Kurzübersicht: Anhang A.10 Kryptographie der ISO 27001

Heutzutage werden Informationen auf unterschiedliche Weise über diverse Medien übertragen. Daher steigt die Wahrscheinlichkeit, dass Instanzen oder Personen Zugang zu diesen Informationen erhalten. Wenn also die Daten, die von Ihnen gespeichert und übertragen werden, nicht verschlüsselt sind, können Personen außerhalb Ihres Unternehmens problemlos darauf zugreifen.

Um gesetzliche Vorschriften einzuhalten und die Erwartungen der Verbraucher, die vertrauliche Daten übermitteln, zu erfüllen, müssen Unternehmen in der Lage sein, die Best Practices der Informationssicherheit anzuwenden.

In diesem Artikel erhalten Sie Informationen zu dem Anhang, der sich auf die Kryptographie bezieht, sowie die zugehörigen Ziele und Maßnahmen. Außerdem erfahren Sie, wie dieser Anhang Ihr Unternehmen bei der Umsetzung der Informationssicherheit unterstützen kann.

Was ist Kryptographie in der Informationssicherheit?

Laut Definition versteht man unter dem Begriff Kryptographie sichere Informations- und Kommunikationstechniken, die mathematische Konzepte und eine Gruppe von regelbasierten Berechnungen verwenden. Mit diesen Berechnungen, die als Algorithmen bezeichnet werden, werden Nachrichten in schwer zu entschlüsselnde Formate konvertiert.

Im Wesentlichen ist die Kryptographie eine sichere Methode für die Kommunikation zwischen Absender und Empfänger. Externe Dritte können die Inhalte weder hacken noch lesen.

Mit modernen kryptographischen Verfahren werden die folgenden vier Ziele abgedeckt: 

Vertraulichkeit

  • Empfänger, für die die Daten nicht bestimmt sind, können diese höchstwahrscheinlich nicht auswerten. 

Integrität

Die Daten können bei ihrer Speicherung sowie bei der Übertragung zwischen dem Absender und dem vorgesehenen Empfänger nicht unbemerkt verändert werden.

Nichtabstreitbarkeit

  • Der Urheber der Daten kann seine Absichten bei der Entwicklung oder Übertragung der Daten später nicht abstreiten.

Authentifizierung

  • Absender und Empfänger können die Identität des jeweils anderen sowie den Ursprung und das Ziel der Informationen überprüfen. 

Die Kryptographie ist eng mit der Verschlüsselung verbunden, d. h. dem Prozess, bei dem Klartext verschlüsselt und beim Empfang entschlüsselt wird. Die Verschlüsselung und Entschlüsselung von E-Mails und anderen Klartextnachrichten ist ein typischer Anwendungsfall für die Kryptographie bei der Übertragung von Daten.

Zusammenspiel von Kryptographie und Verschlüsselung

Für die Ver- und Entschlüsselung wird die symmetrische oder „geheime Schlüssel“-Methode verwendet. Die verschlüsselte Nachricht und der geheime Schlüssel werden dann zum Entschlüsseln an den Empfänger gesendet. 

Wenn die Daten jedoch abgefangen werden, können sie von einem Dritten dekodiert und gelesen werden. Um dieses Problem zu lösen, haben Kryptologen die asymmetrische oder „öffentliche Schlüssel“-Methode entwickelt, bei der jeder Benutzer über zwei Schlüssel verfügt – einen öffentlichen und einen privaten.

Nach Erhalt des öffentlichen Schlüssels des Empfängers verschlüsselt der Absender die Nachricht und sendet sie an den Empfänger. Sobald die Nachricht eintrifft, kann sie nur noch mit dem privaten Schlüssel des Empfängers dekodiert werden, daher ist ein Diebstahl ohne den entsprechenden privaten Schlüssel des Empfängers sinnlos. 

Was ist Anhang A.10? 

In Anhang A.10 werden die kryptographischen Verfahren beschrieben, mit denen Ihr Unternehmen die Informationssicherheitsvorschriften einhalten kann. Der Umgang mit Daten in Ihrem Unternehmen schließt die Verarbeitung von sensiblen Unternehmensdaten, Mitarbeiterdaten und Kundendaten ein.

Egal, ob es sich bei Ihren Kunden um Einzelpersonen oder Unternehmen handelt: Sie speichern und übermitteln diese Daten innerhalb Ihres Unternehmens. Dazu gehören personenbezogene Daten Ihrer Kunden wie Standort, Finanzinformationen, Krankenakten, Umsatz/Einkommen usw.

Die beiden folgenden Maßnahmen gemäß Anhang A.10 helfen Ihrem Unternehmen bei der Implementierung von kryptographischen Verfahren:

  • Richtlinie zur Verwendung kryptographischer Maßnahmen
  • Schlüsselverwaltung

Sehen wir uns nun das Ziel von Anhang A.10, um mit der Umsetzung von ISO 27001 zur Einhaltung der Informationssicherheitsvorschriften für Ihr Unternehmen zu beginnen.

 

 

Was ist das Ziel von Anhang A.10? 

Anhang A.10 ist Teil der Maßnahmen (Controls) in Anhang A der ISO 27001. Sobald Sie mit dem Compliance-Prozess beginnen, müssen Sie die entsprechenden Maßnahmen für Ihr Unternehmen auswählen. Das Erfüllen von Maßnahmen aus Anhang A trägt dem Ziel der ISO 27001 Zertifizierung bei.

Das Hauptziel von Anhang A.10 besteht darin, sicherzustellen, dass kryptographische Verfahren ordnungsgemäß und effizient angewendet werden, um die Vertraulichkeit, Authentizität und Integrität von Informationen sicherzustellen. Außerdem unterstützt der Anhang Ihr Unternehmen bei der Erstellung von umfassenden, soliden Informationssicherheitsverfahren. Diese decken zahlreiche Aspekte der Verschlüsselung ab, denn sie ist ein wichtiger Bestandteil des ISMS (Informationssicherheits-Managementsystems).

Sehen wir uns nun die Controls in Anhang A.10 der ISO 27001 genauer an.

Was sind die kryptographischen Verfahren in Anhang A.10?

A.10.1.1 Richtlinie zur Verwendung kryptographischer Verfahren 

Kryptographische Verfahren können sowohl beim Speichern von Daten als auch bei deren Übertragung zur Anwendung kommen. Für die Verschlüsselung werden öffentliche Schlüssel verwendet. Die Durchführung einer Risikobewertung für Ihr Unternehmen beschleunigt den Verschlüsselungsprozess, denn Sie können damit wichtige Risiken und Chancen verstehen und identifizieren.

Eine Risikobewertung ist hilfreich für die Erkennung von beschädigten oder fehlenden Schlüsseln. Dadurch können Sie Risiken eindämmen und die Informationssicherheit während der ISO 27001-Implementierung erhöhen.

A.10.1.2: Schlüsselverwaltung

Kryptographische Schlüssel sind ein wesentlicher Bestandteil der Verschlüsselung. Ohne sie verfehlt die Verschlüsselung ihren Zweck. Der Einsatz kryptographischer Verfahren sollte mit den Best Practices und den Informationssicherheitsrichtlinien des Unternehmens im Einklang stehen. 

Kryptographische Schlüssel müssen ordnungsgemäß verwaltet werden und sichere Verfahren für folgende Vorgänge bieten:

  • Erstellen von Schlüsseln
  • Verarbeiten von Schlüsseln
  • Archivieren von Schlüsseln
  • Abrufen von Schlüsseln
  • Übertragen von Schlüsseln
  • Löschen von Schlüsseln
  • Zerstören von Schlüsseln 

Die Sicherheit der physischen Umgebung muss für die Einrichtungen zum Erzeugen, Verarbeiten und Archivieren von Schlüsseln ebenfalls berücksichtigt werden.

Für die Erfassung vereinbarter Konzepte, Protokolle und Verfahren zur Generierung von Schlüsseln für verschiedene kryptographische Algorithmen und Anwendungen muss ein Framework für die Schlüsselverwaltung erstellt werden. In dieses Framework muss Folgendes aufgenommen werden: 

  • Erstellen eines Zertifikats für öffentliche Schlüssel
  • Verteilen der Schlüssel an bestimmte Stellen, wobei die Schlüssel beim Empfang aktiviert werden
  • Nachverfolgen von Schlüsseln und Personen, die Zugriff darauf haben
  • Schlüssel, die angepasst oder aktualisiert werden müssen, bzw. Schlüssel, die fehlen
  • Schlüssel, die widerrufen wurden, sowie die Methode zum Entfernen oder Deaktivieren
  • Das Wiederherstellen von verlorenen oder beschädigten Schlüsseln
  • Schlüssel für Backup oder Archivierung
  • Zerstörung von Schlüsseln
  • Protokollierung und Prüfung von wichtigen Verwaltungsaktivitäten

Warum ist die Kryptographie wichtig für das Informationssicherheits-Management in Ihrem Unternehmen?

Kryptographische Verfahren werden angewendet, um Transaktionen und Kommunikation zu sichern, persönliche Informationen zu schützen, die Identität zu verifizieren, die Veränderung von Dokumenten zu verhindern und Vertrauen zwischen Servern aufzubauen. Sie bilden die Grundlage eines fortschrittlichen Sicherheitssystems.

Kryptographische Verfahren spielen eine wesentliche Rolle beim Schutz von Unternehmenssystemen, auf denen wertvolle Daten gespeichert werden.

Fazit

Anhang A.10 Kryptographie ist wichtig für die Umsetzung der ISO 27001-Norm in Ihrem Unternehmen. Mit der Zertifizierung können Sie die Implementierung erstklassiger Sicherheitsverfahren in Ihrem Unternehmen nachweisen und einen Wettbewerbsvorteil erzielen.

DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung. 

ISO 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren