Inhalt

    Nr. 2.9 – Verschlüsselung gespeicherter Daten
    (Art. 32 Abs. 1 lit. a DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter ermöglicht dem Cloud-Nutzer die Speicherung von verschlüsselten Daten.
    Schutzklasse 2
    (2) Sofern der Cloud-Anbieter personenbezogene Daten des Cloud-Nutzers speichert, bietet er Verschlüsselungsverfahren an, um dem Cloud-Nutzer die Speicherung von verschlüsselten Daten zu ermöglichen oder auf dessen Weisung hin, die Daten selbst zu verschlüsseln.
    (3) Ist die Verschlüsselung des Cloud-Anbieters auf Weisung des Cloud-Nutzers nicht gegenüber allen Mitarbeitern des Cloud-Anbieters wirksam, ist die Anzahl der privilegierten Mitarbeiter auf das unbedingt Erforderliche zu begrenzen.
    (4) Der Cloud-Anbieter verfolgt laufend die technische Entwicklung im Bereich der Verschlüsselung. Die von ihm getroffenen Maßnahmen entsprechen den aktuellen technischen Empfehlungen (best practices).
    (5) Der Cloud-Anbieter prüft fortdauernd die Eignung seiner Verschlüsselungsverfahren und aktualisiert diese bei Bedarf.
    (6) Der Cloud-Anbieter überprüft die angemessene Implementierung seiner Verschlüsselungsverfahren durch geeignete Tests und dokumentiert diese.
    Schutzklasse 3
    (7) Es gelten die Kriterien der Schutzklasse 2. Zusätzlich werden unberechtigte Zugriffe auf den Schlüssel hinreichend sicher durch geeignete TOM ausgeschlossen.
    (8) Erfolgt die Verschlüsselung durch den Cloud-Nutzer, unterstützt der Cloud-Anbieter diesen auf dessen Weisung hin bei der Verschlüsslung und Entschlüsselung der Daten. Die Unterstützung erfolgt in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung.
    (9) Der Cloud-Anbieter hält seine unterstützenden Maßnahmen in Form von Dokumentationen und Hilfsmaßnahmen zur Durchführung von Verschlüsselung auf dem Stand der aktuellen technischen Empfehlungen (best practices).

    Erläuterung

    Das Kriterium bezieht sich auf die Verschlüsselung von gespeicherten Daten, d.h. Daten, die sich im Ruhezustand befinden.
    In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers speichert, kein Verfahren zur Verschlüsselung anbieten, wohl aber verschlüsselte Daten unter Wahrung der Verschlüsselung speichern.
    In Schutzklasse 2 und 3 bietet der Cloud-Anbieter Verschlüsselungsverfahren an. Die Verschlüsselung kann durch den Cloud-Nutzer erfolgen oder auf dessen Weisung hin durch den Cloud-Anbieter.
    Die Verschlüsselung wird neben der Pseudonymisierung in Art. 32 Abs. 1 lit. a DSGVO explizit als eine einzusetzende Sicherheitsmaßnahme benannt. Zweck der Verschlüsselung ist es, die Gewährleistungsziele der Vertraulichkeit und Integrität (SDM C1.4 und C1.3) sicherzustellen. Die Schwelle, ab der zu verschlüsseln ist, ist niedrig, sodass personenbezogene Daten bereits bei niedrigem Risiko verschlüsselt werden sollten, soweit dies möglich ist.

    Umsetzungshinweis

    Schutzklasse 1
    Der Cloud-Anbieter sollte durch TOM sicherstellen, dass die Verschlüsselung der Daten bei der Speicherung in seinem Cloud-Dienst aufrechterhalten bleibt.
    Schutzklasse 2
    Der Stand der Technik ergibt sich aus aktuellen technischen Normen für kryptographische Verfahren und deren Anwendung.
    Soweit der Cloud-Anbieter Daten verschlüsselt, sollte die Schlüsselerzeugung in einer sicheren Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptografische Schlüssel sollten möglichst nur einem Einsatzzweck dienen und generell nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Die Speicherung sollte stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlüssels auszuschließen. Schlüsselwechsel sollten regelmäßig durchgeführt werden. Der Zugang zum Schlüsselverwaltungssystem sollte eine separate Authentisierung erfordern. Cloud-Administratoren sollten keinen Zugriff auf Nutzerschlüssel haben.
    Auf die Umsetzungshinweise im BSI C5 Anf. KRY-01, KRY-03 und KRY-04 wird hingewiesen.
    Auf die Technischen Reports BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“; BSI TR-02102-3 „Kryptographische Verfahren: Verwendung von Internet Protocol Security (IPSec) und Internet Key Exchange (IKEv2)“; und BSI TR-02102-4 „Kryptographische Verfahren: Verwendung von Secure Shell (SSH)“ in der jeweils aktuellen Fassung wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002, Ziff. 10.1, ISO/IEC 27018 Ziff. 10.1 und ISO/IEC 27701 Ziff. 6.7 wird hingewiesen. ISO/IEC 11770-2 enthält weitere Informationen zur Schlüsselverwaltung.
    Schutzklasse 3
    Es gelten die Umsetzungshinweise für Schutzklasse 2. Weiterhin sollte der Cloud-Anbieter durch zusätzliche TOM sicherstellen, dass unberechtigte Zugriffe auf den Schlüssel hinreichend sicher ausgeschlossen werden. Zugriffe auf Schlüssel sollten daher umfassend überwacht und geschützt werden. Um Schwachstellen beim Zugriff auf Schlüssel identifizieren und beheben zu können, sollten u.a. Schwachstellen-Scanner eingesetzt und jährliche Penetrationstests durchgeführt werden.

    Nachweis

    Für Schutzklasse 1 legt der Cloud-Anbieter Dokumentationen über den Prozess der Datenverarbeitung vor, insbesondere im Hinblick auf die Speicherung verschlüsselter Daten. Im Rahmen einer testweisen Dienstnutzung mit verschlüsselten Daten kann die erfolgreiche Speicherung nachgewiesen werden.
    Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter Dokumentationen vor, um nachzuweisen, dass die angebotenen und angewandten Verschlüsselungsverfahren den aktuellen technischen Anforderungen entsprechen (z.B. Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, Protokoll- und Logdaten, Ergebnisprotokolle interner/externer Audits, Risikoanalyse). Die Implementierung und Angemessenheit der Verschlüsselungsverfahren wird für Schutzklasse 2 und 3 im Rahmen einer Prüfung durch repräsentative Stichproben festgestellt. Dazu sollten u.a. die Art der eingesetzten Programme, die Programmierungen zur Verschlüsselung und ihre Konfiguration im Rahmen einer Assetprüfung nachgewiesen und eine stichprobenartige Prüfung von Datensätzen durchgeführt werden. Durch das Vorlegen von Dokumenten (bspw. Protokolle, Versionierungshistorie) weist der Cloud-Anbieter für Schutzklasse 2 und 3 nach, dass er die technische Entwicklung im Bereich der Verschlüsselung laufend verfolgt, die Geeignetheit des Verfahrens fortdauernd prüft und das Verfahren sowie die Dokumentation gegebenenfalls aktualisiert (bspw. Nachweis über Änderungen am Programmcode zur Verschlüsselung, Aktualisierung von Bibliotheken etc.). Durch eine Befragung der Mitarbeiter kann ebenfalls nachgewiesen werden, dass diese die aktuellen Empfehlungen zur Verschlüsselung kennen und umsetzen. Der Cloud-Anbieter sollte Protokolle vorlegen, die nachweisen, dass der Cloud-Anbieter die Verschlüsselungstechniken durch geeignete technische Tests geprüft hat.
    Für Schutzklasse 3 legt der Cloud-Anbieter Zugriffs- und Ereignisprotokolle für den Zugriff auf Schlüssel vor. Zudem kann er weitere Dokumente vorlegen, wie bspw. die Nutzerdokumentation zur Ver-/Entschlüsselung, Dokumentation von Verschlüsselungsverfahren oder Protokolle eines qualifizierten (ggf. durch Schulungen nachzuweisenden) IT-Sicherheitsgremiums, in dem auch regelmäßig die technischen Verfahren zur Ver-/Entschlüsselung reflektiert werden.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.