Das Kryptographieregister dokumentiert alle kryptographischen Schlüssel und Zertifikate deiner Organisation — mit Algorithmus, Schlüssellänge, Ablaufdatum und Rotationszyklus. Ohne dieses Register weißt du im Ernstfall nicht, welche Systeme betroffen sind, wenn ein Schlüssel kompromittiert wird oder abläuft.
ISO 27001 A.8.24 (Use of Cryptography) verlangt, dass Regeln für den Einsatz von Kryptographie definiert und umgesetzt werden — einschließlich Schlüsselmanagement. Das Register ist das operative Werkzeug, mit dem du den Überblick behältst.
Was enthält es?
Jede Zeile steht für einen kryptographischen Schlüssel oder ein Zertifikat. Die Spalten:
- Key ID / Purpose — eindeutige Kennung und Einsatzzweck (z. B. TLS Wildcard, Datenbankverschlüsselung, Code Signing)
- Algorithm / Key Length — verwendeter Algorithmus (RSA, AES, Ed25519) und Schlüssellänge
- Owner / System — verantwortliche Person und System, in dem der Schlüssel eingesetzt wird
- Created / Expiry / Rotation Interval — Erstellungsdatum, Ablaufdatum und vorgesehenes Rotationsintervall
- Storage / Backup / Status — Speicherort, Backup-Methode und aktueller Status
So nutzt du es
Initiale Befüllung: Inventarisiere alle aktiven Schlüssel und Zertifikate. Starte mit TLS-Zertifikaten (öffentlich sichtbar, leicht zu finden) und arbeite dich dann zu internen Verschlüsselungsschlüsseln, SSH-Schlüsseln und Code-Signing-Zertifikaten vor.
Laufende Pflege: Bei jeder Schlüsselrotation, Erneuerung oder Neuausstellung aktualisierst du das Register. Abgelaufene oder widerrufene Schlüssel bleiben im Register (Status: Expired/Revoked) — so ist der Lebenszyklus nachvollziehbar.
Regelmäßiger Review: Einmal im Quartal prüfst du, welche Schlüssel in den nächsten 90 Tagen ablaufen, und planst die Erneuerung. Gleichzeitig prüfst du, ob die verwendeten Algorithmen und Schlüssellängen noch dem aktuellen Stand der Technik entsprechen.
| Schlüssel-ID | Zweck | Algorithmus | Schlüssellänge | Eigentümer | System | Erstellt | Ablauf | Rotationsintervall | Speicherung | Backup | Status |
|---|---|---|---|---|---|---|---|---|---|---|---|
| KEY-001 | TLS Wildcard *.nordwind-logistics.com | RSA | 2048 | IT-Betriebsleitung | Nginx Frontend | 2025-09-01 | 2026-09-01 | 12 Monate | Let's Encrypt ACME | N/A | Aktiv |
| KEY-002 | TLS api.nordwind-logistics.com | ECDSA P-256 | 256 | IT-Betriebsleitung | API-Gateway | 2025-10-15 | 2026-10-15 | 12 Monate | Let's Encrypt ACME | N/A | Aktiv |
| KEY-003 | Datenbankverschlüsselung im Ruhezustand (Kunden-DB) | AES-GCM | 256 | IT-Betriebsleitung | PostgreSQL RDS | 2024-04-01 | N/A | 24 Monate | AWS KMS CMK | KMS Multi-Region | Aktiv |
| KEY-004 | Backup-Verschlüsselung | AES-GCM | 256 | IT-Betriebsleitung | Veeam Repository | 2024-01-10 | N/A | 24 Monate | HSM | Offsite HSM | Aktiv |
| KEY-005 | S/MIME E-Mail-Signatur ISB | RSA | 4096 | ISB | M365 Outlook | 2025-06-01 | 2028-06-01 | 36 Monate | Smartcard | N/A | Aktiv |
| KEY-006 | Code-Signing-Zertifikat | RSA | 3072 | Head of Engineering | CI-Pipeline | 2025-02-01 | 2027-02-01 | 24 Monate | HSM | HSM-Backup | Aktiv |
| KEY-007 | SSH-Host-Schlüssel Prod-Cluster | Ed25519 | 256 | IT-Betriebsleitung | Linux-Server | 2024-11-01 | N/A | 36 Monate | Host-Dateisystem | Config Management | Aktiv |
| KEY-008 | VPN Pre-Shared Key | N/A | N/A | IT-Betriebsleitung | VPN-Gateway | 2025-08-01 | 2026-08-01 | 12 Monate | Passwortmanager | Sicherer Tresor | Aktiv |
| KEY-009 | Festplattenverschlüsselung Recovery-Schlüssel (Flotte) | AES | 256 | IT-Betriebsleitung | BitLocker / FileVault | Fortlaufend | N/A | Pro Gerät | MDM-Escrow | MDM-Backup | Aktiv |
| KEY-010 | Datenbank-Backup AES-Schlüssel (Archiv) | AES-CBC | 256 | IT-Betriebsleitung | S3-Archiv | 2024-01-01 | 2027-01-01 | 36 Monate | AWS KMS | KMS Multi-Region | Aktiv |
| Key ID | Purpose | Algorithm | Key Length | Owner | System | Created | Expiry | Rotation Interval | Storage | Backup | Status |
|---|---|---|---|---|---|---|---|---|---|---|---|
| KEY-001 | TLS wildcard *.nordwind-logistics.com | RSA | 2048 | IT Operations Lead | Nginx frontend | 2025-09-01 | 2026-09-01 | 12 months | Let's Encrypt ACME | N/A | Active |
| KEY-002 | TLS api.nordwind-logistics.com | ECDSA P-256 | 256 | IT Operations Lead | API gateway | 2025-10-15 | 2026-10-15 | 12 months | Let's Encrypt ACME | N/A | Active |
| KEY-003 | Database encryption at rest (Customer DB) | AES-GCM | 256 | IT Operations Lead | PostgreSQL RDS | 2024-04-01 | N/A | 24 months | AWS KMS CMK | KMS multi-region | Active |
| KEY-004 | Backup encryption | AES-GCM | 256 | IT Operations Lead | Veeam repository | 2024-01-10 | N/A | 24 months | HSM | Offsite HSM | Active |
| KEY-005 | S/MIME email signing ISO | RSA | 4096 | ISO | M365 Outlook | 2025-06-01 | 2028-06-01 | 36 months | Smartcard | N/A | Active |
| KEY-006 | Code signing certificate | RSA | 3072 | Head of Engineering | CI pipeline | 2025-02-01 | 2027-02-01 | 24 months | HSM | HSM backup | Active |
| KEY-007 | SSH host keys prod cluster | Ed25519 | 256 | IT Operations Lead | Linux servers | 2024-11-01 | N/A | 36 months | Host filesystem | Config mgmt | Active |
| KEY-008 | VPN pre-shared key | N/A | N/A | IT Operations Lead | VPN gateway | 2025-08-01 | 2026-08-01 | 12 months | Password manager | Secure vault | Active |
| KEY-009 | Disk encryption recovery keys (fleet) | AES | 256 | IT Operations Lead | BitLocker / FileVault | Continuous | N/A | Per device | MDM escrow | MDM backup | Active |
| KEY-010 | Database backup AES key (archive) | AES-CBC | 256 | IT Operations Lead | S3 archive | 2024-01-01 | 2027-01-01 | 36 months | AWS KMS | KMS multi-region | Active |
Quellen
- ISO/IEC 27001:2022 A.8.24 — Use of Cryptography
- BSI TR-02102 — Kryptographische Verfahren: Empfehlungen und Schlüssellängen
- NIST SP 800-57 — Recommendation for Key Management