Bundesamt für Sicherheit in der Informationstechnik

M 6.162 Reaktion bei praktischer Schwächung eines Kryptoverfahrens

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Administrator

Im Falle eines geschwächten kryptographischen Verfahrens muss schnellstmöglich analysiert werden, wie das Verfahren durch eine geeignete Alternative abgelöst werden kann, um die Informationssicherheit der Institution zu gewährleisten.

Wenn das gebrochene oder angreifbare Kryptoverfahren deaktiviert wird, sind zwei Fälle zu unterscheiden:

  • Stehen in einem IT -System mehrere Verschlüsselungsalgorithmen zur Auswahl und wird einer von diesen nachweislich unsicher, dann ist sicherzustellen, dass der gebrochene Algorithmus nicht mehr weiter verwendet wird.
  • Wenn es aktuell keinen alternativen Algorithmus gibt, sind je nach Schutzbedarf geeignete Maßnahmen umzusetzen. Beispielsweise sollte überlegt werden, die betroffenen Teile des IT -Systems abzuschalten bzw. vom Netz zu trennen.

Das Risiko, das durch das gebrochene kryptographische Verfahren entsteht, sollte im Einzelfall abgeschätzt werden. Oft sind Angriffe auf kryptographische Verfahren eher theoretisch und in der Praxis nur mit extrem hohem Aufwand umsetzbar. Wenn das Risiko neu bewertet ist, sollte eine passende Migrationsstrategie entworfen werden.

Ein geschwächtes kryptographisches Verfahren kann nach der Risikoabschätzung gegebenenfalls für einen begrenzten Zeitraum weiter verwendet werden, wenn die sofortige Umstellung auf ein alternatives Verfahren nicht mit vertretbarem Aufwand möglich ist. In keinem Fall darf ein geschwächtes Verfahren dauerhaft weiter verwendet werden.

Ähnliches gilt, wenn Sicherheitslücken in der Implementierung von Kryptoverfahren bekannt werden. Hier müssen schnellstmöglich die erforderlichen Patches eingespielt bzw. Abhilfemaßnahmen ergriffen werden.

Prüffragen:

  • Gibt es einen definierten Prozess für den Fall, dass ein eingesetztes Kryptoverfahren angreifbar ist?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK