Was erfordert die Kontrolle A.3.26?
Es müssen Regeln für den effektiven Einsatz von Kryptographie im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich des kryptographischen Schlüsselmanagements, definiert und umgesetzt werden.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) verpflichtet Organisationen zu einem strukturierten, richtlinienbasierten Ansatz in Bezug auf Kryptografie. Es genügt nicht, Daten lediglich zu verschlüsseln – die Organisation muss Regeln definieren, die festlegen, wann Kryptografie erforderlich ist, welche Algorithmen und Schlüssellängen zulässig sind, wie Schlüssel während ihres gesamten Lebenszyklus verwaltet werden und wie kryptografische Fähigkeiten den Kunden kommuniziert werden.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.26) enthält folgende Hinweise:
- Zuständigkeitsanforderungen — In einigen Rechtsordnungen kann die Verwendung von Kryptografie zum Schutz bestimmter Arten personenbezogener Daten, wie z. B. Gesundheitsdaten, Meldenummern, Reisepassnummern und Führerscheinnummern, vorgeschrieben sein.
- Kundentransparenz — Die Organisation sollte dem Kunden Informationen über die Umstände bereitstellen, unter denen sie Kryptografie zum Schutz der von ihr verarbeiteten personenbezogenen Daten einsetzt.
- Verschlüsselung im Kundenselbstbedienungsbereich — Die Organisation sollte außerdem Informationen über alle von ihr angebotenen Funktionen bereitstellen, die den Kunden bei der Anwendung eigener kryptografischer Schutzmaßnahmen unterstützen können.
- Web Link A.3.22: Benutzerendgeräte für damit zusammenhängende Anforderungen
- Web Link A.3.25: Protokollierung für damit zusammenhängende Anforderungen
Die Leitlinien heben zwei wichtige Aspekte hervor: die gesetzlich vorgeschriebene Verschlüsselung (die je nach Rechtsordnung und Art der personenbezogenen Daten variiert) und die Transparenz gegenüber den Kunden hinsichtlich der verwendeten Verschlüsselung und der verfügbaren Optionen. Insbesondere Auftragsverarbeiter müssen in der Lage sein, den Verantwortlichen ihre Verschlüsselungsarchitektur zu erläutern.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.26 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 32 (1) (a) — Die Verpflichtung zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, einschließlich der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Artikel 32(1)(a) nennt Verschlüsselung ausdrücklich als geeignete technische Maßnahme und macht damit die Kryptographie zu einer der wenigen spezifischen Technologien, auf die direkt Bezug genommen wird. DatenschutzDie Verschlüsselung wird auch in Erwägungsgrund 83 der DSGVO erwähnt und kann die Meldepflichten bei Datenschutzverletzungen gemäß Artikel 34(3)(a) verringern, wenn Daten für unbefugte Personen unlesbar gemacht werden.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.7.1.1 (Richtlinien zur Verwendung kryptografischer Kontrollen) und 6.7.1.2 (Schlüsselverwaltung) abgedeckt. Die Ausgabe von 2025 fasst beide in Abschnitt A.3.26 zusammen und enthält einheitliche Implementierungshinweise in Abschnitt B.3.26. Die Hinweise legen nun größeren Wert auf die Kommunikation kryptografischer Funktionen an Kunden und die Unterstützung kundenseitig angewandter Verschlüsselung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.26 achten die Prüfer typischerweise auf Folgendes:
- Kryptographie-Richtlinie — Eine dokumentierte Richtlinie, die festlegt, wann Verschlüsselung erforderlich ist, welche Algorithmen und Schlüssellängen zugelassen sind, welche Schlüsselverwaltungsverfahren gelten und welche Rollen für die kryptografischen Kontrollen verantwortlich sind.
- Verschlüsselung in Ruhe — Nachweis, dass personenbezogene Daten im Ruhezustand mithilfe anerkannter Algorithmen verschlüsselt werden, einschließlich Datenbankverschlüsselung, Festplattenverschlüsselung und Backup-Verschlüsselung
- Verschlüsselung während des Transports — Nachweis, dass personenbezogene Daten während der Übertragung mit TLS 1.2 oder höher für alle Datenübertragungskanäle verschlüsselt werden.
- Schlüsselverwaltungsverfahren — Dokumentierte Verfahren zur Schlüsselerzeugung, -verteilung, -speicherung, -rotation, zum Widerruf und zur Vernichtung
- Einhaltung der Gerichtsbarkeit — Nachweis, dass die von den zuständigen Rechtsordnungen auferlegten Verschlüsselungsanforderungen für die relevanten PII-Kategorien erfüllt werden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.20 Speichermedien | Wechseldatenträger, die personenbezogene Daten enthalten, sollten nach Möglichkeit verschlüsselt werden. |
| A.3.7 Informationstransfer | PII-Übertragungen sollten durch Verschlüsselung während der Übertragung geschützt werden. |
| A.3.24 Informationssicherung | Sicherungsdaten, die personenbezogene Daten enthalten, sollten verschlüsselt werden. |
| A.3.28 Anforderungen an die Anwendungssicherheit | Die Anforderungen an die Verschlüsselung auf Anwendungsebene werden durch die Kryptografierichtlinie bestimmt. |
| A.1.4.10 PII-Getriebesteuerung | Die Übertragungssteuerung von Controllern basiert auf kryptografischem Schutz. |
Für wen gilt diese Regelung?
A.3.26 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen Kryptografieregeln für die Verarbeitung ihrer personenbezogenen Daten definieren und implementieren. Auftragsverarbeiter haben darüber hinaus die Pflicht, ihre Kunden über die Verwendung von Kryptografie zu informieren und ihnen Funktionen bereitzustellen, mit denen sie gegebenenfalls ihre eigene Verschlüsselung anwenden können.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für das Kryptografiemanagement?
ISMS.online bietet praktische Werkzeuge für die Verwaltung Ihres Kryptografieprogramms:
- Vorlagen für Kryptografierichtlinien — Vorgefertigte Richtlinienvorlagen, die genehmigte Algorithmen, Schlüssellängen, Anwendungsfälle und Anforderungen an das Schlüsselmanagement abdecken und an Ihre Organisation anpassbar sind
- Schlüsselverwaltungsregister — Verfolgen Sie kryptografische Schlüssel in Ihren Systemen mithilfe des Lebenszyklusmanagements: Generierung, Verteilung, Rotation, Ablauf und Vernichtung
- Compliance-Mapping — Ordnen Sie Ihre kryptografischen Kontrollen den jeweiligen Rechtsvorschriften, Artikel 32 der DSGVO und der ISO 27701-Kontrolle A.3.26 in einer Ansicht zu
- Beweisführung — Speichern Sie Nachweise zur Verschlüsselungskonfiguration, Schlüsselverwaltungsaufzeichnungen und Richtlinienbestätigungen in einem strukturierten, revisionssicheren Format
- Überprüfungsplanung — Planen Sie regelmäßige Überprüfungen Ihrer Kryptografie-Richtlinien und Schlüsselverwaltungspraktiken mit automatisierten Erinnerungen ein.
Häufig gestellte Fragen
Welche Verschlüsselungsalgorithmen werden empfohlen?
Der Standard schreibt keine spezifischen Algorithmen vor, aber die branchenübliche Praxis empfiehlt derzeit AES-256 für die symmetrische Verschlüsselung ruhender Daten, TLS 1.2 oder 1.3 für die Verschlüsselung während der Übertragung und RSA-2048 (oder höher) bzw. elliptische Kurvenalgorithmen für die asymmetrische Verschlüsselung. Organisationen sollten die Empfehlungen nationaler Kryptografiebehörden (wie z. B. NCSC in Großbritannien oder NIST in den USA) berücksichtigen und ihre zugelassenen Algorithmen regelmäßig überprüfen, da sich die Kryptografiestandards weiterentwickeln.
Reduziert Verschlüsselung die Meldepflichten bei Verstößen gegen die DSGVO?
Artikel 34 Absatz 3 Buchstabe a DSGVO sieht vor, dass eine Benachrichtigung der betroffenen Personen nicht erforderlich ist, wenn die Organisation geeignete technische Schutzmaßnahmen implementiert hat, die die personenbezogenen Daten für Unbefugte unlesbar machen, beispielsweise durch Verschlüsselung. Die Meldepflicht gegenüber der Aufsichtsbehörde gemäß Artikel 33 bleibt jedoch bestehen. Verschlüsselung kann somit den Umfang und die Auswirkungen einer Datenschutzverletzung verringern, aber nicht vollständig beseitigen.
Was umfasst Schlüsselmanagement?
Das Schlüsselmanagement umfasst den gesamten Lebenszyklus kryptografischer Schlüssel: Generierung (mittels sicherer Zufallszahlengeneratoren), Verteilung (ausschließlich über sichere Kanäle), Speicherung (in Hardware-Sicherheitsmodulen oder gleichwertigen sicheren Speichern), Rotation (Ersetzen von Schlüsseln in definierten Intervallen oder nach Verdacht auf Kompromittierung), Widerruf (Deaktivierung kompromittierter oder nicht mehr benötigter Schlüssel) und Vernichtung (sicheres Löschen von Schlüsseln am Ende ihrer Lebensdauer). Ein mangelhaftes Schlüsselmanagement kann selbst eine ansonsten starke Verschlüsselung vollständig untergraben.
Dokumentieren Sie Ihren Verschlüsselungsansatz in Ihrem Erklärung zur Anwendbarkeit.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Prüfer von kryptografischen Nachweisen erwarten.
