Heutzutage werden Informationen auf unterschiedliche Weise über diverse Medien übertragen. Daher steigt die Wahrscheinlichkeit, dass Instanzen oder Personen Zugang zu diesen Informationen erhalten. Wenn also die Daten, die von Ihnen gespeichert und übertragen werden, nicht verschlüsselt sind, können Personen außerhalb Ihres Unternehmens problemlos darauf zugreifen.
Um gesetzliche Vorschriften einzuhalten und die Erwartungen der Verbraucher, die vertrauliche Daten übermitteln, zu erfüllen, müssen Unternehmen in der Lage sein, die Best Practices der Informationssicherheit anzuwenden.
In diesem Artikel erhalten Sie Informationen zu dem Anhang, der sich auf die Kryptographie bezieht, sowie die zugehörigen Ziele und Maßnahmen. Außerdem erfahren Sie, wie dieser Anhang Ihr Unternehmen bei der Umsetzung der Informationssicherheit unterstützen kann.
In diesem Beitrag
- Was ist Kryptographie in der Informationssicherheit?
- Zusammenspiel von Kryptographie und Verschlüsselung
- Was ist Anhang A.10?
- Was ist das Ziel von Anhang A.10?
- Was sind die kryptographischen Verfahren in Anhang A.10?
- Warum ist die Kryptographie wichtig für das Informationssicherheitsmanagement in Ihrem Unternehmen?
- Fazit
Was ist Kryptographie in der Informationssicherheit?
Laut Definition versteht man unter dem Begriff Kryptographie sichere Informations- und Kommunikationstechniken, die mathematische Konzepte und eine Gruppe von regelbasierten Berechnungen verwenden. Mit diesen Berechnungen, die als Algorithmen bezeichnet werden, werden Nachrichten in schwer zu entschlüsselnde Formate konvertiert.
Im Wesentlichen ist die Kryptographie eine sichere Methode für die Kommunikation zwischen Absender und Empfänger. Externe Dritte können die Inhalte weder hacken noch lesen.
Mit modernen kryptographischen Verfahren werden die folgenden vier Ziele abgedeckt:
Vertraulichkeit
- Empfänger, für die die Daten nicht bestimmt sind, können diese höchstwahrscheinlich nicht auswerten.
Integrität
Die Daten können bei ihrer Speicherung sowie bei der Übertragung zwischen dem Absender und dem vorgesehenen Empfänger nicht unbemerkt verändert werden.
Nichtabstreitbarkeit
- Der Urheber der Daten kann seine Absichten bei der Entwicklung oder Übertragung der Daten später nicht abstreiten.
Authentifizierung
- Absender und Empfänger können die Identität des jeweils anderen sowie den Ursprung und das Ziel der Informationen überprüfen.
Die Kryptographie ist eng mit der Verschlüsselung verbunden, d. h. dem Prozess, bei dem Klartext verschlüsselt und beim Empfang entschlüsselt wird. Die Verschlüsselung und Entschlüsselung von E-Mails und anderen Klartextnachrichten ist ein typischer Anwendungsfall für die Kryptographie bei der Übertragung von Daten.
Zusammenspiel von Kryptographie und Verschlüsselung
Für die Ver- und Entschlüsselung wird die symmetrische oder „geheime Schlüssel“-Methode verwendet. Die verschlüsselte Nachricht und der geheime Schlüssel werden dann zum Entschlüsseln an den Empfänger gesendet.
Wenn die Daten jedoch abgefangen werden, können sie von einem Dritten dekodiert und gelesen werden. Um dieses Problem zu lösen, haben Kryptologen die asymmetrische oder „öffentliche Schlüssel“-Methode entwickelt, bei der jeder Benutzer über zwei Schlüssel verfügt – einen öffentlichen und einen privaten.
Nach Erhalt des öffentlichen Schlüssels des Empfängers verschlüsselt der Absender die Nachricht und sendet sie an den Empfänger. Sobald die Nachricht eintrifft, kann sie nur noch mit dem privaten Schlüssel des Empfängers dekodiert werden, daher ist ein Diebstahl ohne den entsprechenden privaten Schlüssel des Empfängers sinnlos.
Was ist Anhang A.10?
In Anhang A.10 werden die kryptographischen Verfahren beschrieben, mit denen Ihr Unternehmen die Informationssicherheitsvorschriften einhalten kann. Der Umgang mit Daten in Ihrem Unternehmen schließt die Verarbeitung von sensiblen Unternehmensdaten, Mitarbeiterdaten und Kundendaten ein.
Egal, ob es sich bei Ihren Kunden um Einzelpersonen oder Unternehmen handelt: Sie speichern und übermitteln diese Daten innerhalb Ihres Unternehmens. Dazu gehören personenbezogene Daten Ihrer Kunden wie Standort, Finanzinformationen, Krankenakten, Umsatz/Einkommen usw.
Die beiden folgenden Maßnahmen gemäß Anhang A.10 helfen Ihrem Unternehmen bei der Implementierung von kryptographischen Verfahren:
- Richtlinie zur Verwendung kryptographischer Maßnahmen
- Schlüsselverwaltung
Sehen wir uns nun das Ziel von Anhang A.10, um mit der Umsetzung von ISO 27001 zur Einhaltung der Informationssicherheitsvorschriften für Ihr Unternehmen zu beginnen.
Roadmap zur ISO 27001 Zertifizierung
Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001.
Jetzt kostenlos herunterladenWas ist das Ziel von Anhang A.10?
Anhang A.10 ist Teil der Maßnahmen (Controls) in Anhang A der ISO 27001. Sobald Sie mit dem Compliance-Prozess beginnen, müssen Sie die entsprechenden Maßnahmen für Ihr Unternehmen auswählen. Das Erfüllen von Maßnahmen aus Anhang A trägt dem Ziel der ISO 27001 Zertifizierung bei.
Das Hauptziel von Anhang A.10 besteht darin, sicherzustellen, dass kryptographische Verfahren ordnungsgemäß und effizient angewendet werden, um die Vertraulichkeit, Authentizität und Integrität von Informationen sicherzustellen. Außerdem unterstützt der Anhang Ihr Unternehmen bei der Erstellung von umfassenden, soliden Informationssicherheitsverfahren. Diese decken zahlreiche Aspekte der Verschlüsselung ab, denn sie ist ein wichtiger Bestandteil des ISMS (Informationssicherheits-Managementsystems).
Sehen wir uns nun die Controls in Anhang A.10 der ISO 27001 genauer an.
Was sind die kryptographischen Verfahren in Anhang A.10?
A.10.1.1 Richtlinie zur Verwendung kryptographischer Verfahren
Kryptographische Verfahren können sowohl beim Speichern von Daten als auch bei deren Übertragung zur Anwendung kommen. Für die Verschlüsselung werden öffentliche Schlüssel verwendet. Die Durchführung einer Risikobewertung für Ihr Unternehmen beschleunigt den Verschlüsselungsprozess, denn Sie können damit wichtige Risiken und Chancen verstehen und identifizieren.
Eine Risikobewertung ist hilfreich für die Erkennung von beschädigten oder fehlenden Schlüsseln. Dadurch können Sie Risiken eindämmen und die Informationssicherheit während der ISO 27001-Implementierung erhöhen.
A.10.1.2: Schlüsselverwaltung
Kryptographische Schlüssel sind ein wesentlicher Bestandteil der Verschlüsselung. Ohne sie verfehlt die Verschlüsselung ihren Zweck. Der Einsatz kryptographischer Verfahren sollte mit den Best Practices und den Informationssicherheitsrichtlinien des Unternehmens im Einklang stehen.
Kryptographische Schlüssel müssen ordnungsgemäß verwaltet werden und sichere Verfahren für folgende Vorgänge bieten:
- Erstellen von Schlüsseln
- Verarbeiten von Schlüsseln
- Archivieren von Schlüsseln
- Abrufen von Schlüsseln
- Übertragen von Schlüsseln
- Löschen von Schlüsseln
- Zerstören von Schlüsseln
Die Sicherheit der physischen Umgebung muss für die Einrichtungen zum Erzeugen, Verarbeiten und Archivieren von Schlüsseln ebenfalls berücksichtigt werden.
Für die Erfassung vereinbarter Konzepte, Protokolle und Verfahren zur Generierung von Schlüsseln für verschiedene kryptographische Algorithmen und Anwendungen muss ein Framework für die Schlüsselverwaltung erstellt werden. In dieses Framework muss Folgendes aufgenommen werden:
- Erstellen eines Zertifikats für öffentliche Schlüssel
- Verteilen der Schlüssel an bestimmte Stellen, wobei die Schlüssel beim Empfang aktiviert werden
- Nachverfolgen von Schlüsseln und Personen, die Zugriff darauf haben
- Schlüssel, die angepasst oder aktualisiert werden müssen, bzw. Schlüssel, die fehlen
- Schlüssel, die widerrufen wurden, sowie die Methode zum Entfernen oder Deaktivieren
- Das Wiederherstellen von verlorenen oder beschädigten Schlüsseln
- Schlüssel für Backup oder Archivierung
- Zerstörung von Schlüsseln
- Protokollierung und Prüfung von wichtigen Verwaltungsaktivitäten
Warum ist die Kryptographie wichtig für das Informationssicherheits-Management in Ihrem Unternehmen?
Kryptographische Verfahren werden angewendet, um Transaktionen und Kommunikation zu sichern, persönliche Informationen zu schützen, die Identität zu verifizieren, die Veränderung von Dokumenten zu verhindern und Vertrauen zwischen Servern aufzubauen. Sie bilden die Grundlage eines fortschrittlichen Sicherheitssystems.
Kryptographische Verfahren spielen eine wesentliche Rolle beim Schutz von Unternehmenssystemen, auf denen wertvolle Daten gespeichert werden.
Fazit
Anhang A.10 Kryptographie ist wichtig für die Umsetzung der ISO 27001-Norm in Ihrem Unternehmen. Mit der Zertifizierung können Sie die Implementierung erstklassiger Sicherheitsverfahren in Ihrem Unternehmen nachweisen und einen Wettbewerbsvorteil erzielen.
DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung.