Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » Verschlüsselungskonzepte ISO 27001

Verschlüsselungskonzepte ISO 27001

Verschlüsselungskonzepte der ISO 27001 sind ein zentrales Element der Informationssicherheit, da sie die Vertraulichkeit sensibler Daten gewährleisten. Die Norm ISO 27001 fordert in ihren Controls (Maßnahmen), dass Unternehmen geeignete Maßnahmen treffen, um unbefugten Zugriff auf ihre Informationen zu verhindern. Verschlüsselung bildet hier eine essenzielle Säule: Ob auf Festplatten, in Cloud-Umgebungen oder bei der Übertragung, die richtige Kryptografie (1) schützt wertvolle Assets vor dem Zugriff Dritter und reduziert das Risiko von Datenlecks signifikant. Nachfolgend ein Überblick über gängige Verschlüsselungslösungen für die Praxis sowie Hinweise, worauf bei der Umsetzung zu achten ist.

BitLocker und FileVault

Wer auf Windows-Systemen arbeitet, wird häufig auf BitLocker setzen. Diese integrierte Verschlüsselungslösung von Microsoft verschlüsselt ganze Festplatten oder Partitionen und kann dabei transparent für den Nutzer agieren. Sie lässt sich zentral verwalten (etwa über Gruppenrichtlinien), sodass Unternehmen Standards für Schlüsselmanagement und Wiederherstellungsoptionen implementieren können. Auf Apple-Geräten hingegen bietet FileVault eine vergleichbare Funktionalität. Festplatten oder SSDs auf macOS-Systemen werden vollständig verschlüsselt, und der Zugriff ist nur mit dem richtigen Passwort oder Sicherheits-Token möglich. Beide Methoden sorgen für Datensicherheit bei Verlust oder Diebstahl von Laptops, was den Anforderungen der Verschlüsselungskonzepte ISO 27001 gerecht wird.

Verschlüsselungskonzept ISO 27001 - E-Learning
Verschlüsselungskonzept ISO 27001 – E-Learning

Unverschlüsselte Firmennotebooks und die Risiken

Wenn es um den Schutz vertraulicher Unternehmensinformationen geht, stehen unverschlüsselte Firmennotebooks nach wie vor ganz oben auf der Liste der größten Sicherheitsrisiken. Denn im Gegensatz zu Desktop-Systemen werden Laptops häufig mobil genutzt – sei es auf Dienstreisen, in Co-Working-Spaces oder im Homeoffice. Ein kurzer Augenblick der Unachtsamkeit genügt, und das Gerät verschwindet. Ohne wirksame Verschlüsselung liegen sämtliche Daten dann offen vor, sodass selbst ein Laie problemlos darauf zugreifen kann. Warum diese Gefahr keineswegs ein Randphänomen ist, belegen zahlreiche Studien.

Aktuelle Statistiken zu unverschlüsselten Firmennotebooks

Laut einer Umfrage von Kaspersky aus dem Jahr 2021 gaben rund 37 % der befragten kleinen und mittleren Unternehmen (KMU) an, ihre Firmen-Laptops nicht standardmäßig zu verschlüsseln (2). Dies deckt sich mit dem “Global Encryption Trends Study 2022” des Ponemon Institute: Dort zeigt sich, dass knapp 29 % der Unternehmen weltweit ihre Daten auf mobilen Endgeräten gar nicht oder nur unzureichend schützen (3). Auch der jüngste BSI-Lagebericht mahnt zur Vorsicht bei Mobilgeräten, da gestohlene oder verlorene Laptops regelmäßig zu gravierenden Datenschutzvorfällen führen (4).

Festplattenverschlüsselung (Hardware- und Software-basiert)

  • BitLocker (Windows)
    Bietet eine vollautomatisierte Verschlüsselung von Laufwerken auf Windows-Systemen.
    Kann mithilfe von Richtlinien und zentralem Schlüsselmanagement (z. B. in einer Active Directory-Umgebung) verwaltet werden. Unterstützt TPM (Trusted Platform Module) für zusätzliche Sicherheit.
  • FileVault (macOS)
    Apples hauseigene Lösung für die Verschlüsselung der kompletten Festplatte oder einzelner Volumes. Integriert sich nahtlos in das Betriebssystem und lässt sich zentral über Mobile Device Management (MDM)-Profile steuern. Verhindert den Klartextzugriff bei physischem Diebstahl oder Verlust des Geräts.
  • SED (Self-Encrypting Drives)
    Hardware-basierte Festplatten bzw. SSDs mit eigenem Verschlüsselungschip.
    Verschlüsselungsoperationen laufen direkt auf dem Laufwerk ab, wodurch die Systembelastung minimal bleibt. Verwaltung erfolgt über spezielle BIOS-/UEFI-Einstellungen oder Herstellersoftware, die das Setzen von Passwörtern oder Konfigurationsdaten unterstützt.

Software-basierte Container- und Dateiverschlüsselung

  • VeraCrypt
    Aus der TrueCrypt-Reihe hervorgegangen, bietet container- und volumenbasierte Verschlüsselung. Plattformübergreifend (Windows, macOS, Linux) und für USB-Wechselmedien beliebt. Kann auch versteckte Volumes anlegen (Steganografie-Ansatz), um gegenüber Dritten eine plausible Abstreitbarkeit zu ermöglichen.
  • 7Zip
    Open-Source-Tool zur Erstellung verschlüsselter Archive (z. B. .7z), das den AES-256-Standard unterstützt. Eignet sich für den versiegelten Austausch einzelner Dateien, sofern Passwörter über separate Kanäle geteilt werden. Häufig in KMU eingesetzt, um kostengünstig Datenaustausch zu sichern.
  • GnuPG (GPG)
    Ermöglicht sowohl Datei- als auch E-Mail-Verschlüsselung.
    Verwendet ein Schlüsselpaar (privat/öffentlich) und gilt als de-facto-Standard für verschlüsselte Kommunikation im Open-Source-Umfeld. Starke Integrationsmöglichkeiten in Mail-Clients (z. B. Thunderbird) oder Skripte für automatisierte Workflows.

USB-Sticks und Smartcards

  • USB-Sticks mit integrierter Hardware-Verschlüsselung
    Spezielle Geräte, die sämtliche Daten on-the-fly verschlüsseln. Zugang erfolgt über PIN-Eingabe oder Kartenleser direkt am Stick. Kommt zum Einsatz, wenn Daten regelmäßig mobil transportiert werden.
  • Smartcards und Hardware-Security-Module (HSM)
    Bieten sichere Speicherung von Schlüsseln und führen kryptografische Operationen (z. B. Signaturen, Verschlüsselung) innerhalb eines abgeschotteten Bereichs durch. Minimieren das Risiko, dass Schlüssel im Arbeitsspeicher abgegriffen werden können. Werden häufig bei hohen Compliance-Anforderungen (z. B. in Behörden oder Banken) eingesetzt.

Integration in das ISMS

Damit Verschlüsselungskonzepte ISO 27001 in der Praxis greifen, bedarf es mehr als nur der Installation einzelner Tools. Eine effektive Umsetzung berücksichtigt unter anderem:

  • Schlüsselmanagement
    Festlegung, wer Zugriff auf welche Schlüssel hat und wie diese sicher aufbewahrt oder gegebenenfalls rotiert werden.
  • Richtlinien für den Einsatz
    Es sollte definiert sein, in welchen Situationen Festplatten- oder Container-Verschlüsselung genutzt wird.
  • Schulungsmaßnahmen
    Mitarbeitende müssen wissen, wie sie verschlüsselte USB-Sticks oder Container richtig verwenden und was im Notfall (z. B. Passwortverlust) zu tun ist.
  • Regelmäßige Überprüfung
    Im Sinne der ISO 27001 sollte regelmäßig auditiert werden, ob die eingesetzten Lösungen den gewünschten Schutz noch gewährleisten – beispielsweise durch Penetrationstests oder interne Revisionsprozesse.

7Zip und ähnliche Tools: Verschlüsselte Archive

Wer Daten unabhängig vom Betriebssystem in verschlüsselter Form austauschen oder archivieren möchte, kann auf Programme wie 7Zip zurückgreifen. Dieses Open-Source-Tool erstellt komprimierte Archive (z. B. .7z, .zip) und unterstützt eine starke AES-256-Verschlüsselung. Dadurch lassen sich sensible Daten in einer einzigen Datei bündeln und passwortgeschützt versenden oder speichern. Solche Archivlösungen bieten sich etwa an, wenn sporadisch einzelne Dokumente mit externen Partnern ausgetauscht werden. Wichtig bleibt, das Passwort sicher zu übermitteln (idealerweise über einen separaten Kanal), um die Verschlüsselung nicht zu untergraben.

Fallbeispiel aus der Praxis: Notebook ohne BitLocker/FileVault

Ein Vertriebsmitarbeiter eines mittelständischen Unternehmens ist auf Geschäftsreise. Er nimmt sein Firmen-Notebook mit, auf dem wichtige Projektunterlagen, Kundendaten und interne Kalkulationstabellen gespeichert sind. Da keine Festplattenverschlüsselung (weder BitLocker noch FileVault) aktiviert ist, liegen sämtliche Daten auf dem Gerät unverschlüsselt vor.

Während einer kurzen Kaffeepause in einem belebten Bahnhof verliert der Mitarbeiter sein Notebook – entweder durch einfache Unachtsamkeit oder durch Diebstahl. Das Gerät ist verschwunden und lässt sich nicht mehr orten. Für den Außenstehenden (oder den Dieb) genügt es nun, das Notebook zu starten oder die Festplatte auszubauen, um vollen Zugriff auf die Klartextdaten zu erhalten. Bei sensiblen Informationen kann das zu folgenschweren Konsequenzen führen:

  • Verstoß gegen den Datenschutz
    Liegen personenbezogene Kundendaten im Klartext vor, könnte dies eine meldepflichtige Datenpanne gemäß DSGVO darstellen.
  • Reputationsverlust
    Kunden und Geschäftspartner verlieren schnell das Vertrauen, wenn interne Dokumente in falsche Hände geraten.
  • Finanzielle Schäden
    Von Schadensersatzansprüchen betroffener Kunden bis zu potenziellen Bußgeldern kann das Unternehmen finanziell stark belastet werden.
  • Imageschaden und Betriebsrisiko
    Wird vertrauliches Projekt-Know-how offengelegt, drohen Wettbewerbsnachteile oder sogar der Verlust strategischer Partner.

Ein kurzer Moment der Unaufmerksamkeit und das Fehlen eines wirksamen Verschlüsselungskonzepts führen hier zu weitreichenden Folgen. Wäre BitLocker oder FileVault aktiviert gewesen, hätte sich das Risiko drastisch reduziert, da Unbefugte ohne den entsprechenden Schlüssel keinen Zugriff auf die Daten erlangt hätten.

Weitere Verschlüsselungsmethoden und Best Practices

  • VeraCrypt
    Ein Nachfolger von TrueCrypt, bietet containerbasierte oder Vollverschlüsselung von Datenträgern. Nützlich für Einzelarbeitsplätze oder Wechselmedien.
  • E-Mail-Verschlüsselung
    Via S/MIME oder OpenPGP lässt sich der E-Mail-Verkehr schützen, was gerade im Umgang mit personenbezogenen Daten relevant sein kann.
  • Key-Management
    Ohne ein durchdachtes Schlüsseldesign und sorgfältige Handhabung (z. B. regelmäßiges Aktualisieren, sichere Speicherung), bleiben Verschlüsselungskonzepte lückenhaft. ISO 27001 erwartet, dass Unternehmen Richtlinien für die Lebenszyklen von Schlüsseln definieren.

Umsetzung im ISMS

Damit Verschlüsselungskonzepte ISO 27001 in der täglichen Praxis greifen, sollten sie sich nicht auf einzelne Tools beschränken. Vielmehr braucht es ein ganzheitliches ISMS, in dem Aspekte wie Zugriffskontrolle, Incident-Management und Sensibilisierung der Mitarbeitenden ineinandergreifen. So ist es ratsam, in den unternehmenseigenen Richtlinien festzuschreiben, wann und welche Verschlüsselungsarten zum Einsatz kommen sollen. Gleichzeitig sollten Verantwortlichkeiten klar definiert sein: Wer bestimmt, welche Datentypen verschlüsselt werden? Wo liegen die Schlüssel? Welche Prozesse greifen, wenn ein Datenträger verloren geht?

Nicht zuletzt spielt das Monitoring der eingesetzten Lösungen eine große Rolle. So ist zu prüfen, ob BitLocker oder FileVault auf allen relevanten Geräten eingeschaltet sind oder ob 7Zip in der richtigen Version genutzt wird. Regelmäßige Audits und ein durchdachter Prozess zur kontinuierlichen Verbesserung helfen, den Überblick zu behalten und mit den sich ständig ändernden Bedrohungsszenarien Schritt zu halten.

Fazit

Unverschlüsselte Firmennotebooks stellen ein erhebliches Risiko dar, das weder Seltenheitswert noch nur geringe Konsequenzen aufweist – dies belegen verschiedenste Erhebungen, von Kaspersky bis Ponemon. Wer sein Informationssicherheits-Managementsystem (ISMS) nachhaltig stärken will, sollte Verschlüsselung als integralen Bestandteil in die Unternehmensrichtlinien aufnehmen und ihre Umsetzung technisch wie organisatorisch sicherstellen. So lassen sich die Anforderungen aus ISO 27001, DSGVO & Co. besser erfüllen, und das Unternehmen bleibt langfristig vor finanziellen wie reputativen Schäden bewahrt.

Weitere Quellen:
  1. BSI TR-02102-1
  2. Kaspersky-Umfrage zu IT-Sicherheitspraktiken (2021)
  3. Ponemon Institute: Global Encryption Trends Study 2022
  4. BSI-Lagebericht (Übersicht)
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner