Organisationen drastisch bewusst wird, die Opfer eines Verschlüsselungsangriffs wurden.

Neben der Vertraulichkeit unterstützt Kryptographie aber auch die Integrität bzw. Authentizität einer Nachricht. Sie kann auch eingesetzt werden, um die Identität von Empfänger und Absender eindeutig zu klären und die Beteiligung dieser beiden an einer Kommunikation gegebenenfalls nachzuweisen. Werden Benutzer über kryptographische Verfahren authentisiert, kann auch dies zu Erleichterung vieler Vorgänge genutzt werden.

Was empfiehlt die ISO 27002?

Die Norm schlägt diverse Maßnahmen vor, nicht nur zum Einsatz von Kryptographie, sondern insbesondere auch zur Verwaltung kartographischer Schlüssel.

  • Wie üblich, sollten auch im Rahmen der hier relevanten Prozesse die typischen Überlegungen angestellt und in einer entsprechenden Richtlinie festgehalten werden. Hierbei sollten neben den Vorteilen der Kryptographie für Vertraulichkeit, Authentizität oder Integrität auch die enormen Risiken bei Missbrauch oder Fehlern betrachtet werden.
  • Anknüpfend an die Schutzstufe und Klassifizierung von Informationen muss die Art, Stärke und Qualität des Verschlüsselungsalgorithmus festgelegt werden. Auch wenn es die Norm an dieser Stelle nicht anspricht, sollten dabei etwa auch möglichen Nebenwirkungen berücksichtigt werden. Was bringt die beste Verschlüsselung, wenn die beteiligten Systeme dadurch so belastet werden, dass die Verfügbarkeit darunter leidet?
  • Neben einer klaren Regelung der Verantwortlichkeit für alle relevanten Prozesse muss auch eindeutig und abschließend definiert werden, welche konkreten Verschlüsselungsmethoden in der Organisation zugelassen bzw. erforderlich sind. Diese Definition muss dann ggf. auch Auswirkungen auf die Zusammenarbeit mit oder den Einsatz von Dienstleistern haben.
  • In einigen Regionen müssen bei diesen Überlegungen möglicherweise auch regionale gesetzliche Vorschriften beachtet werden.
  • Kryptographische Maßnahmen sollten sowohl bei Informationen eingesetzt werden, die sich auf beweglichen Geräten oder Datenträgern befinden, als auch die Übertragung von Informationen über Netze an oder von solchen Geräten absichern.
  • In der Praxis häufig unterschätzt aber immens wichtig ist die Verwaltung kryptographischer Schlüssel. Schlüssel müssen bereits sicher erzeugt werden, dann aber auch laufend sicher behandelt werden. Notwendig ist auch, dass möglicherweise weiterhin oder später irgendwann einmal wieder benötigte Schlüssel sorgfältig und sicher aufbewahrt werden. Schlüssel, die verloren, kompromittiert oder beschädigt wurden, oder sonst im Bedarfsfall nicht zur Verfügung stehen (Stichwort: Verschlüsselungsangriff), können ebenso fatale Folgen für Organisationen haben, wie ein in die falschen Hände gelangter Schlüssel.
  • Lediglich Kryptographieschlüssel, die jederzeit folgenlos gegen den beliebig nächsten ausgetauscht werden können, dürfen gegebenenfalls etwas nachlässiger betrachtet werden; also beispielsweise auf dem Webserver verwendete SSL-Schlüssel oder ad hoc ausgehandelte Schlüssel.
  • Eine weitere Nebenwirkung von Verschlüsselung ist die mögliche Beeinträchtigung anderer für die Informationssicherheit relevanter Maßnahmen. Auch hierauf müssen sich Organisationen einstellen. Von der Norm ausdrücklich genannt und praktisch tatsächlich am relevantesten dürfte der Schutz vor Malware sein sowie die Inhaltsfilterung, etwa im Bereich der Internetzugänge oder bei der Mailkommunikation. Bei einer echten Ende-zu-Ende-Verschlüsselung wird die Organisation selbst ebenso ausgeschlossen wie Dritte. So kann es durchaus sein, dass – hier sowohl hinaus als auch herein – unerwünscht Informationen ausgetauscht werden, bei denen dies definitiv nicht erwünscht ist.
  • Auch im Zusammenhang mit Aufbewahrungspflichten kann es nachteilig sein, wenn auf Informationen im Bedarfsfall nicht zugegriffen werden kann, weil diese mit einem privaten (und nicht verfügbaren) Schlüssel verschlüsselt sind. Organisationen müssen sich daher auch im Zusammenhang mit der Archivierung und Ablage von Informationen mit dem Thema auseinandersetzen und Daten gegebenenfalls vor Ablage entschlüsseln.
  • Schließlich und endlich kann es auch etwa im Zusammenhang mit Rechtsstreitigkeiten oder behördlichen Maßnahmen notwendig werden, auf verschlüsselte Informationen zuzugreifen.

Wie bereits angesprochen, ist die Schlüsselverwaltung sehr wichtig beim Einsatz von Kryptographie. Die Norm gibt daher noch eine Vielzahl weiterer Hinweise, konkret für diesen Bereich.

  • Schlüssel müssen sicher selbst erzeugt bzw. sicher von anderen Stellen bezogen werden. Hierbei ist auch daran zu denken, dass es möglich sein kann, dass andere Stellen den Schlüsseln auch das entsprechende Vertrauen entgegenbringen soll und damit die herausgebende Stelle dieses Vertrauen auch rechtfertigen muss.
  • Auch die notwendige Verteilung, Speicherung und gegebenenfalls Aktivierung von Schlüsseln muss sicher ausgestaltet werden. In diesem Zusammenhang muss auch gewährleistet sein, dass nur befugte Personen Zugriff auf Schlüssel erhalten.
  • Es kann auch nötig oder sinnvoll sein, Schlüssel mit einer zeitlichen Beschränkung zu versehen, also Ihnen ein Ablaufdatum mitzugeben oder aber sie zeitabhängig zu aktivieren und zu deaktivieren.
  • Alle gerade genannten Punkte spielen auch bei jeder Änderung bzw. Aktualisierung der Schlüssel eine Rolle.
  • Die Notwendigkeit einer Änderung oder Aktualisierung sollte dabei klaren Regelungen unterworfen sein. Auslösend kann sein, dass ein Schlüssel kompromittiert wurde oder aber schlicht durch die technische Weiterentwicklung nicht mehr sicher ist. Informationen zu aktuell sicheren Kryptographiemechanismen sind beispielsweise über das BSI (etwa in der Technischen Richtlinie TR-02102 oder in den Teletrust Hinweisen zum Stand der Technik erhältlich.
  • Wurden Schlüssel kompromittiert, muss darauf angemessen reagiert werden. Schlüssel müssen deaktiviert werden und gegebenenfalls müssen Informationen dringlich mit einem anderen Schlüssel geschützt werden. In diesem Zusammenhang muss auch an das Off-Boarding von Mitarbeitern gedacht werden. Wie wird damit umgegangen, wenn vormals berechtigte Personen die Organisation verlassen und ihnen bestimmte Kenntnisse nicht einfach abgenommen werden können?
  • Alle Vorgänge, die Schlüssel betreffen, müssen sorgfältig überwacht und protokolliert werden.

Fazit

Die Praxis geht mit Kryptographie sehr häufig bislang nur oberflächlich und nur unter eingeschränkter Sichtweise um. Der Fokus richtet sich häufig allein darauf, Informationen jetzt und irgendwie sicher zu verschlüsseln. Dass es bereits wesentlich darauf ankommt, dass man einen geeigneten Schlüssel einsetzt, wird ebenso oft übersehen, wie dass es ganz entscheidend sein kann, auf diesen Schlüssel auch später noch Zugriff zu haben. Dass die Sicherheit des verwendeten Schlüssels genauso kritisch sein kann, wie der Inhalt einer verschlüsselten Nachricht, wird immer wieder übersehen.

Der Bereich wird künftig noch zusätzlich besonders spannend durch die immer weiter fortschreitende Entwicklung von Quantencomputern. Die aktuelle Diskussion dreht sich hier zunehmend um die Post-Quanten-Kryptographie, also die Frage, wie sich Organisationen auf die möglicherweise steigenden Risiken erfolgreicher Angriffe auf die eingesetzten Verschlüsselungsmechanismen vorbereiten.

Die Entwicklung auch künftig weiterhin sicherer Verschlüsselungsmethoden sollte aufmerksam beobachtet werden. Organisationen sollten in diesem Zusammenhang auch daran denken, dass gegebenenfalls heute gestohlene und aktuell noch sicher verschlüsselte Daten künftig möglicherweise auch sehr viel leichter entschlüsselt werden könnten.

Organisationen brauchen in diesem Bereich nahezu regelmäßig professionelle Unterstützung – und zwar nicht nur jetzt, sondern auch mit dem entsprechenden Blick in die Zukunft.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 unterstützen die Experten der activeMind AG organisatorisch mit einem Kryptographiekonzept und beraten zu etablierten technischen Maßnahmen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.