Schutzmaßnahmen für kryptografische Schlüssel

Contents

Schutzmaßnahmen für kryptografische Schlüssel (Art. 9 Abs. 4 lit. d DORA)
Inhaltliche Anforderungen laut Art. 9 Abs. 4 lit. d DORA
Prüfungsrelevanz

Schutzmaßnahmen für kryptografische Schlüssel (Art. 9 Abs. 4 lit. d DORA)

Im Rahmen des IKT-Risikomanagementrahmens verlangt DORA den Schutz kryptografischer Schlüssel als essentielle Sicherheitsmaßnahme. Finanzunternehmen müssen gezielte technische und organisatorische Kontrollen implementieren, um Integrität, Authentizität und Vertraulichkeit digitaler Daten sicherzustellen – insbesondere bei der Verschlüsselung sensibler Informationen.

Inhaltliche Anforderungen laut Art. 9 Abs. 4 lit. d DORA

1. Schutzmaßnahmen für kryptografische Schlüssel

Implementierung robuster Verfahren zur Schlüsselgenerierung, -verteilung, -speicherung und -vernichtung
Einsatz zertifizierter kryptografischer Module (z. B. HSMs – Hardware Security Modules)
Zugriffsschutz durch Rollenbasierung, Mehrfaktor-Authentifizierung und Trennung von Berechtigungen
Protokollierung und Auditierung aller Schlüsselzugriffe

2. Starke Authentifizierungsmechanismen

Verpflichtender Einsatz starker Authentifizierungsmethoden für Systeme, die auf sensible Daten oder IKT-Assets zugreifen
Verwendung etablierter Standards (z. B. FIDO2, ISO/IEC 27001, NIST SP 800-63)
Integration von risikobasierten Zugriffskontrollen und adaptiven Authentifizierungsverfahren

3. Datenverschlüsselung auf Basis von Klassifizierung & Risikoanalyse

Verschlüsselung vertraulicher oder kritischer Daten gemäß genehmigter Datenklassifizierungsverfahren
Berücksichtigung von Ergebnissen der IKT-Risikobewertung bei der Auswahl von Verschlüsselungsalgorithmen und Schutzmechanismen
Regelmäßige Überprüfung und Anpassung der Verschlüsselungsstandards an neue Bedrohungslagen

Prüfungsrelevanz

Prüfer erwarten nachvollziehbare technische und organisatorische Maßnahmen zum Schutz kryptografischer Schlüssel und zur Authentifizierung. Wichtige Prüfbereiche:

Dokumentiertes Schlüsselmanagementkonzept (inkl. Key Lifecycle Management)
Implementierte Sicherheitsmechanismen zur Schlüsselsicherung
Protokolle und Nachweise für Zugriffskontrollen
Nachweis der Übereinstimmung mit internen Datenklassifizierungen und Risikoeinstufungen