it-sa Spezial

Bestmögliche Sicherung von Verschlüsselungsschlüsseln

Mit den neuesten Sicherheitsherausforderungen Schritt zu halten, kann sich manchmal wie ein Rennen mit endlosen Hürden anfühlen.

Angefangen von rasanten technologischen Fortschritten, die einst moderne Hardware schnell veralten lassen, bis hin zu immer strengeren gesetzlichen Vorschriften – der Zeit- und Kostenaufwand kann schnell enorm werden.

Anzeige

Viele dieser Herausforderungen stehen im Zusammenhang mit der Migration von Rechen-, Speicher- und Sicherungsdiensten hin zur Cloud. Angenommen, Sie haben Ihre Datenbanken in die Cloud verlagert – haben Sie die Kontrolle über Ihre Verschlüsselungsschlüssel? Wissen Sie, wer eine Kopie hat oder auf eine Kopie zugreifen könnte?

Moderne Lösungen bieten Unternehmen verschiedene Möglichkeiten, ihre Verschlüsselungsschlüssel effektiv zu sichern. Die Schlüssel können sowohl in einem Hardware-Sicherheitsmodul (HSM) vor Ort gesichert werden, als auch über eine sichere Verbindung zu einem Cloud-basierten HSM mit einem HSM-as-a-Service (HSMaaS)-Modell.

Von On-Premises hin zur Cloud

Jahrelang war ein HSM vor Ort die bestmögliche und sicherste Praxis. Bedenken hinsichtlich der Sicherheit softwarebasierter Schlüsselspeicherung, der Trennung der Schlüssel und der Anforderungen an die Souveränität machten dies zur einzig praktikablen Option für sicherheitsbewusste Unternehmen. Im Laufe der Zeit kamen jedoch As-a-Service-HSM-Angebote auf den Markt, die ein vergleichbares Sicherheitsniveau wie vor Ort installierte HSMs boten – bei niedrigeren Kosten, größerer Flexibilität und schnellerer Implementierung.

Selbstverständlich möchten Unternehmen Zeit und Geld sparen. Daher ist die damit zusammenhängende Senkung der Verwaltungskosten für die IT oft das ausschlaggebende Kriterium für die Entscheidung, ein HSMaaS-Angebot zu abonnieren. Ebenso fallen die geringeren Ausgaben für die physische Infrastruktur ins Gewicht. Ein weiterer Vorteil ist die erhöhte Effizienz beim Einsatz von As-a-Service-Angeboten.

Der Fokus auf Zeitersparnis und Kostenreduzierung war bereits ein wichtiger Faktor für die Akzeptanz der Cloud. Mit dem Aufkommen von Cloud Services haben sich auch die Angebote im Bereich As-a-Service-HSM noch weiterentwickelt. Führende Cloud Service Provider bieten mittlerweile einen eigenen Ansatz zur Sicherung von Verschlüsselungsschlüsseln an. Diese sind oft bequem und kosteneffizient, entsprechen aber nicht immer den internen Sicherheitsanforderungen von Unternehmen – was die Wahl der optimalen Methode zur Speicherung von Verschlüsselungsschlüsseln noch komplexer macht.

Elaborierte HSMaaS-Lösungen wie Entrust nShield-as-a-Service sparen allerdings nicht nur Zeit und Geld, sondern können auch eine breite Unterstützung für eine große Palette von Anwendungen bieten. So nutzen die meisten Kunden ihre HSMaaS-Lösung für eine Vielzahl von Applikationen, sobald sie installiert wurde. Hierzu gehören insbesondere Public-Key-Infrastrukturen (PKI)sowie Datenverschlüsselung und -entschlüsselung. Aber auch digitale Signaturen sind ein häufiges Anwendungsszenario von HSMaaS. Dies unterstreicht die Ähnlichkeiten in der Funktionalität zwischen HSMs vor Ort und HSM-as-a-Service-Lösungen.

Wichtige Überlegungen bei der Auswahl von HSMs

Unbestritten sind Zeit- und Kostenersparnisse wichtige Kriterien, wenn es um die Auswahl einer optimalen HSM- oder HSMaaS-Lösung zur Speicherung von Verschlüsselungsschlüsseln geht. Allerdings sollten sie nicht die einzigen sein! Auch folgende Punkte sind von hoher Bedeutung:

  • Sicherheit: Unternehmenskunden sollten verstehen, wie ein bestimmtes HSMaaS-Angebot funktioniert. Teilen Sie das Cloud-basierte HSM mit anderen Benutzern oder ist es ausschließlich für Sie bestimmt? Dies wird oft als Single-Tenancy oder Multi-Tenancy bezeichnet. Sie müssen sicherstellen, dass Sie die richtige Lösung wählen, die Ihrem Risikoprofil und Ihren Anforderungen entspricht.
  • Souveränität der Schlüssel: Kann der HSMaaS-Anbieter garantieren, in welchem Land oder welcher Region Ihre Schlüssel physisch gespeichert werden? Werden die für Ihr Unternehmen geltenden Vorschriften einhalten?

Neben der Sicherung und der Kontrolle über die eigenen Schlüssel spielt auch deren Verwaltung eine große Rolle. Und auch hier lassen sich Zeit, Kosten – und Risiken! – mit der passenden Key-Management-Lösung erheblich reduzieren. Besonders sollte hier auf folgende Kriterien geachtet werden:

  • Integration und Kompatibilität der Schlüsselverwaltungssoftware mit anderen Anbietern: Lässt sie sich in andere Produkte und Dienste integrieren, die Ihr Unternehmen nutzt?
  • Einfaches und umfassendes Schlüsselmanagement für die gesamte Organisation: Bietet die Lösung die Möglichkeit, Schlüssel zu generieren, zu rotieren, zu verwerfen und einfach auf Informationen zuzugreifen, die während eines Audits benötigt werden?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Zeit- und Kostenersparungen sind nur die Basis

Der Bewertungsprozess unterschiedlicher HSMaaS- und Key-Management-Lösungen wird durch die Zusammenarbeit mit einem Unternehmen vereinfacht, das die ganzheitlichen Sicherheits- und Verschlüsselungsanforderungen eines Unternehmens versteht. Aber auch wenn die Kosten immer ein wichtiger Faktor sind, ist ein anderes Kriterium von größerer Bedeutung: Unternehmen sollten zu jeder Zeit die Kontrolle über ihre Schlüssel haben. Sie müssen sorgfältig prüfen, wo ihre Schlüssel gespeichert werden, um die Anforderungen an die Schlüsselsouveränität zu erfüllen. In diesem Zusammenhang spielen auch die verfügbaren Integrationsmöglichkeiten und Schlüsselverwaltungsfunktionen eine wichtige Rolle. Die richtigen Schlüssel müssen an den richtigen Orten gespeichert werden – und zwar mit einer Lösung, welche die insgesamte Sicherheit eines Unternehmens deutlich erhöhen kann.

it-sa Expo&Congress
Besuchen Sie uns in Halle 7-410

Peter

Lupsic

Senior Territory Manager DACH

Entrust Data Protection Solutions

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.