• Last Published: 2024-11-15|
• Version: 1.0.6

Kryptographische Maßnahmen

Betroffene Basis-Ziele

• die Vertraulichkeit der Daten (auch unserer Kunden) wahren
• die Verfügbarkeit von Informationen, besonders unserer Softwareprodukte und Dienste, sicherstellen
• die Integrität von Informationen sicherstellen

Konkretes Ziel

Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung.

##Leitlinie zur Nutzung von kryptographischen Maßnahmen

Maßnahme

Eine Leitlinie zur Verwendung von kryptographischen Maßnahmen für den Schutz von Informationen ist zu entwickeln und zu implementieren.

Umsetzung

• Mit Active Directory als Verzeichnisdienst ist für die Windows-Anmeldung das Kerberos-Verfahren im Unternehmen im Einsatz.
• Der Microsoft Exchange Mailserver ist so konfiguriert, dass er die höchste Verschlüsselungsstufe für den Mailtransfer unterstützt, die auch von dem jeweiligen Kommunikationspartner (fremder Mailserver) unterstützt wird.
• Die Kommunikation zwischen dem Rechenzentrum und der Zentrale findet via VPN IPSec statt.
• Die Kommunikation zwischen Clients und den Webapplikationen findet mittels https (SSL) statt.

Verwaltung von Schlüsseln

Maßnahme

Eine Leitlinie zur Verwendung, zum Schutz und zur Gültigkeitsdauer von kryptographischen Schlüsseln ist zu entwickeln und über deren gesamte Nutzungsdauer hinweg umzusetzen.

Umsetzung

VPN-Zertifikate werden rechnerbasiert auf ausgewählten Arbeitsstationen in der Entwicklungsabteilung installiert und wieder deinstalliert, sobald sie nicht mehr benötigt werden. Die VPN-Zertifikate liegen in einem privaten, nur durch Systemadministratoren und den jeweiligen Benutzer zugänglichen Ordner.

Die SSL-Zertifikate für unsere Anwendungen werden automatisiert erneuert werden, weil dies in den Skripten f+r Terraform und puppet eingebaut ist.

Reviewdatum: 12.11.2024, Johannes Imhof