Ziel / Zweck
Die Institution überträgt im Rahmen ihrer internen und externen Kommunikation Informationen mit hohen Anforderungen an die Integrität und Vertraulichkeit. Hieraus ableitend müssen kryptographische Algorithmen und Protokolle benannt und für einen entsprechenden Zeitraum freigegeben werden, welche einen sicheren Betrieb von Einzelkomponenten und des Gesamtsystems sicherstellen. Hierdurch werden zusätzlich die Prinzipien (Security-By-Design, Minimal-Need-To-Know-Prinzip, Defence-In-Depth Prinzip und Redundanz-Prinzip) eines sicheren Systemdesigns unterstützt.
Security-By-Design: Das Gesamtsystem und seine Einzelkomponenten sind von Grund auf im Hinblick auf Sicherheit entwickelt. Vorsätzliche Angriffe und unberechtigte Handlungen werden explizit betrachtet, die Auswirkungen von Sicherheitsvorfällen werden durch das Systemdesign minimiert.
Minimal-Need-To-Know-Prinzip: Jede Komponente und jeder Benutzer erhält nur die Rechte, die für die Ausführung einer Aktion notwendig sind. So werden z. B. Anwendungen und Netzwerk-Dienste nicht mit Administratorprivilegien, sondern nur mit den minimal nötigen Systemrechten betrieben.
Defence-In-Depth Prinzip: Sicherheitsrisiken werden nicht durch einzelne Schutzmaßnahmen angegangen, sondern durch die Implementierung gestaffelter, auf mehreren Ebenen ansetzender und sich ergänzender Sicherheitsmaßnahmen begrenzt.
Redundanz-Prinzip: Das Gesamtsystem ist so ausgelegt, dass der Ausfall einzelner Komponenten die sicherheitsrelevanten Funktionen nicht beeinträchtigt. Das Systemdesign verringert die Wahrscheinlichkeit und die Auswirkungen von Problemen, die durch das uneingeschränkte Anfordern von Systemressourcen oder Netzwerkbandbreite entstehen.
Dieses Dokument benennt freigegebene Software, Produkte sowie Algorithmen für den Einsatz von Kryptographie. Es werden die Einsatzumgebung und Randbedingungen in Form von Varianten und Ausprägungen beschrieben. Der Krypto-Bedarf wird in einer verfahrensspezifischen Schutzbedarfserhebung identifiziert. Er wird in diesem Dokument lediglich aufgegriffen, zusammengefasst und anhand freigegebener kryptographischer Lösungen umgesetzt.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
