2026-03-08
By Emre SalmanogluVerschlüsselung: Der umfassende Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Verschlüsselung Daten im Ruhezustand, bei der Übertragung und bei der Verarbeitung schützt. Behandelt AES, RSA, TLS, Schlüsselmanagement und Compliance-Anforderungen nach ISO 27001, SOC 2, NIS2, DORA und DSGVO.
Verschlüsselung
Datenschutz
Kryptographie
Schlüsselmanagement
Compliance
Was ist Verschlüsselung?
Verschlüsselung ist der Prozess der Umwandlung lesbarer Daten (Klartext) in ein unlesbares Format (Chiffretext) mittels eines mathematischen Algorithmus und eines kryptographischen Schlüssels. Nur autorisierte Parteien mit dem korrekten Entschlüsselungsschlüssel können den Prozess umkehren und auf die Originaldaten zugreifen.
Für Compliance- und Sicherheitsteams ist Verschlüsselung keine Option — sie ist eine grundlegende Maßnahme, die von praktisch jedem großen Sicherheitsframework und jeder Verordnung gefordert wird.
Arten der Verschlüsselung
Symmetrisch vs Asymmetrisch
| Eigenschaft | Symmetrische Verschlüsselung | Asymmetrische Verschlüsselung |
|---|---|---|
| Schlüssel | Einzelner gemeinsamer Schlüssel | Öffentlich-privates Schlüsselpaar |
| Geschwindigkeit | Schnell — geeignet für große Datenmengen | Langsamer — für Schlüsselaustausch und Signaturen |
| Gängige Algorithmen | AES-128, AES-256, ChaCha20 | RSA-2048, RSA-4096, ECC P-256, Ed25519 |
| Anwendungsfälle | Datenbankverschlüsselung, Festplattenverschlüsselung | TLS-Handshake, digitale Signaturen, PGP-E-Mail |
| Schlüsselverteilung | Schlüssel muss sicher geteilt werden | Öffentlicher Schlüssel kann frei verteilt werden |
| Compliance-Standard | AES-256 universell akzeptiert | RSA-2048 Minimum für die meisten Frameworks |
Hybride Verschlüsselung
Moderne Systeme nutzen hybride Verschlüsselung — asymmetrische Verschlüsselung zum sicheren Austausch eines symmetrischen Schlüssels, dann symmetrische Verschlüsselung für die eigentlichen Daten. TLS (HTTPS) ist das häufigste Beispiel: Der TLS-Handshake verwendet RSA oder ECC, um einen AES-Sitzungsschlüssel zu vereinbaren.
Verschlüsselungszustände
| Zustand | Was geschützt wird | Gängige Mechanismen | Compliance-Anforderung |
|---|---|---|---|
| Im Ruhezustand | Gespeicherte Daten — Datenbanken, Dateien, Backups | AES-256, LUKS, BitLocker, TDE, Cloud-KMS | ISO 27001 A.8.24, SOC 2 CC6.1, DSGVO Art. 32 |
| Bei der Übertragung | Daten zwischen Systemen | TLS 1.2/1.3, IPsec, SSH, SFTP | ISO 27001 A.8.24, SOC 2 CC6.7, NIS2 Art. 21 |
| Bei der Verarbeitung | Daten im Arbeitsspeicher | Confidential Computing, Intel SGX, AMD SEV | Aufkommend — noch nicht weit verbreitet vorgeschrieben |
Verschlüsselung im Ruhezustand
| Ansatz | Beschreibung | Am besten geeignet für |
|---|---|---|
| Festplattenverschlüsselung (FDE) | Verschlüsselt das gesamte Speichervolume | Laptops, Arbeitsplatzrechner, tragbare Geräte |
| Dateiverschlüsselung | Verschlüsselt einzelne Dateien oder Verzeichnisse | Selektiver Schutz sensibler Dateien |
| Datenbankverschlüsselung (TDE) | Transparent Data Encryption auf Datenbank-Engine-Ebene | Strukturierte Daten in SQL/NoSQL-Datenbanken |
| Cloud-verwaltete Verschlüsselung | Cloud-Anbieter verschlüsselt Speicher automatisch | Cloud-native Workloads |
| Anwendungsebene Verschlüsselung | Anwendung verschlüsselt Daten vor dem Schreiben | Maximale Kontrolle, Feldebene-Schutz |
Verschlüsselung bei der Übertragung
| Protokoll | Version | Status | Hinweise |
|---|---|---|---|
| TLS | 1.3 | Empfohlen | Schnellste, sicherste Version |
| TLS | 1.2 | Akzeptabel | Noch weit verbreitet, starke Cipher-Suites konfigurieren |
| TLS | 1.0, 1.1 | Veraltet | Muss deaktiviert werden — bekannte Schwachstellen |
| SSL | Alle | Obsolet | Niemals verwenden — kritisch unsicher |
| IPsec | IKEv2 | Empfohlen | VPN und Netzwerkebene-Verschlüsselung |
| SSH | v2 | Erforderlich | Fernverwaltung und Dateiübertragung |
Kryptographische Algorithmen: Was verwenden und was vermeiden
| Kategorie | Empfohlen | Vermeiden |
|---|---|---|
| Symmetrisch | AES-256-GCM, ChaCha20-Poly1305 | DES, 3DES, RC4, Blowfish |
| Asymmetrisch | RSA-2048+, ECC P-256+, Ed25519 | RSA-1024, DSA |
| Hashing | SHA-256, SHA-3, BLAKE2 | MD5, SHA-1 |
| Schlüsselableitung | Argon2, bcrypt, scrypt | PBKDF2 mit wenigen Iterationen |
| MACs | HMAC-SHA256, Poly1305 | HMAC-MD5 |
Schlüsselmanagement
Verschlüsselung ist nur so stark wie Ihr Schlüsselmanagement. Eine perfekt verschlüsselte Datenbank ist wertlos, wenn die Schlüssel im Klartext daneben gespeichert werden.
Schlüssel-Lebenszyklus
| Phase | Best Practice | Häufiger Fehler |
|---|---|---|
| Erzeugung | Kryptographisch sichere Zufallszahlengeneratoren (CSPRNG) verwenden | Vorhersagbare Seeds oder schwache RNGs |
| Speicherung | In HSM, Cloud-KMS oder dediziertem Vault speichern | Schlüssel im Quellcode oder in Konfigurationsdateien |
| Verteilung | Sichere Schlüsselaustauschprotokolle verwenden (TLS, Diffie-Hellman) | Schlüssel per E-Mail oder Chat senden |
| Rotation | Rotation automatisieren und nach Vorfällen durchführen | Schlüssel nie rotieren |
| Widerruf | Kompromittierte Schlüssel sofort widerrufen | Verzögerter Widerruf nach Breach |
| Vernichtung | Kryptographische Löschung — alle Kopien sicher vernichten | Alte Schlüssel zugänglich lassen |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | DSGVO | NIS2 | DORA |
|---|---|---|---|---|---|
| Verschlüsselung im Ruhezustand | A.8.24 | CC6.1 | Art. 32 | Art. 21(2)(d) | Art. 9(2) |
| Verschlüsselung bei der Übertragung | A.8.24 | CC6.7 | Art. 32 | Art. 21(2)(d) | Art. 9(2) |
| Schlüsselmanagement | A.8.24 | CC6.1 | Art. 32 | Art. 21(2)(d) | Art. 9(2) |
| Kryptographierichtlinie | A.8.24 | CC6.1 | — | Art. 21(2)(h) | Art. 9(4)(c) |
| Algorithmenstandards | A.8.24 | CC6.1 | Erwägungsgrund 83 | Art. 21(2)(h) | Art. 9(4)(c) |
DSGVO und Verschlüsselung
Die DSGVO bietet einen starken Anreiz zur Verschlüsselung personenbezogener Daten:
- Artikel 32 — Nennt Verschlüsselung als geeignete technische Maßnahme
- Artikel 34 Befreiung — Bei verschlüsselten Daten mit sicheren Schlüsseln entfällt ggf. die Benachrichtigung Betroffener
- Pseudonymisierung — Verschlüsselung unterstützt die DSGVO-Anforderungen zur Pseudonymisierung
Auditnachweise für Verschlüsselung
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Verschlüsselungsrichtlinie | Genehmigte Richtlinie für Algorithmen, Schlüssellängen und Management | ISO 27001, SOC 2 |
| Schlüsselmanagement-Verfahren | Dokumentierter Lebenszyklus für Erzeugung, Rotation und Vernichtung | Alle Frameworks |
| TLS-Konfigurationsscans | SSL-Labs-Scanergebnisse mit TLS 1.2+ | SOC 2, NIS2 |
| Nachweis der Ruheverschlüsselung | Cloud-Konsolen-Screenshots oder Konfigurationsexporte | Alle Frameworks |
| Schlüsselrotationsprotokolle | Automatische Rotationsaufzeichnungen aus dem KMS | ISO 27001, SOC 2 |
| Zertifikatsinventar | Vollständige Liste aller Zertifikate mit Ablaufdaten | NIS2, DORA |
| Krypto-Algorithmen-Inventar | Liste aller verwendeten Algorithmen mit Migrationsplanung | DORA, NIS2 |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Schlüssel neben verschlüsselten Daten speichern | Breach legt Daten und Schlüssel offen | Externen KMS oder HSM verwenden |
| Veraltete Algorithmen verwenden (MD5, SHA-1, DES) | Bekannte Schwachstellen, Audit-Feststellungen | Auf AES-256, SHA-256 Minimum migrieren |
| Backups nicht verschlüsseln | Backup-Diebstahl legt alle Daten offen | Gleiche Verschlüsselungsrichtlinie auf Backups anwenden |
| Schlüssel im Quellcode hardcoden | Schlüssel lecken durch Versionskontrolle | Secrets Management nutzen (Vault, KMS) |
| Fehlende Schlüsselrotation | Längeres Expositionsfenster bei Kompromittierung | Mindestens jährliche automatische Rotation |
| TLS 1.0/1.1 noch aktiviert | Compliance-Verstoß, bekannte Angriffsvektoren | Deaktivieren und TLS 1.2+ erzwingen |
Wie Orbiq Verschlüsselungs-Compliance unterstützt
Orbiq hilft Ihnen, Verschlüsselungskontrollen nachzuweisen und zu verwalten:
- Evidenzsammlung — Automatische Erfassung von Verschlüsselungskonfigurationsnachweisen von Cloud-Anbietern
- Richtlinienvorlagen — Vorgefertigte kryptographische Richtlinienvorlagen nach ISO 27001 und SOC 2
- Kontinuierliche Überwachung — TLS-Konfigurationen, Zertifikatsablauf und Verschlüsselungsstatus verfolgen
- Trust Center — Teilen Sie Ihre Verschlüsselungsmaßnahmen mit Kunden und Auditoren über Ihr Trust Center
- Audit-Bereitschaft — Verschlüsselungskontrollen auf Framework-Anforderungen abbilden
Weiterführende Artikel
- ISO 27001 Zertifizierung — Framework mit Verschlüsselungsanforderungen
- Datenklassifizierung — Bestimmen, welche Daten verschlüsselt werden müssen
- Zugriffskontrolle — Verschlüsselung durch Zugriffskontrollen ergänzen
- Incident Response — Schlüsselkompromittierungen behandeln
- Cloud Security Posture Management — Cloud-Verschlüsselungskonfigurationen überwachen
- SOC 2 Compliance — Verschlüsselungsanforderungen für SOC 2