Richtlinie für Verschlüsselung und kryptografische Kontrollen (Art. 6 und 7 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Die Richtlinie für Verschlüsselung und kryptografische Kontrollen ist ein Pflichtbestandteil des IKT-Risikomanagementrahmens nach DORA. Sie regelt, wie Finanzunternehmen Informationen und Systeme mithilfe kryptografischer Verfahren gegen unbefugten Zugriff, Veränderung und Verlust absichern.
Die Grundlage dafür bilden Art. 6 und 7 der RTS RMF sowie Art. 9 Abs. 2 DORA.
Ziel der Richtlinie
Ziel ist es, durch geeignete kryptografische Maßnahmen die folgenden Schutzziele aufrechtzuerhalten:
- Verfügbarkeit (z. B. durch Wiederherstellung verschlüsselter Daten)
- Authentizität (z. B. durch digitale Signaturen)
- Integrität (z. B. durch Hashing)
- Vertraulichkeit (z. B. durch Ende-zu-Ende-Verschlüsselung)
Diese Ziele gelten unabhängig davon, ob Daten gespeichert, verarbeitet oder übertragen werden – lokal, in der Cloud oder über Netzwerke.
Anforderungen laut Art. 6 und 7 RTS RMF
1. Verschlüsselungskontrollen (Art. 6 RTS RMF)
Die Richtlinie muss technische und organisatorische Verfahren regeln zur:
- Anwendung geeigneter Verschlüsselungsverfahren bei Speicherung, Übertragung und Verarbeitung von Daten,
- Auswahl kryptografischer Algorithmen (z. B. AES-256, RSA, ECC),
- Verwaltung kryptografischer Schlüssel, inkl. Generierung, Speicherung, Rotation und Löschung,
- Anwendung unterschiedlicher Sicherheitsniveaus je nach Datenklassifikation (z. B. sensibel, vertraulich, kritisch).
2. Schlüsselmanagementrichtlinie (Art. 7 RTS RMF)
Die Richtlinie muss ein formales Verfahren enthalten zur:
- Sicheren Generierung und Aufbewahrung von Schlüsseln (z. B. HSMs, Hardware-Sicherheitsmodule),
- Zuweisung von Rollen und Verantwortlichkeiten für den Zugang zu Schlüsseln,
- Vermeidung von Schlüsselwiederverwendung,
- Löschung und Sperrung von kompromittierten Schlüsseln,
- Überwachung des Lebenszyklus kryptografischer Schlüssel.
Inhalt einer DORA-konformen Kryptografie-Richtlinie
| Bestandteil | Beschreibung |
|---|---|
| Anwendungsbereich | Welche Systeme, Daten und Kommunikationskanäle sind betroffen? |
| Kryptografie-Standards | Welche Algorithmen sind zugelassen? Nach welchen Kriterien? |
| Schlüsselverwaltung | Welche Tools und Verfahren kommen zum Einsatz (z. B. HSM, KMS)? |
| Zugriffsrechte | Wer darf Schlüssel lesen, erstellen, löschen? |
| Überwachungs- & Auditmechanismen | Wie werden Schlüsselverwendung, -verfall, -rotation überwacht? |
| Notfallmaßnahmen | Was passiert bei Schlüsselverlust, Kompromittierung oder Systemversagen? |
Umsetzungspflicht bis 17. Januar 2025
Die Verschlüsselungsrichtlinie muss spätestens zum DORA-Stichtag 17. Januar 2025 erstellt, verabschiedet und in die bestehende IKT-Governance eingebettet werden. Sie muss regelmäßig überprüft und technologisch aktualisiert werden – insbesondere bei:
- neuen regulatorischen Anforderungen (z. B. EBA, ENISA)
- Änderungen in der Bedrohungslage
- technologischem Fortschritt in der Kryptografie (z. B. Post-Quantum)