Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Schlüsselverwaltung aus der Cloud

Der effektivste Weg, Datensicherheit zu gewährleisten, ist die Verschlüsselung und das richtige Schlüsselmanagement. Key-Management as a Service (KMaaS) ermöglicht es Unternehmen, Verschlüsselungsschlüssel über eine cloudbasierte Lösung zu verwalten, anstatt den Dienst auf physischer, lokaler Hardware auszuführen. Wie funktioniert KMaaS, welche Vorteile bietet es und welche Fehler sollte man bei der Implementierung.

Armin SimonAllgemein
Lesezeit 5 Min.

Genauso wie Wertsachen unter Verschluss zu halten sind, müssen Unternehmen ihre kryptografischen Schlüssel sicher aufbewahren, um sensible Daten zu schützen. Key-Management as a Service (KMaaS) sind cloudbasierte Lösungen, die Unternehmen bei dieser Aufgabe unterstützen, indem sie es ermöglichen, kryptografische Schlüssel und digitale Zertifikate über ein Dashboard zu erstellen, zu verwalten und zu kontrollieren.

Die Anbieter von KMaaS-Produkten versprechen eine einfachere, zentrale und automatisierte Schlüsselverwaltung sowie einen geringeren Verwaltungsaufwand. Darüber hinaus soll das Tool mehr Sicherheit durch bessere Kontrolle und eine nachhaltige Einhaltung von Compliance-Vorschriften bieten sowie für ein robustes Key-Lifecycle-Management der Schlüssel sorgen.

Bei einer KMaaS-Lösung hostet und verwaltet der Dienstanbieter die Infrastruktur für die Schlüsselverwaltung. Das Unternehmen übergibt sein Schlüsselmaterial an den Dienstanbieter, der die Schlüssel in seinem Namen speichert und betreut. Es lassen sich neue kryptografische Schlüssel erzeugen und alle Vorgänge des Lebenszyklusmanagements durchführen.

Die Verschlüsselungsschlüssel speichert der Anbieter für zusätzliche Sicherheit in der Regel in Hardware-Sicherheitsmodulen (HSM) und sie verlassen die KmaaS-Plattform nicht. Über die APIs können die Kunden die Schlüssel je nach Bedarf zur Ver- und Entschlüsselung der Daten in verschiedenen Umgebungen und Anwendungen nutzen. Während des gesamten Key-Lifecycle-Management-Prozesses bieten die KMaaS-Plattformen diverse Sicherheitsfunktionen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Schlüssel zu schützen, zum Beispiel Zugriffskontrollen, sichere Speicherung, Backup und Auditing.

Bestandteile

Eine typische cloudbasierte Architektur für KMaaS besteht aus mehreren Komponenten:

  • Benutzeroberfläche: Sie ermöglicht den Benutzern den Zugriff auf das Schlüsselverwaltungssystem und die Durchführung verschiedener Vorgänge wie die Erstellung von Schlüsseln, den Widerruf von Schlüsseln und die Verwaltung des Zugangs.
  • API-Gateway: Diese Komponente bietet eine sichere Schnittstelle zwischen der Benutzeroberfläche und dem Key-Management-System. Sie authentifiziert den Benutzer und stellt sicher, dass alle Anfrage vor dem Weiterleiten autorisiert sind.
  • Key-Management-System: Das ist die Kernkomponente von KMaaS, welche die Schlüssel verwaltet. Es generiert und speichert Schlüssel und führt Schlüsselrotation, Widerruf und andere Aufgaben zur Verwaltung des Lebenszyklus von Schlüsseln durch.
  • Cloud-Speicher: KMaaS stützt sich auf einen sicheren Cloud-Speicher, in der Regel unterstützt durch ein HSM, um Schlüssel sicher zu speichern und zu verwalten.
  • Authentifizierung und Autorisierung: Diese Komponente überprüft die Identität des Benutzers und stellt sicher, dass er über die erforderlichen Berechtigungen zur Durchführung der angeforderten Vorgänge verfügt.
  • Verschlüsselung: Die Schlüssel werden im Ruhezustand und bei der Übertragung verschlüsselt, um ihre Sicherheit zu gewährleisten. Eine KMaaS-Architektur ermöglicht somit eine hohe Skalierbarkeit der Plattform.

Management des Lebenszyklus von Schlüsseln

In einer KMaaS-Plattform wird das Lebenszyklusmanagement von Schlüsseln in der Regel automatisiert und zentral gesteuert: Mithilfe eines kryptografisch sicheren Zufallszahlengenerators wird für einen bestimmten Zweck oder Mitareiter ein neuer Schlüssel erzeugt und sicher im Schlüsselspeicher abgelegt. Benötigt ein Benutzer einen Schlüssel, ruft er ihn aus dem Schlüsselspeicher ab. Der Zugriff auf den Schlüssel wird durch Berechtigungen gesteuert, die sicherstellen, dass nur autorisierte User auf ihn zugreifen können.

Der so autorisierte Mitarbeiter verwendet den Schlüssel dann, um sensible Daten zu verschlüsseln oder zu entschlüsseln, Benutzer oder Geräte zu authentifizieren oder Dokumente digital zu signieren. Nach einem festgesetzten Nutzungszeitraum oder einer bestimmten Anzahl von Verwendungen zieht das System den Schlüssel aus dem Verkehr und ersetzt ihn durch einen neuen. Durch diese Rotation lassen sich die mit einer Schlüssel-Kompromittierung verbundenen Risiken minimieren. Ist ein Schlüssel kompromittiert, widerruft das System ihn und entfernt ihn aus Schlüsselspeicher. Das verhindert, dass Cyberkriminelle oder andere Akteure einen kompromittierten Schlüssel zum Verschlüsseln oder Entschlüsseln von Daten verwenden können.

Insgesamt besteht der Lebenszyklus eines kryptografischen Schlüssels in einem KMaaS aus sechs Phasen: Erzeugung, Speicherung, Abruf, Verwendung, Rotation und Widerruf.

Fehler vermeiden

Die Implementierung einer KMaaS-Lösung kann ein komplexer Prozess sein, und es gibt einige typische Fehler, die Unternehmen vermeiden sollten. Hier ein paar Beispiele:

  • Fehlende Detailtiefe bei der Auswahl: Für Unternehmen ist es wichtig, KMaaS-Anbieter sorgfältig zu bewerten, bevor sie sich für eine Lösung entscheiden. Dazu gehört die Bewertung der Sicherheits- und Compliance-Fähigkeiten des Anbieters ebenso wie die Beurteilung der finanziellen Stabilität und des Rufs des Anbieters auf dem Markt.
  • Mangelhafte Planung der Integration: Unternehmen sollten sicherstellen, dass sich ihre neue KMaaS-Lösung reibungslos in ihre bestehende IT-Infrastruktur integrieren lässt. Dazu gehört, dass die Lösung mit der vorhandenen Hard- und Software kompatibel ist und dass die erforderlichen Änderungen an den Geschäftsprozessen geplant werden.
  • Unklare Richtlinien und Verfahren zur Schlüsselverwaltung: Eine KMaaS-Lösung ist nur dann effektiv, wenn man sie in Verbindung mit gut etablierten und funktionierenden Key-Management-Policies und -verfahren einsetzt. Unternehmen sollten sicherstellen, dass sie klare Richtlinien und Verfahren für die Schlüsselverwaltung festgelegt haben und dass diese allen relevanten Interessengruppen wirksam mitgeteilt werden.
  • Vernachlässigung von Compliance-Anforderungen: Je nach Branche und Rechtsprechung gibt es möglicherweise spezifische Compliance-Anforderungen, die Unternehmen bei der Implementierung einer KMaaS-Lösung erfüllen müssen. Die Nichteinhaltung dieser Anforderungen kann zu rechtlichen und finanziellen Sanktionen führen.
  • Fehlende Schulung und Ausbildung: Unternehmen sollten die Mitarbeiterinnen und Mitarbeiter, die mit der KMaaS-Lösung arbeiten, schulen, damit diese sie effektiv und sicher nutzen können. Dazu gehören Schulungen zu bewährten Praktiken der Schlüsselverwaltung und zu allen spezifischen Funktionen der KMaaS-Lösung.

Fazit

Unternehmen müssen eine Vielzahl von Sicherheits- und Datenschutzbestimmungen einhalten, darunter die DSGVO, PCI DSS und NIS-2. Ein Key-Management-as-a-Service kann eine entscheidende Rolle in der Datensicherheitsstrategie eines Unternehmens spielen, da es eine sichere und zentralisierte Möglichkeit zur Verwaltung sämtlicher kryptografischer Schlüssel bietet. Mit den Cloud-Lösungen lässt sich sicherherstellen, dass die Schlüssel über den kompletten Life-Cycle ordnungsgemäß gespeichert, verwaltet und rotiert werden, wodurch das Risiko eines unbefugten Zugriffs oder Diebstahls geringer ist.

Armin Simon ist Regional Director Germany bei Thales

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.