CompliantDesk

A.8 Technologische Maßnahmen

A.8.24

Einsatz von Kryptografie

ISO 27001NIS2TISAXDSGVO

Regeln für den wirksamen Einsatz von Kryptografie, einschließlich des Managements kryptografischer Schlüssel, müssen festgelegt und umgesetzt werden.

Was fordert dieses Control?

Regeln für den wirksamen Einsatz von Kryptografie, einschließlich des Managements kryptografischer Schlüssel, müssen festgelegt und umgesetzt werden.

Warum ist das wichtig?

Verschlüsselung schützt Daten bei Speicherung und Übertragung. Entscheidend ist dabei ein sauberes Schlüsselmanagement, sonst ist auch starke Krypto wirkungslos.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX5.2.4Direkt
DSGVOArt. 32Direkt

Was der Auditor erwartet

  1. 1Kryptografie-Richtlinie mit Verfahren und Stärken
  2. 2Schlüsselmanagement über den Lebenszyklus
  3. 3Verschlüsselung sensibler Daten at rest und in transit

Audit-Checkliste

Dokumente

  • Kryptografie-Richtlinie

    Zugelassene Verfahren, Schlüssellängen und Einsatzregeln

Nachweise

  • Schlüsselmanagement

    Erzeugung, Aufbewahrung, Rotation und Vernichtung von Schlüsseln

Technisch

  • Verschlüsselung

    TLS für Übertragung, Verschlüsselung sensibler Daten at rest

Praxis-Tipps zur Umsetzung

1

Standards nutzen

Auf etablierte, aktuelle Verfahren setzen, keine Eigenentwicklungen.

2

Schlüssel schützen

Schlüsselmanagement (Aufbewahrung, Rotation) klar regeln, idealerweise mit HSM/Key-Vault.

3

At rest und in transit

Sowohl gespeicherte als auch übertragene sensible Daten verschlüsseln.

Häufige Fehler

Schlüssel ungeschützt

Krypto ist stark, aber die Schlüssel liegen unsicher herum.

Veraltete Verfahren

Schwache Algorithmen oder kurze Schlüssel werden weiter genutzt.

Häufig gestellte Fragen

Was ist beim Schlüsselmanagement wichtig?

Sichere Erzeugung, geschützte Aufbewahrung, geregelte Rotation und kontrollierte Vernichtung der Schlüssel.

Muss man alles verschlüsseln?

Risikobasiert, sensible Daten at rest und in transit jedenfalls, der Aufwand richtet sich nach dem Schutzbedarf.

Sind eigene Verschlüsselungsverfahren erlaubt?

Nein, es sollten ausschließlich anerkannte, geprüfte Standardverfahren eingesetzt werden.

So hilft CompliantDesk bei A.8.24

Hinterlegen Sie die Kryptografie-Richtlinie und das Schlüsselmanagement als Kontrolle und belegen Sie Verschlüsselung über die M365-Integration.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.17

Authentisierungsinformationen

A.8.5

Sichere Authentisierung

A.5.14

Informationsübertragung