Security & Compliance in modernen IT-Infrastrukturen

Secrets Management: Warum es an Bedeutung gewinnt

Quelle: OAK Software

Cloud-Plattformen, Kubernetes-Umgebungen und APIs erzeugen eine stetig wachsende Zahl von Zugriffspunkten für Anwendungen und Services. Die sichere Verwaltung der dafür notwendigen Secrets entwickelt sich zu einer zentralen Aufgabe für IT-Sicherheit und Compliance.

Welche Herausforderungen daraus entstehen und wie Unternehmen darauf reagieren können, erläutert Dr. Dirk Däberitz, Management Consultant bei OAK Software.

Anzeige

Ein typisches Beispiel aus der Beratungspraxis: Ein mittelständisches Unternehmen aus dem Maschinenbauwesen verwaltet sensible Konstruktionsdaten über einen US-amerikanischen Cloud-Anbieter. Die Verantwortung für Datenschutz, Datensicherheit und Compliance verbleibt jedoch beim Unternehmen. Wer kontrolliert unter diesen Voraussetzungen die Zugangsinformation und damit den Zugriff auf die verschlüsselten Daten?

Diese Kundenaufgabe zeigt, dass sich die Art, wie Unternehmen ihre IT betreiben, grundlegend geändert hat. Anwendungen laufen längst nicht mehr isoliert auf einzelnen Servern, sondern bewegen sich in hochgradig vernetzten Cloud- und Container-Umgebungen. Für die Kommunikation untereinander benötigen sie Anmeldedaten, die Secrets.

Der übersehene Aspekt vieler Security-Strategien

Zu Secrets gehören Zertifikate, kryptografische Schlüssel, Passwörter, Tokens und API-Keys. Sie werden von Applikationen dazu genutzt, sich bei Systemen und Diensten zu authentifizieren und auf Unternehmensressourcen zuzugreifen.

Anzeige

Entsprechend sind Secrets ein attraktives Ziel für Cyberangriffe, ermöglichen sie doch den direkten Zugriff auf IT-Anwendungen, um Daten zu stehlen oder kritische Systeme zu schädigen. Klassische Sicherheitsmechanismen schützen solche illegalen Zugriffe häufig nicht, sodass kompromittierte Secrets lange unbemerkt bleiben können.

Abhilfe schaffen Secrets Management-Lösungen, die Zugangsdaten über ihren gesamten Lebenszyklus hinweg verwalten und schützen.

Compliance erhöht den Handlungsdruck

Neben den Sicherheitsaspekten gewinnen regulatorische Anforderungen an Bedeutung.

Vorgaben aus der KRITIS, der NIS2-Richtlinie oder DORA verlangen nachvollziehbare Sicherheitsmaßnahmen und dokumentierte Zugriffskontrollen. Unternehmen müssen heute zunehmend nachweisen können, wer wann auf sensible Daten oder Systeme zugegriffen hat.

Auch Auditoren erwarten Transparenz bei der Verwaltung von Berechtigungen, Zertifikaten und kryptografischen Schlüsseln. Im Unternehmen an verschiedenen Orten verteilte Zugangsdaten und fehlende Protokollierung erschweren diese Nachweise erheblich.

Secrets Management entwickelt sich deshalb zunehmend zu einem zentralen Bestandteil von Governance- und Compliance-Strategien.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Warum bisherige Verfahren an Grenzen stoßen

Viele Unternehmen begegnen diesen Anforderungen noch mit klassischen Mitteln. Einzelne Passwortrichtlinien werden definiert, Tabellen dokumentieren Zertifikate, manuelle Prozesse sorgen für die Rotation von Zugangsdaten.

In dynamischen IT-Landschaften reichen solche Verfahren jedoch oft nicht mehr aus. Container werden innerhalb weniger Sekunden bereitgestellt, neue APIs entstehen laufend, Anwendungslandschaften skalieren vollautomatisch und Zertifikate besitzen manchmal Laufzeiten von nur wenigen Sekunden. Der damit verbundene Verwaltungsaufwand steigt kontinuierlich, während gleichzeitig die Gefahr von Fehlern und Sicherheitslücken zunimmt.

Zentrales Secrets Management als Lösungsansatz

Ein zeitgemäßer Ansatz verfolgt das Ziel, sämtliche Secrets zentral zu verwalten und deren Nutzung kontrollierbar zu machen.

Dazu gehört die automatisierte Bereitstellung von Zugangsdaten in Anwendungen, Containern oder Servern. Ebenso wichtig sind nachvollziehbare Audit-Logs, klar definierte Berechtigungen und die regelmäßige Rotation von Secrets.

Die Komponenten erhalten ausschließlich die Zugangsdaten, die sie für ihre jeweilige Aufgabe benötigen. Die Nutzung von Secrets wird protokolliert. Sicherheitsverantwortliche erhalten eine zentrale Sicht auf den gesamten Lebenszyklus von Zertifikaten, Tokens und Schlüsseln.

Dadurch lassen sich sowohl Sicherheitsanforderungen als auch regulatorische Vorgaben deutlich einfacher umsetzen.

Von der Technologie zur Umsetzung

Für die technische Umsetzung stehen spezialisierte Plattformen wie IBM Vault zur Verfügung. Sie ermöglichen die zentrale Verwaltung von Zugangsdaten, Zertifikaten und Verschlüsselungsinformationen. Darüber hinaus unterstützen sie die automatisierte Bereitstellung, Rotation und Protokollierung von Secrets.

Für den produktiven Einsatz reicht die Technologie allein jedoch nicht aus. Die Unternehmen müssen explizit definieren, welche Zugangsdaten besonders schutzbedürftig sind, wie Berechtigungen gesteuert werden und welche Compliance-Vorgaben einzuhalten sind.

An dieser Stelle kommen spezialisierte Integrations- und Beratungspartner ins Spiel. Sie unterstützen Unternehmen bei der Entwicklung einer langfristig tragfähigen Secrets Management-Strategie und begleiten die Integration in bestehende IT- und Cloud-Umgebungen.

Kontrolle über sensible Konstruktionsdaten

Unsere Antwort auf die am Anfang beschriebene Kundenaufgabe bestand in der Implementierung einer Double-Key-Encryption-Lösung. Die Daten werden dabei mit zwei unabhängigen Schlüsseln verschlüsselt. Ein Schlüssel liegt beim Cloud-Anbieter. Der zweite Schlüssel wird ausschließlich beim Unternehmen verwahrt.

Die zentrale Verwaltung erfolgt über IBM Vault. Dadurch kann der US-amerikanische Cloud-Anbieter die Daten technisch nicht entschlüsseln. Das gilt auch für behördliche Anfragen aus Drittstaaten.

Das Unternehmen behält die Kontrolle über seine sensiblen Entwicklungsdaten. Datenschutz- und Compliance-Anforderungen sind damit technisch abgesichert und nachvollziehbar umgesetzt.

Fazit

Secrets sind längst zu kritischen Bestandteilen moderner IT-Infrastrukturen geworden. Ihre sichere Verwaltung und ihr zuverlässiger Schutz entscheidet darüber, wie widerstandsfähig, transparent und regelkonform die Unternehmens-IT ist. Secrets Management gehört deshalb auf die Agenda jedes Security- und Compliance-Verantwortlichen.

Dirk Dr.

Däberitz

Management Consultant

OAK Software

Dr. Dirk Däberitz verfügt über mehr als 25 Jahre Erfahrung als Management Consultant, Risiko-Manager, IT-Projektmanager sowie Software- und Security-Architekt. Sein Schwerpunkt liegt auf der Planung und Umsetzung komplexer Projekte in verteilten und heterogenen Anwendungslandschaften.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.