Verschlüsselung
Verschlüsselung ist ein kryptografisches Verfahren, das Daten mithilfe von Schlüsseln in ein nicht lesbares Format umwandelt, um sie bei der Speicherung und Übertragung vor unbefugtem Zugriff zu schützen.
Verschlüsselung bezeichnet die Umwandlung von Klartext in Geheimtext mithilfe kryptografischer Algorithmen und geheimer Schlüssel. Nur wer über den passenden Schlüssel verfügt, kann die Daten wieder entschlüsseln und lesbar machen. Man unterscheidet die symmetrische Verschlüsselung, bei der derselbe Schlüssel zum Ver- und Entschlüsseln dient (etwa AES), von der asymmetrischen Verschlüsselung, die ein Schlüsselpaar aus öffentlichem und privatem Schlüssel nutzt (etwa RSA oder ECC). In der Praxis werden beide Verfahren oft kombiniert, indem ein asymmetrisch ausgetauschter Sitzungsschlüssel anschließend die eigentliche Datenverschlüsselung symmetrisch absichert.
Die Informationssicherheit unterscheidet zwei zentrale Anwendungsfälle: die Verschlüsselung ruhender Daten (data at rest), etwa auf Festplatten, in Datenbanken oder Backups, und die Verschlüsselung übertragener Daten (data in transit), etwa über TLS bei der Kommunikation zwischen Systemen. Verschlüsselung sichert vorrangig das Schutzziel der Vertraulichkeit, trägt in Verbindung mit Verfahren wie digitalen Signaturen und Message Authentication Codes aber auch zu Integrität und Authentizität bei. Entscheidend für die Wirksamkeit ist neben der Wahl starker, anerkannter Algorithmen vor allem ein robustes Schlüsselmanagement, das die Erzeugung, Speicherung, Rotation und Vernichtung von Schlüsseln über deren gesamten Lebenszyklus regelt.
Aus regulatorischer Sicht ist Verschlüsselung eine zentrale technische und organisatorische Maßnahme. Die NIS2-Richtlinie nennt in Art. 21 Abs. 2 lit. h ausdrücklich Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung als Bestandteil des Risikomanagements besonders wichtiger und wichtiger Einrichtungen. Auch die DSGVO führt Verschlüsselung in Art. 32 Abs. 1 lit. a als Beispiel geeigneter Maßnahmen zur Sicherheit der Verarbeitung an; eine wirksame Verschlüsselung kann zudem nach Art. 34 Abs. 3 lit. a die Pflicht zur Benachrichtigung Betroffener bei einer Datenpanne entfallen lassen. Der BSI IT-Grundschutz konkretisiert die Anforderungen im Baustein CON.1 Kryptokonzept und liefert Vorgaben für ein nachvollziehbares Kryptokonzept.
Rechtliche Grundlage
Art. 21 Abs. 2 lit. h NIS2-Richtlinie (EU) 2022/2555; Art. 32 Abs. 1 lit. a DSGVO; ISO/IEC 27001 Anhang A 8.24; BSI IT-Grundschutz CON.1
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt als wichtige Einrichtung unter die NIS2-Anforderungen. Der Informationssicherheitsbeauftragte erstellt ein Kryptokonzept nach BSI CON.1: Festplatten aller Notebooks werden per BitLocker mit AES-256 verschlüsselt, der Datenverkehr zwischen Standorten läuft ausschließlich über TLS 1.3, und Datenbank-Backups werden vor der Ablage im Cloud-Speicher verschlüsselt. Die zugehörigen Schlüssel verwaltet das Unternehmen in einem Hardware-Security-Module mit dokumentierter Rotation alle zwölf Monate. Bei einem späteren Diebstahl eines Notebooks kann der ISB nachweisen, dass die Daten verschlüsselt und damit für Dritte unzugänglich waren, wodurch eine Benachrichtigung betroffener Personen entbehrlich wird.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren