Zum Inhalt gehen
IT-Management

Kryptografie im Unternehmen: Was NIS2 von Ihnen fordert – und wie HR-Software dabei hilft

·
16 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

In jedem modernen Unternehmen wird täglich mit einer Vielzahl hochsensibler Daten hantiert – von Business-Plänen und Finanzdaten über Kundeninformationen bis hin zu Gehaltsabrechnungen und Krankmeldungen. Weil diese sensiblen Datenströme heute fast ausschließlich digital fließen, steht der Schutz der eigenen IT-Infrastruktur ganz oben auf der Agenda eines jeden Unternehmens. Wie lässt sich die Datensicherheit angesichts von Cyberbedrohungen und strengen Gesetzen wie DSGVO und NIS2-Richtlinie garantieren? Die Antwort lautet: Kryptografie. Wie moderne Verschlüsselung funktioniert und wie eine HR-Software wie Factorial diese komplexe Sicherheitsanforderung im Hintergrund ganz automatisch für Sie löst, erfahren Sie in diesem Artikel.

Das Wichtigste in Kürze:

  1. Kryptografie im Unternehmenskontext bedeutet die gezielte Absicherung und mathematische Verschlüsselung sensibler Informationen, um Daten und Kommunikationskanäle vor Cyberangriffen oder unbefugten Zugriffen zu schützen.
  2. Betroffene Betriebe müssen im Rahmen der neuen Cybersicherheits-Vorgaben ein internes Kryptokonzept erstellen und auf dieser Grundlage die konkrete Verschlüsselung ruhender sowie übertragener Daten im Arbeitsalltag lückenlos umsetzen.

Gesetzliche Grundlage:

  1. Als gesetzliche Grundlage hierfür verpflichten vor allem die europäische NIS-2-Richtlinie und die DSGVO (Datenschutzgrundverordnung) Unternehmen dazu, moderne kryptografische Verfahren nach dem aktuellen Stand der Technik verbindlich einzusetzen.

Was versteht man unter Kryptografie im Unternehmenskontext?

Definition: Kryptografie

Der Begriff Kryptografie stammt aus dem Griechischen („geheimes Schreiben“) und bezeichnet heute die Wissenschaft der Verschlüsselung von Informationen. Im Unternehmenskontext – besonders im HR-Bereich – dient sie dazu, sensible Daten vor unbefugtem Zugriff und Cyberangriffen zu schützen. Das Prinzip ist mathematisch: Digitale Daten wie eine Krankmeldung oder Bankdaten werden bei der Übertragung oder Speicherung durch einen Algorithmus in einen unlesbaren Code umgewandelt. Nur wer den passenden digitalen Schlüssel besitzt, kann die Daten wieder lesbar machen.

Hintergrund zur Funktionsweise: Ein kryptografischer „Schlüssel“ ist kein Passwort, das von den Nutzer*innen manuell eingegeben werden muss. Es handelt sich um eine hochkomplexe, vom System generierte Bitfolge (Zahlenkette). Während die Anwender*innen sich lediglich über ihre normalen Zugangsdaten (Passwort) authentifizieren, verwaltet die jeweilige Software (sei es eine HR-Software wie Factorial, eine Banking-App oder ein Cloud-Speicher) die kryptografischen Schlüssel zur Daten-Dekodierung vollautomatisch und unsichtbar im Hintergrund.

Wie wird Kryptografie in der IT-Sicherheit eingesetzt?

Kryptografie ist mehr als das bloße Unkenntlichmachen von Texten. In der modernen IT-Sicherheit erfüllt sie fünf elementare Schutzfunktionen, die im Personalwesen täglich zum Einsatz kommen:

  • Datenverschlüsselung (Vertraulichkeit): Daten werden vor der Einsichtnahme durch unbefugte Dritte geschützt – etwa digitale Personalakten, die sicher auf Servern abgelegt sind.
  • Authentifizierung (Identitätsnachweis): Durch Kryptografie lässt sich sicherstellen, dass nur berechtigte Personen auf Systeme zugreifen können. Unbefugte Logins werden so zuverlässig verhindert.
  • Datenintegrität (Veränderungsschutz): Sensible Daten wie IBANs bei der Gehaltsübertragung werden so gesichert, dass sie auf dem Übertragungsweg nicht unbemerkt manipuliert werden können.
  • Sichere Kommunikation (Abhörschutz): Digitale Kanäle werden abgesichert, damit Daten im Homeoffice oder im Firmen-WLAN nicht von Dritten mitgelesen werden können.
  • Nichtabstreitbarkeit (Verbindlichkeit): Kryptografie ermöglicht den Nachweis, dass eine digitale Signatur, beispielsweise unter einem Arbeitsvertrag, eindeutig von einer bestimmten Person stammt und rechtlich bindend ist.

Tipp: Mit der HR-Software von Factorial können Sie in Ihrem Unternehmen sicher und compliant digital Dokumente unterschreiben!

esignatur product screen

Diese fünf Kernbereiche beschreiben, was ein sicheres IT-System im HR-Alltag leisten muss. Im folgenden schauen wir uns nun an, wie genau moderne Programme diese Ziele konkret umsetzen. Hier kommen die verschiedenen kryptografischen Verfahren ins Spiel, die als technische Werkzeuge im Hintergrund arbeiten.

Welche Arten von Kryptografie-Verfahren gibt es?

Für die eigentliche Ver- und Entschlüsselung nutzt Software vier grundlegende, mathematische Methoden:

  • Symmetrische Kryptografie: Hierbei wird derselbe geheime Schlüssel für das Ver- und Entschlüsseln verwendet. Da dieses Verfahren extrem schnell ist, eignet es sich ideal für den Schutz großer, ruhender Datenmengen (Data-at-Rest), wie dem sicheren Speichern von Personalakten (z. B. über den weltweiten Standard AES-256).
  • Asymmetrische Kryptografie: Dieses Verfahren arbeitet mit einem Schlüsselpaar; einem öffentlichen zum Verschlüsseln und einem privaten zum Entschlüsseln (Public-Key-System wie RSA). Da Daten nur von Besitzer*innen des privaten Schlüssels geöffnet werden können, ist dieses Verfahren die technische Basis für fälschungssichere digitale Signaturen.
  • Kryptografische Hash-Funktionen: Dieses Verfahren wandelt Daten (wie ein Passwort) dauerhaft in eine feste Zahlen- und Buchstabenkette (den Hashwert) um. Dieser Vorgang lässt sich nicht rückgängig machen. Da es keinen Schlüssel zum Entsperren gibt, eignet sich dieses Verfahren besonders für die sichere Passwortspeicherung: Beim Abgleich wird niemals das echte Passwort, sondern ausschließlich der Hashwert verglichen.

Das bedeutet im HR-Kontext: Selbst wenn unbefugte Dritte Zugriff auf einen Server erlangen, sind die Passwörter der Mitarbeitenden nicht im Klartext lesbar.

  • Hybride Kryptografie: Dieses Verfahren kombiniert die hohe Geschwindigkeit der symmetrischen mit der Sicherheit der asymmetrischen Methode. Beim Aufruf einer Website wird asymmetrisch ein Einmal-Schlüssel ausgetauscht, mit dem danach der restliche Datenstrom symmetrisch verschlüsselt wird (Standard über TLS Zertifikate; Unternehmen nutzen dies im Browser, oft ergänzt durch eine Ende-zu-Ende-Verschlüsselung für absolute Datensicherheit).

Was bedeuten „Data-at-Rest“ und „Data-in-Transit“ im HR-Alltag?

In der IT-Sicherheit unterscheidet man grundlegend zwei Zustände, in denen Personaldaten geschützt werden müssen:

  • Data-at-Rest (Ruhende Daten): Das sind alle Daten, die dauerhaft auf einem Medium gespeichert sind und gerade nicht aktiv bearbeitet werden. Im HR-Kontext betrifft das beispielsweise digitale Personalakten, eingescannte Arbeitsverträge oder ältere Gehaltsabrechnungen, die auf den Servern oder in der Cloud liegen.
  • Data-in-Transit (Übertragene Daten): Das sind Daten, die sich gerade in Bewegung befinden – also aktiv über ein Netzwerk gesendet werden. Typische HR-Beispiele sind das Abschicken einer digitalen Krankmeldung durch eine Angestellte über ihr Smartphone oder die Übermittlung der monatlichen Abrechnungsdaten vom HR-Team an die Buchhaltung.

Warum Kryptografie im Unternehmen Pflicht ist und was die NIS-2-Richtlinie von Unternehmen fordert

Grundsätzlich liegt es im existenziellen Eigeninteresse jedes Unternehmens, eine Datenpanne, den Diebstahl personenbezogener Daten oder den Verlust anderer vertraulicher Informationen aktiv zu verhindern. Gleiches gilt für die Abwehr gezielter Cyberangriffe, die beispielsweise die Serverarchitektur lahmlegen oder Systeme verschlüsseln können.

Darüber hinaus gibt es jedoch auch strenge gesetzliche Grundlagen, die Unternehmen zwingend dazu verpflichten, bestimmte kryptografische Verfahren anzuwenden:

  • Die DSGVO (Datenschutz-Grundverordnung): Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nach dem aktuellen Stand der Technik zu schützen. In Artikel 32 wird die Verschlüsselung explizit als eine der zentralen TOMs (technische Maßnahmen und organisatorische Maßnahmen) genannt, um die Vertraulichkeit und Sicherheit der Daten zu gewährleisten.
  • Die NIS-2-Richtlinie: Diese EU-weite Richtlinie hebt die Cybersicherheit in Europa auf ein völlig neues Niveau. Sie verpflichtet Unternehmen in kritischen und wichtigen Sektoren dazu, strenge Risikomanagement-Maßnahmen im Bereich der IT-Sicherheit umzusetzen. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Damit wurden die verschärften Pflichten direkt im deutschen BSI-Gesetz (BSIG) verankert. Das Gesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Wer die Vorgaben missachtet, riskiert Bußgelder von bis zu 10 Millionen Euro sowie eine persönliche Haftung der Geschäftsführung.. (Genauere Informationen hierzu finden Sie in unserem Artikel zum Thema NIS2-Richtlinie in Deutschland: Alles, was Sie wissen müssen).

Wann trat die NIS-2-Richtlinie in Kraft?

Das NIS2UmsuCG trat am 6. Dezember 2025 in Deutschland ohne Übergangsfrist in Kraft, was bedeutet, dass die verschärften Pflichten für betroffene Unternehmen ab diesem Datum sofort verbindlich galten.

Was fordert NIS-2 von Unternehmen konkret im Bereich Kryptografie?

Das deutsche Gesetz zur NIS-2-Umsetzung (§ 30 BSI-Gesetz) schreibt „Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung“ als verbindliche Maßnahme vor. Für Unternehmen bedeutet das konkret:

  • Richtlinien für Kryptografie: Unternehmen müssen klare, interne Vorgaben und Prozesse für den Einsatz von Verschlüsselungsverfahren definieren – und zwar sowohl für gespeicherte (Data-at-Rest) als auch für übertragene Daten (Data-in-Transit).

  • Sicherung der Lieferkette: Die Cybersicherheit darf nicht an der eigenen Unternehmenstür aufhören. Auch Dienstleister und Software-Partner (wie HR-Cloud-Plattformen) müssen nachweislich kryptografische Standards erfüllen.

  • Sichere Kommunikationskanäle: Die Nutzung von verschlüsselten Sprach-, Video- und Textkommunikationssystemen sowie gesicherten Datenübertragungswegen im Netzwerk ist Pflicht.

Welche Unternehmen sind betroffen und müssen kleine Unternehmen auch verschlüsseln?

Direkt von NIS-2 betroffen sind Unternehmen in kritischen Sektoren (z. B. Gesundheit, Energie) ab 50 Mitarbeitenden oder 10 Mio. € Umsatz.

Kleinere Firmen und KMU müssen dennoch zwingend verschlüsseln, und zwar wegen:

  • Der DSGVO: Der Schutz von Personaldaten (Gehälter, Akten) gilt ab dem ersten Mitarbeitenden. Artikel 32 DSGVO schreibt Verschlüsselung für jede Betriebsgröße vor.
  • Dem Lieferketten-Effekt: Große NIS-2-Konzerne müssen die IT-Sicherheit ihrer Partner prüfen.

Beispiel: Ein reguliertes Großkrankenhaus lagert das Recruiting an eine kleine HR-Agentur aus. Nutzt diese Agentur keine moderne Verschlüsselung, gilt sie als Sicherheitsrisiko und verliert den Großkund*innen, da das Krankenhaus gesetzlich nur noch geschützte Dienstleister in seiner digitalen Lieferkette erlauben darf.

Wie können Unternehmen die NIS-2-Vorgaben konkret umsetzen?

Die gesetzlichen Anforderungen lassen sich in der Unternehmenspraxis durch vier wesentliche Schritte gezielt umsetzen:

1. Ein verbindliches Kryptokonzept erstellen

NIS-2 verlangt von Unternehmen ein strukturiertes Risikomanagement. Die strategische Basis dafür ist ein internes Kryptokonzept. In diesem Dokument wird schriftlich definiert und festgehalten, wie Ihr Unternehmen sensible Daten schützt.

Doch wie erstellt man ein solches Konzept konkret? Es lässt sich in fünf praxisnahe Schritte unterteilen:

  • Schritt A: Dateninventur (Was muss geschützt werden?): Verschaffen Sie sich einen Überblick, wo im Unternehmen sensible Daten anfallen. Im HR-Bereich sind das beispielsweise Personalakten, Gehaltsstrukturen, Bankverbindungen oder Krankmeldungen.
  • Schritt B: Risikoanalyse: Anschließend wird bewertet, was passiert, wenn diese Daten unverschlüsselt gestohlen werden, also z.B. Identitätsdiebstahl bei Ausweisdaten. Je höher das Risiko, desto stärker muss die Verschlüsselung sein.
  • Schritt C: Festlegung der Krypto-Standards: Hier wird festgehalten, welche Verschlüsselungsverfahren im Alltag angewendet werden. Für ruhende Daten (wie Dokumente auf dem Server) wird normalerweise die symmetrische Kryptografie (Standard AES-256) genutzt. Für den sicheren Datenstrom im Internet (Aufruf von Webseiten) kommt standardmäßig die hybride Kryptografie via TLS/HTTPS zum Einsatz, während digitale Unterschriften auf der asymmetrischen Kryptografie basieren.
  • Schritt D: Regelung des Schlüsselmanagements: Legen Sie fest, wer Zugriff auf die Krypto-Schlüssel hat, wo diese sicher verwaltet werden und wie oft sie automatisch gewechselt werden müssen.
  • Schritt E: Dokumentation & Schulung: Schreiben Sie diese Regeln verständlich auf. Das Konzept dient bei einem NIS-2- oder DSGVO-Audit als offizieller Nachweis für die Behörden. Zudem müssen Mitarbeitende (z. B. im HR-Team) geschult werden, keine unverschlüsselten Wege (wie Standard-E-Mails) mehr für sensible Daten zu nutzen.

Tipp: Mit dem Lernmanagementsystem von Factorial lassen sich genau solche Schulungen einfach digital durchführen — inklusive Fortschrittsübersicht für alle Mitarbeitenden. Die Schulungen können dabei sowohl über den Desktop als auch über die Factorial App absolviert werden.

LMS product screen

2. Durchgehende Verschlüsselung implementieren

Auf Basis Ihres neu erstellten Kryptokonzepts müssen Sie sicherstellen, dass sensible Personaldaten sowohl auf den Speichermedien (Data-at-Rest) als auch bei der Übertragung über das Internet (Data-in-Transit) durchgehend verschlüsselt sind.

3. Die Software-Lieferkette auditieren

Bei der Auswahl von Cloud-Software muss vorab geprüft werden, ob der Anbieter die Vorgaben Ihres Kryptokonzepts und die höchsten Industriestandards erfüllt.

Ein Partner wie Factorial macht Ihnen dieses Audit leicht. Die HR-Plattform ist nach dem strengen internationalen Standard ISO/IEC 27001 zertifiziert. Sie verfügt außerdem über eine SOC 2-Prüfung. Das bedeutet, dass die Einhaltung kryptografischer Verfahren und strenger IT-Sicherheitskontrollen bereits unabhängig bestätigt wurde und Sie die digitale Lieferkette ohne Sicherheitsrisiko schließen können.

4. Zugriffskontrollen verschärfen

Verschlüsselung schützt Daten nur, wenn der Zugriff auf die Schlüssel streng reglementiert ist. Es braucht präzise, rollenbasierte Berechtigungskonzepte im System, damit nur autorisierte Personen Daten dechiffrieren können.

Was sind typische Schwachstellen in der Datenverschlüsselung?

Typische Schwachstellen in der Datenverschlüsselung betreffen weniger die konkreten technischen Details als vielmehr den Faktor Mensch und die Organisation innerhalb des Unternehmens. Das bedeutet konkret:

  • Schlechtes Schlüsselmanagement: Wenn Krypto-Schlüssel ungeschützt auf dem Server liegen, ist das wie ein Hausschlüssel unter der Fußmatte. Die stärkste Verschlüsselung nützt nichts, wenn der Schlüssel offen zugänglich ist.
  • Faktor Mensch (Phishing): Hacker knacken selten die Verschlüsselung direkt, sondern stehlen stattdessen Login-Daten von Mitarbeitenden, um sich legitimen Zugriff zu verschaffen. Das kann beispielsweise durch gefälschte E-Mails geschehen, die aussehen als kämen sie von der IT-Abteilung oder der Geschäftsführung und Mitarbeitende zur Eingabe ihrer Zugangsdaten verleiten.
  • Veraltete Protokolle: Ohne regelmäßige Software-Updates entstehen Sicherheitslücken in der Übertragungstechnik, z.B. durch den Einsatz veralteter TLS-Versionen, die moderne Angriffsmethoden nicht mehr abwehren können.

Was ist Krypto-Agilität und warum ist sie wichtig?

Genau hier kommt Krypto-Agilität ins Spiel. Sie bezeichnet die Fähigkeit einer Software, ein Verschlüsselungsverfahren sofort gegen ein neueres auszutauschen, ohne das gesamte System neu programmieren zu müssen. Das ist entscheidend, weil Algorithmen veralten, neue Angriffsmethoden entstehen und sich die Kryptografie mit Konzepten wie der Post-Quanten-Kryptografie kontinuierlich weiterentwickelt. Krypto-agile Software stellt sicher, dass veraltete Standards automatisch im Hintergrund ausgetauscht werden und Personaldaten dauerhaft geschützt bleiben.

Und genau das macht die HR-Software von Factorial für Sie.

Datenschutz Personalwesen: Wie schützt eine moderne HR-Software Personaldaten kryptografisch nach NIS-2?

Um die Vorgaben von NIS-2 und DSGVO zu erfüllen, müssen HR-Teams keine IT-Expert*innen sein. Eine All-in-One-Software wie Factorial integriert alle nötigen Mechanismen vollautomatisch im Hintergrund (Security by Design):

  • Sichere Personalakten (Data-at-Rest): Dokumente und Stammdaten werden auf den Servern standardmäßig mit dem Standard AES-256 verschlüsselt und sind selbst bei einem unbefugten Zugriff auf die Cloud-Infrastruktur für Angreifer*innen unlesbar.
  • Standortunabhängiger Schutz (Data-in-Transit): Jede Datenübertragung zwischen Endgerät und Cloud ist per TLS/HTTPS verschlüsselt. Egal ob im Firmenbüro, im Homeoffice oder unterwegs im öffentlichen WLAN: Passwörter, Verträge und Krankmeldungen fließen durch einen geschützten digitalen Tunnel und können von Dritten nicht abgefangen werden.
  • Fälschungssichere Verträge: Digitale Unterschriften werden über asymmetrische Krypto-Verfahren mathematisch versiegelt. Das verhindert nachträgliche Manipulationen und sichert die gesetzliche Nichtabstreitbarkeit.
  • Rollenbasierte Entschlüsselung: Daten werden nur dechiffriert, wenn das Nutzerprofil die exakte Berechtigung hat (z. B. HR-Admin). Ohne Rechte bleiben die Daten kryptografisch gesperrt.

Julia Lehmann
Julia Lehmann ist Schriftstellerin, Philosophin, Künstlerin und Übersetzerin. Seit über drei Jahren setzt sie sich intensiv mit aktuellen Entwicklungen im Bereich Human Resources und der Arbeitswelt auseinander. Mit ihrem interdisziplinären Hintergrund analysiert sie Themen wie Unternehmenskultur, Führung, Wandel in der Arbeitsorganisation und rechtliche Rahmenbedingungen – und liefert dabei Impulse, die sowohl in Fachkreisen als auch in der unternehmerischen Praxis Anklang finden.

Ähnliche Beiträge