Ziel / Zweck
Die Verschlüsselung von Informationen ist ein weit verbreitetes Mittel, um die Informationssicherheit in den Schutzzielen Vertraulichkeit, Integrität und Authentizität zu gewährleisten. Mit Hilfe von kryptografischen Verfahren werden Informationen verschlüsselt, sodass deren Inhalt ohne den zugehörigen Schlüssel nicht lesbar ist. Dabei können symmetrische Verfahren, d.h. es wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet, sowie asymmetrische Verfahren, d.h. es wird ein Schlüssel zum Verschlüsseln und ein anderer Schlüssel zum Entschlüsseln verwendet, eingesetzt werden.
In einer heterogenen Umgebung können dabei lokal gespeicherte Daten, die Daten in der SaaS-Lösung und auch die zu übertragenden Daten der Institution wirkungsvoll durch kryptografische Verfahren und Techniken geschützt werden.
Darüber hinaus werden weitergehende Maßnahmen auf organisatorischer und prozessualer Ebene benötigt. Der alleinige technische Einsatz von kryptografischen Verfahren genügt nicht, um die Vertraulichkeit, Integrität und Authentizität der verschlüsselten Informationen zu gewährleisten.
Die Gesamtheit der eingesetzten kryptografischen Verfahren und damit verbundenen Maßnahmen wird im Rahmen eines Kryptokonzeptes gebündelt betrachtet. Nur durch eine ganzheitliche Betrachtung der Thematik wird ein effektiver Schutz durch Kryptografie ermöglicht.
Eine Besonderheit stellen Kryptomodule dar, die für kryptografische Verfahren bei erhöhtem Schutzbedarf eingesetzt werden sollten. Mit einem Kryptomodul ist seitens der Institution ein Produkt gemeint, das die im Kryptokonzept dargelegte Sicherheitsfunktion bietet. Ein solches Produkt kann dabei aus Hardware, Software, Firmware oder aus einer Kombination daraus bestehen. Hinzu kommen noch notwendige Bauteile wie Speicher, Prozessoren, Busse und die Stromversorgung, um die Kryptoprozesse umzusetzen.
Diese Sicherheitsrichtlinie beschreibt, wie ein Kryptokonzept erstellt und wie Informationen kryptografisch abgesichert werden können. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben des BSI Baustein CON.1 "Kryptokonzept" aus dem Kompendium 2020 zurückgegriffen.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
