Sachgebiete / Anweisungen › Informationssicherheit

Richtlinie Kryptografie und Verschlüsselung

Vorgaben zur Verwendung kryptografischer Verfahren und Schlüssel.

Status: Freigegeben Version: 1 Kategorie: Richtlinie Verantwortlich: Informationssicherheit Stand: 20.05.2025

1. Grundsatz

Sensible Daten werden sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) verschlüsselt. Eingesetzt werden ausschließlich freigegebene, etablierte Verfahren.

2. Empfohlene Algorithmen

Symmetrisch: AES-256-GCM
Asymmetrisch: RSA-3072 oder ECDSA P-256
Hashing: SHA-256, SHA-384, SHA-512
Key Derivation: PBKDF2, Argon2id

3. Transportverschlüsselung

Externe Kommunikation erfolgt mindestens über TLS 1.2 (TLS 1.3 bevorzugt). Interne sensible Verbindungen sind ebenfalls TLS-verschlüsselt.

4. Schlüsselmanagement

Kryptografische Schlüssel werden in einem zentralen HSM verwaltet. Schlüsselrotation erfolgt risikobasiert, mindestens alle 24 Monate.

5. Verbotene Verfahren

MD5, SHA-1, DES und 3DES sind für neue Anwendungen nicht zulässig. Bestehende Nutzungen werden zeitnah migriert.

Merkur Privatbank · Organisationshandbuch