In der heutigen digitalen Welt ist die Sicherheit von IT-Umgebungen von entscheidender Bedeutung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT-Grundschutz ein umfassendes Rahmenwerk geschaffen, das Organisationen beim Schutz ihrer IT-Infrastruktur unterstützt. Seit der Edition 2023 wurde der Prozess-Baustein CON.1 (Kryptokonzept) um die Standard-Anforderungen zur Erstellung eines Krypto-Katasters (A15 & A19) erweitert. Hiermit schafft das BSI eine Grundlage für Krypto-Agilität, ohne es explizit so zu nennen.
Was ist das Krypto-Kataster nach BSI-Grundschutz?
Ein Krypto-Kataster ist ein umfassendes Verzeichnis, das alle kryptografischen Verfahren und deren Einsatz in einer Organisation systematisch erfasst und dokumentiert. Es enthält Informationen über die verwendeten kryptographischen Verfahren, die eingesetzten Schlüssel und die zugehörigen Sicherheitsparameter. Ziel ist es, einen klaren Überblick zu erhalten und die Sicherheit der damit umgesetzten Maßnahmen zu gewährleisten. Durch regelmäßige Überwachung auf Bekanntwerden von Schwachstellen in kryptografischen Verfahren (oder deren Implementierung) kann frühzeitig erkannt werden, ob ein Risiko für die Organisation besteht und gegebenenfalls zielgerichtet Maßnahmen ergriffen werden. Ein gut gepflegtes Krypto-Kataster trägt somit wesentlich zur IT-Sicherheit bei und unterstützt auch die Einhaltung gesetzlicher und regulatorischer Anforderungen.
Was ist Krypto-Agilität?
Krypto-Agilität bezeichnet die Fähigkeit einer Organisation, schnell und effizient auf Veränderungen (wie z. B. neu entdeckte Schwachstellen) in der eingesetzten Kryptografie zu reagieren. Dies umfasst die Einführung neuer Algorithmen, die Aktualisierung bestehender Verschlüsselungsverfahren (einschließlich der Schlüssellänge oder anderer Sicherheitsparameter) und die Anpassung an neue Sicherheitsstandards. In einer sich ständig verändernden Bedrohungslandschaft ist Krypto-Agilität entscheidend, um sicherzustellen, dass Prozesse, Systeme und Daten jederzeit ausreichend geschützt sind. Mithilfe eines Reifegradmodells, wie es z. B. in dem Paper „Towards a maturity model for crypto-agility assessment“ aus 2022 von einer Arbeitsgruppe der Hochschule Darmstadt vorgestellt wird, kann der aktuelle Zustand der eigenen Krypto-Agilität intern transparent gemacht werden.
Ziele des BSI-Grundschutz-Krypto-Katasters
Das Krypto-Kataster erfasst für jede Gruppe von IT-Systemen die dort eingesetzte Hard- oder Software mit kryptografischen Funktionen sowie die korrekten eingesetzten kryptografischen Verfahren, einschließlich deren Einsatzzweck (z. B. Festplattenverschlüsselung oder Verschlüsselung einer Kommunikationsverbindung) und deren sicherheitsrelevante Parameter (z. B. Schlüssellängen). Ergänzend muss noch eine zuständige Person benannt werden, die bei Änderungen oder Fragestellungen zu den im Krypto-Kataster gemachten Angaben primärer Ansprechpartner ist.
Auch wenn der BSI-Grundschutz es nicht fordert, ist es empfehlenswert sich zu jedem eingesetzten kryptografischen Verfahren Gedanken über die erwartete Einsatzdauer zu machen und wie ein möglicher Austausch (ggf. auch nur eine Anpassung) umgesetzt werden könnte. Fügt man diese Informationen dem Krypto-Kataster bei, startet man (ähnlich wie bei dem Notfallkonzept) nicht bei null, wenn eine neu eingetretene oder realisierte Situation einen schnellen Wechsel erfordert. Diese können den im Kryptokonzept dokumentierten Prozess für den Fall, dass Schwachstellen in kryptografischen Verfahren auftreten, ergänzen.
Folgende Ziele einer Krypto-Agilität werden durch das Krypto-Kataster gefördert:
Transparenz und Kontrolle: Ein Krypto-Kataster bietet einen klaren Überblick über alle verwendeten kryptografischen Verfahren und Schlüssel. Dies erleichtert die Verwaltung der kryptographischen Verfahren und das Erkennen von Sicherheitslücken. Eine jährliche Kontrolle des Krypto-Katasters kann helfen festzustellen, ob die eingesetzten kryptografischen Verfahren und die zugehörigen Parameter noch ausreichend sicher sind und keine bekannten Schwachstellen aufweisen.
Schnelle Reaktion auf Bedrohungen: Durch die Information wo und wie kryptografische Verfahren eingesetzt werden sowie bereits dokumentierte Überlegungen zu deren Austausch, können Organisationen schnell auf neue Bedrohungen reagieren und ihre Sicherheitsmaßnahmen entsprechend anpassen. Damit sind die eingesetzten kryptografischen Verfahren stets auf dem neuesten Stand und auf die aktuellen Bedrohungen bestmöglich abgestimmt.
Compliance und Audits: Ein gut geführtes Krypto-Kataster unterstützt Organisationen dabei, gesetzliche und regulatorische Anforderungen zu erfüllen und erleichtert Audits und Sicherheitsüberprüfungen.
Fazit
Während das Kryptokonzept weitgehend Vorgaben macht, welche kryptografischen Verfahren prinzipiell zulässig und welche bevorzugt einzusetzen sind, erfasst das Krypto-Kataster, welche Verfahren auf welche Art und Weise tatsächlich eingesetzt werden. Es ist damit ein unverzichtbares Werkzeug für die IT-Sicherheit. In Kombination mit den Prinzipien der Krypto-Agilität und den Richtlinien des BSI-Grundschutzes bietet es eine strukturierte und systematische Herangehensweise, um kryptografische Verfahren zu verwalten.
Die Implementierung eines Krypto-Katasters gemäß den BSI-Grundschutz-Richtlinien unter Berücksichtigung der Krypto-Agilität ist ein wesentlicher Schritt, um auch auf die Bedrohung der Existenz eines kryptografisch relevanten Quantencomputers in angemessener Zeit reagieren zu können oder sogar festzustellen, wo bereits jetzt Handlungsbedarf bestehen könnte.
