Verschlüsselungsstandards

Standards werden aus Ihrer Richtlinie abgeleitet. Diese sind enger gefasst und helfen dabei, den Rahmen und die Architektur für die Implementierung zu definieren. Wenn die Richtlinie Ihres Unternehmens beispielsweise darin besteht, Ihre Daten im Ruhezustand zu verschlüsseln, würde ein Standard definieren, welche Art von Verschlüsselung erforderlich ist, und allgemeine Anweisungen zur Einhaltung der Richtlinie enthalten.

Verschlüsselungsstandards spezifizieren üblicherweise Folgendes:

• Die Arten der Verschlüsselung, die verwendet werden sollten

• Mindestanforderungen für Verschlüsselungsschlüssel

• Wer hat Zugriff auf Verschlüsselungsschlüssel

• Wo sollten Verschlüsselungsschlüssel gespeichert werden

• Kriterien für die Auswahl einer geeigneten Schlüsselstärke bei der Auswahl von Verschlüsselungs- oder Hashing-Techniken

• Häufigkeit der Schlüsselrotation

Während Sie eine Verschlüsselungsrichtlinie selten aktualisieren müssen, können sich die Verschlüsselungsstandards ändern. Die Cybersicherheitsbranche entwickelt sich ständig weiter, um der sich ständig ändernden Bedrohungslandschaft gerecht zu werden. Daher sollten sich Ihre Standards ändern, um die neuesten Technologien und bewährten Verfahren einzuführen, um den bestmöglichen Schutz für Ihre Unternehmensdaten zu gewährleisten.

In einer Unternehmensorganisation definieren Vizepräsidenten, Direktoren oder Datenverwalter in der Regel Verschlüsselungsstandards, und ein Compliance-Beauftragter überprüft und genehmigt sie in der Regel.

Berücksichtigen Sie bei der Definition und Aufrechterhaltung von Verschlüsselungsstandards in Ihrem Unternehmen die folgenden Kategorien von Faktoren:

• Überlegungen zu Kosten und Leistung

• Zugriffskontrolle für Schlüssel

• Verschlüsselungstypen

• Spezifikationen der Verschlüsselungsschlüssel

• Speicherort des Schlüssels

Überlegungen zu Kosten und Leistung

Berücksichtigen Sie bei der Festlegung von Verschlüsselungsstandards für ruhende Daten die folgenden betrieblichen Faktoren:

• Die verfügbaren Hardwareressourcen müssen in der Lage sein, Ihre Standards in großem Umfang zu unterstützen.

• Die Kosten für die Verschlüsselung hängen von der Länge des Schlüssels, der Datenmenge und der für die Verschlüsselung erforderlichen Zeit ab. Im Vergleich zur symmetrischen Verschlüsselung verwendet die asymmetrische Verschlüsselung beispielsweise längere Schlüssel und benötigt mehr Zeit.

• Berücksichtigen Sie die Leistungsanforderungen Ihrer Unternehmensanwendungen. Wenn Ihre Anwendung eine geringe Latenz und einen hohen Durchsatz erfordert, sollten Sie möglicherweise eine symmetrische Verschlüsselung verwenden.

Zugriffskontrolle für Schlüssel

Erstellen Sie für Ihre Verschlüsselungsschlüssel auf der Grundlage des Prinzips der geringsten Berechtigung. Geringste Berechtigung ist die bewährte Sicherheitsmethode, um Benutzern den Mindestzugriff zu gewähren, den sie zur Ausführung ihrer Aufgaben benötigen. Definieren Sie in Ihren Standards eine Zugriffskontrollrichtlinie, die:

• Identifiziert die Rollen, die die Schlüssel- und Datenschlüssel verwalten.

• Definiert wichtige Berechtigungen und ordnet sie Rollen zu. Beispielsweise wird definiert, wer über wichtige Administratorrechte und wer über wichtige Benutzerrechte verfügt. Schlüsseladministratoren können Schlüssel zur Schlüsselverschlüsselung erstellen oder ändern, und Schlüsselbenutzer können Daten ver- und entschlüsseln und Datenschlüssel generieren.

Verschlüsselungstypen

Definieren Sie in Ihren Standards, welche Verschlüsselungstypen und Funktionen für Ihr Unternehmen geeignet sind:

• Dokumentieren Sie, wann symmetrische und asymmetrische Verschlüsselungsalgorithmen verwendet werden sollten. Weitere Informationen finden Sie unter Wann benötige ich eine symmetrische Verschlüsselung? und Wann benötige ich eine asymmetrische Verschlüsselung? im FAQ-Bereich.

• Entscheiden Sie, ob Sie die Umschlagverschlüsselung verwenden sollten, und definieren Sie die Umstände. Weitere Informationen finden Sie Wann benötige ich eine Umschlagverschlüsselung? im Abschnitt mit den häufig gestellten Fragen.

• Definieren Sie Kriterien dafür, wann Verschlüsselungsalternativen wie Tokenisierung und Hashing verwendet werden sollen.

Spezifikationen der Verschlüsselungsschlüssel

Definieren Sie die erforderlichen Spezifikationen für Ihre Verschlüsselungsschlüssel, z. B. die Schlüsselstärke und die Algorithmen. Diese Spezifikationen müssen den in der Richtlinie festgelegten behördlichen Vorschriften und Konformitätsregelungen entsprechen. Erwägen Sie die Definition der folgenden Spezifikationen:

• Definieren Sie die Mindestschlüsselstärke und die Algorithmen für symmetrische und asymmetrische Verschlüsselungstypen. Zu den Faktoren der Schlüsselstärke gehören Länge, Zufälligkeit und Einzigartigkeit.

• Definieren Sie, wann Sie neue Versionen von Verschlüsselungsalgorithmen implementieren möchten. In Ihren Standards könnte es beispielsweise lauten: Implementieren Sie die neueste Version des Algorithmus innerhalb von 30 Tagen nach der Veröffentlichung oder Verwenden Sie immer eine Version, die älter ist als die neueste Version.

• Definieren Sie das Intervall für die Rotation Ihrer Verschlüsselungsschlüssel.

Speicherort des Schlüssels

Beachten Sie in Ihren Standards Folgendes, wenn Sie entscheiden, wo Ihre Verschlüsselungsschlüssel gespeichert werden sollen:

• Compliance- und behördliche Anforderungen können vorschreiben, wo Ihre Verschlüsselungsschlüssel gespeichert werden können.

• Entscheiden Sie, ob Sie Schlüssel an einem zentralen Ort oder zusammen mit den entsprechenden Daten speichern möchten. Weitere Informationen finden Sie Warum sollte ich Verschlüsselungsschlüssel zentral verwalten? im FAQ-Bereich.

• Wenn Sie sich für zentralen Speicher entscheiden, entscheiden Sie, ob Sie Schlüssel in einer vom Unternehmen verwalteten Infrastruktur, z. B. einem Hardware-Sicherheitsmodul (HSM), oder bei einem Managed Service Provider, wie z. B., speichern möchten. AWS Key Management ServiceWeitere Informationen finden Sie Wann muss ich ein Hardware-Sicherheitsmodul (HSM) verwenden? im Abschnitt mit den häufig gestellten Fragen.