Kryptografisches Statusmanagement erklärt: Einblick in die CBOM-Sicherheitsplattform

Schnelle Antwort: Kryptografisches Sicherheitsmanagement umfasst die Ermittlung, Inventarisierung, Bewertung und Verwaltung aller kryptografischen Assets eines Unternehmens: Schlüssel, Zertifikate, Algorithmen und Protokolle. CBOM Secure implementiert dies durch automatisierte Erkennung in Cloud-Umgebungen, HSMs, Datenbanken, Verzeichnissen, Netzwerk-Endpunkten und Quellcode, eine deduplizierte Stückliste für Kryptografie, eine Risikobewertung von 0 bis 100, eine kontinuierliche Richtlinienprüfung gemäß NIST, FIPS 140-3, CNSA 2.0 und CMMC 2.0 sowie den CycloneDX-Export für revisionssichere Nachweise.

Die zentralen Thesen

• Das kryptografische Haltungsmanagement geht über die Zertifikatsverwaltung hinaus: Es inventarisiert Schlüssel, Algorithmen und Protokolle in Cloud-Systemen, HSMs, Datenbanken, Verzeichnissen und Quellcode.
• CBOM Secure Erkennt kryptografische Assets in Cloud-Key-Diensten, HSMs, Enterprise-Key-Managern, Datenbanken, Verzeichnissen, Netzwerk-Endpunkten und Quellcode.
• Alle Assets werden mittels SHA-256-Fingerabdruck mit öffentlichem Schlüssel dedupliziert, mit 0 bis 100 bewertet und kontinuierlich anhand der Compliance-Richtlinien überprüft.
• Die Plattform kennzeichnet automatisch quantenanfällige Kryptographie, wodurch die Post-Quanten-Migration von einer Vermutung zu einem konkreten Projekt wird.
• Die Exporte von Nachweisen erfolgen in CycloneDX, dem offenen Standard für Stücklisten, sodass die Bestandsdaten GRC-Plattformen, SIEMs und Auditoren ohne Anbieterbindung zur Verfügung stehen.

Was ist kryptografisches Haltungsmanagement?

Kryptografisches Statusmanagement umfasst die kontinuierliche Ermittlung, Inventarisierung, Risikobewertung und Richtliniensteuerung der kryptografischen Vermögenswerte einer Organisation. Zertifikatslebenszyklusverwaltung Während das Positionsmanagement eine Anlageklasse verfolgt, umfasst es alle: private und geheime Schlüssel, X.509-Zertifikate, die verwendeten Algorithmen, die Protokolle, die über die Leitungen verhandelt werden, und die Beziehungen zwischen ihnen.

Diese Kategorie existiert, weil Kryptografie mit Tabellenkalkulationen nicht mehr handhabbar wurde. Mittelständische Unternehmen speichern kryptografisches Material typischerweise in Cloud-Key-Diensten verschiedener Anbieter. Hardware-SicherheitsmoduleSie befinden sich in Datenbankverschlüsselungs-Wallets, in Active Directory, in Entwickler-Schlüsselringen und sind fest im Anwendungsquellcode codiert. Kein einzelnes Team hat Zugriff auf all diese Bereiche, und kein Zertifikats-Dashboard erfasst sie.

Drei Faktoren führten dazu, dass die Kategorie von einer wünschenswerten Zusatzfunktion zu einem festen Budgetposten wurde. Das NIST finalisierte seine ersten Post-Quanten-Kryptographiestandards, FIPS Die Standards 203, 204 und 205 wurden im August 2024 veröffentlicht, und die CNSA-2.0-Richtlinien der NSA gehen davon aus, dass bis 2030 eine vollständige Quantensicherheit erreicht sein wird. PCI DSS 4.0 erstellte eine Bestandsaufnahme kryptografischer Verfahren. Chiffresuiten und Protokolle sind eine ausdrückliche Anforderung (Anforderung 12.3.3), wobei die zukünftigen Anforderungen ab dem 31. März 2025 durchsetzbar sind. Und überall sind die Auditteams es leid, für jeden Bewertungszyklus das Inventar manuell neu aufzubauen.

Was ist eine kryptographische Stückliste (CBOM)?

A Stückliste für Kryptographie CBOM ist ein strukturiertes, maschinenlesbares Inventar aller kryptografischen Assets einer Umgebung, das dem Software-Stücklistenmodell nachempfunden ist. Ein vollständiges CBOM erfasst jeden Schlüssel mit seinem Algorithmus, seiner Größe und seinem Speicherort, jedes Zertifikat mit seinem Aussteller und Ablaufdatum, jedes Protokoll mit seinen ausgehandelten Versionen und Cipher Suites sowie die sie verbindenden Abhängigkeiten. CBOM Secure erstellt kontinuierlich ein solches Inventar und exportiert es in CycloneDX.

Wie ist CBOM Secure architektonisch aufgebaut?

CBOM Secure ist in fünf Plattformsäulen gegliedert. Sobald Sie diese kennen, wissen Sie, wo sich die einzelnen Funktionen befinden.

Discovery Management

Die Orchestrierungsschicht plant Erkennungsläufe, verwaltet Anmeldeinformationen pro Ziel und verknüpft Erkennungsabläufe, sodass die Ergebnisse eines Scans automatisch in den nächsten einfließen. Die Erkennung ist eine Pipeline, die Sie einmalig konfigurieren, kein Projekt, das Sie jedes Quartal manuell neu starten müssen.

Bestandsverwaltung:

Alle gefundenen Daten werden in einer einzigen, durchsuchbaren und deduplizierten CBOM-Datei gespeichert. Die Deduplizierung basiert auf den zum Zeitpunkt der Datenermittlung berechneten SHA-256-Fingerabdrücken der öffentlichen Schlüssel. Dadurch erkennt die Plattform, dass ein Schlüssel in der CBOM-Datei vorkommt. Azure Key VaultAuf einer Thales Luna HSM-Partition und in einer PEM-Datei auf einem Build-Server wird ein einzelner Schlüssel an drei Stellen wiederverwendet. Dies wird als Schlüsselwiederverwendungsbefund und nicht als drei unabhängige Assets gekennzeichnet.

Analyse-Engine

Die Analyseschicht wendet eine Risikobewertung von 0 bis 100 an, bewertet jedes Asset anhand der ausgewählten Compliance-Richtlinie und kennzeichnet quantenanfälliges Material. Die Schweregradregeln sind explizit. DES, RC4, MD5 und SHA-1 werden sofort erkannt, ebenso wie RSA-1024 und TLS Versionen 1.0 und 1.1. Die NIST-Post-Quanten-Familie (ML-KEM, ML-DSA, SLH-DSA und FN-DSA) wird als sicher eingestuft.

Identitätsmanagement

Diese Säule bietet rollenbasierte Zugriffskontrolle sowie native Trennung mehrerer Organisationen. Geschäftsbereiche, MSP-Kunden und Compliance-Teams arbeiten mit einer einzigen Bereitstellung, ohne die Bestände der jeweils anderen einzusehen. Dies ist wichtig für Shared-Services-Teams und bei M&A-Szenarien, in denen eine erworbene Umgebung zwar gescannt, aber getrennt gehalten werden muss.

Reporting

Das Reporting umfasst Dashboards mit 29 Widgets und 52 integrierten KPIs, Compliance-Nachweise auf Abruf, Benachrichtigungen per E-Mail und Microsoft Teams sowie den vollständigen Inventarexport in CycloneDX. Ein manipulationssicherer Prüfpfad protokolliert jede Asset-Änderung in einem kryptografisch verifizierbaren Log: was, wann und von wem geändert wurde.

Was genau entdeckt CBOM Secure?

Der Umfang der Erkennungsfunktionen ist der Bereich, in dem sich Posting-Management-Plattformen am meisten unterscheiden. Hier ist der Funktionsumfang, den CBOM Secure bietet.

Cloud-Schlüsseldienste

CBOM Secure verwaltet Schlüssel und Zertifikate in AWS, Azure und Google Cloud, einschließlich Cloud-Schlüsselverwaltung und -management. HSM Dienste, Erfassungsalgorithmus, Schlüssellänge, Schlüsselstatus und Rotationsmetadaten.

Hardware-Sicherheitsmodule und Token

CBOM Secure deckt das gesamte Hardware-Ökosystem ab, das Unternehmen tatsächlich nutzen, einschließlich Modulen und Token von Entrust, Thales, Utimaco, IBM, AWS, Azure, Google Cloud, Yubico, Nitrokey, Securosys und Marvell sowie Smartcards.

Das Material des privaten Schlüssels wird niemals gelesen oder verschoben.

Enterprise Key Manager über KMIP

CBOM Secure ist mit standardkonformen Enterprise-Key-Managern kompatibel, darunter Thales CipherTrust Manager, Entrust KeyControl, IBM Security Key Lifecycle Manager, Fortanix Data Security Manager, Utimaco ESKM, Oracle Key Vault, HashiCorp Vault und weitere kompatible Server. Objekte werden über ihren gesamten Lebenszyklus hinweg verfolgt, sodass das Inventar sowohl Zustandsänderungen als auch ihre Existenz widerspiegelt.

Datenbanken mit transparenter Datenverschlüsselung

CBOM Secure liest TDE-Metadaten aus SQL Server, Oracle Database, MySQL und MariaDB und erfasst die von Prüfern geforderten Informationen: Algorithmus, Schutzzertifikat, Fingerabdruck und Ablaufdatum. Es greift niemals auf Schlüsselmaterial zu.

Verzeichnisse und Windows-Infrastruktur

Die Abdeckung erstreckt sich über Active Directory über mehrere Gesamtstrukturen und Domänen hinweg, gängige LDAP-Verzeichnisse in Unternehmen und Windows-Zertifikatspeicher, sodass in Verzeichnissen gespeicherte Zertifikate und Schlüsselmaterialien im selben Inventar wie alles andere erscheinen.

Netzwerk-Endpunkte

CBOM Secure führt eine Live-TLS-Analyse auf jedem Endpunkt durch. Es kennzeichnet veraltete Protokollversionen, listet angebotene Cipher-Suites einschließlich Post-Quantum-Hybriden auf und protokolliert die vollständige X.509-Kette.

Quellcode, Dateien und Schlüsselringe

CBOM Secure analysiert die kryptografische Verwendung im Quellcode von sieben Programmiersprachen und kennzeichnet fest codierte Schlüssel als kritisch. Es unterstützt außerdem gängige Schlüssel- und Keystore-Dateiformate, GnuPG-Schlüsselringe und HashiCorp Vault und ist nativ in die Zertifikatslebenszyklusplattform CertSecure Manager integriert.

Wie wandelt eine Korrelation eine Liste in ein Inventar um?

Korrelation ist das, was den Bestand unter Druck nutzbar macht. CBOM Secure Links Zertifikate Es verfolgt, welche Dienste von welchen Ressourcen abhängen, erkennt die Wiederverwendung von Schlüsseln durch Fingerabdruckabgleich und trennt ruhende Kryptografie von Material im aktiven Produktiveinsatz. Der praktische Test ist die Reaktion auf Sicherheitsvorfälle: Wenn ein Zertifizierungsstelle Wenn ein System kompromittiert wird oder ein Algorithmus über Nacht veraltet ist, kann man das Inventar anhand der ausstellenden Berechtigung, des Algorithmus oder eines beliebigen Attributs abfragen und den Explosionsradius innerhalb von Minuten ablesen. Ohne Korrelation wird dieselbe Frage zu einem mehrtägigen archäologischen Projekt, das sich über mehrere Teams erstreckt.

Dasselbe Prinzip zahlt sich auch bei Fusionen und Übernahmen aus. Setzt man Discovery in der übernommenen Umgebung ein, erhält man innerhalb weniger Stunden ein vollständiges kryptografisches Inventar mit priorisierten Risikoanalysen – eine Due-Diligence-Prüfung, die auf Fakten und nicht auf den Tabellenkalkulationen des Verkäufers basiert.

Wie erzeugt Governance Prüfungsnachweise?

Governance in CBOM Secure bedeutet drei konkrete Mechanismen:

• Bewertung der Always-on-Richtlinie: Jedes Asset wird kontinuierlich anhand der ausgewählten Richtlinie geprüft, wobei die Ergebnisse als Bestanden/Nicht bestanden-Trends im Zeitverlauf visualisiert werden, sodass Sie den Compliance-Status von einem Dashboard ablesen können, anstatt ihn einmal im Jahr neu zu erstellen.
• Risikotransparenz: Kritikalitätsaufschlüsselung nach Kritisch, Hoch, Mittel, Niedrig und Sicher; Zertifikatsablaufintervalle von 30 und 180 Tagen; Anzahl der HSM-geschützten versus softwaregeschützten Schlüssel; und Gesamtzahlen der quantensicheren versus nicht quantensicheren Schlüssel, jeweils untermauert durch einen benannten KPI.
• Exportierbarer Nachweis: Der CycloneDX-Export und der manipulationssichere Prüfpfad liefern den Gutachtern aktuelle Nachweise und eine überprüfbare Historie in einem Paket.

Unser Ansatz	Was CBOM Secure beiträgt
NIST SP 800-131A	Flags für veraltete und auf den Übergang befindliche Algorithmen, einschließlich 3DES, SHA-1 und short RSA Schlüssel.
FIPS 140-3	Trennt HSM-geschützte von softwaregeschützten Schlüsseln, um die genehmigte Modulnutzung nachzuweisen.
CNSA 2.0	Kennzeichnet quantenanfällige Algorithmen und misst die quantensichere Einführung im Laufe der Zeit.
CMMC 2.0 (Stufen 2/3)	Liefert Dokumentation zur kryptografischen Kontrolle und zur Identifizierung von Schwachstellen.
PCI DSS 4.0 (Anforderung 4.2, 12.3)	Starke Indizien für Transportkryptographie und das erforderliche kryptographische Inventar.
NIST IR 8547	Alle quantenanfälligen asymmetrischen Kryptographieverfahren werden für die Migrationsplanung sichtbar gemacht.
FedRAMP / EO 14028	Kontinuierliche kryptografische Bestandsaufnahme gemäß den Modernisierungsvorgaben der Bundesregierung.
SOC 2 / ISO 27001 / DSGVO / HIPAA	Nachweis, dass Verschlüsselungssicherheitsvorkehrungen vorhanden, aktuell und den Richtlinien entsprechend sind.

Wie vergleicht sich CBOM Secure mit dem Zertifikatslebenszyklusmanagement?

Die beiden Kategorien ergänzen sich, und die meisten ausgereiften Programme nutzen beide. Kurz gesagt: CLM verwaltet den Lebenszyklus einer Anlageklasse, nämlich Zertifikate, sehr gut. Kryptografisches Sicherheitsmanagement erfasst alle Anlageklassen und die Beziehungen zwischen ihnen.

Versorgungsgebiet	Wie sich die beiden vergleichen lassen
Zertifikate auf Load Balancern und Endpunkten	Die CLM-Tools decken dies gut ab; CBOM Secure deckt sie ebenfalls über TLS und die Ermittlung des Zertifikatsspeichers ab.
Schlüssel in HSMs, KMIP-Servern und Cloud-KMS	Außerhalb des typischen CLM-Umfangs deckt CBOM Secure diese durch HSM, Schlüsselverwaltung und Cloud-Erkennung ab.
Algorithmen sind im Quellcode fest einprogrammiert.	Für CLM nicht sichtbar; CBOM Secure scannt Quellcode in sieben Sprachen.
Datenbank TDE-Schlüssel und Wallets	Für CLM nicht sichtbar; wird durch die Datenbank-TDE-Erkennung abgedeckt.
AD-residentes Schlüsselmaterial (NGC, gMSA, DPAPI)	Für CLM nicht sichtbar; wird durch die Active Directory-Erkennung abgedeckt.
Kennzeichnung aller Assets hinsichtlich Quanten-Schwachstellen	CLM sieht nur Zertifikate; CBOM Secure kennzeichnet Schlüssel, Zertifikate und Protokolle netzwerkweit.

CBOM Secure lässt sich außerdem nativ integrieren mit CertSecure Manager, dem eigenen Zertifikatslebenszyklusmanager von Encryption Consulting, sodass die Ergebnisse der Erkennung und die Vorgänge im Zertifikatslebenszyklus miteinander verbunden bleiben und nicht in separaten Konsolen stattfinden.

Wie wird CBOM Secure bereitgestellt?

Die Plattform lässt sich lokal, in der Cloud, hybrid oder als SaaS bereitstellen, einschließlich abgeschotteter Umgebungen. Die Datenerfassung erfolgt agentenlos in der Cloud. APIsKMIP-Server, Datenbanken, HSMs und TLS-Endpunkte sowie agentenbasierte Verfahren für Dateisysteme, Quellcode und Betriebssystem-Truststores werden unterstützt, wobei die Agenten sich über kurzlebige JWTs authentifizieren, die ausschließlich für Discovery-Schreibvorgänge gelten. Die meisten Produktionsumgebungen kombinieren beide Ansätze. Eine Plugin-Architektur fügt neue Discovery-Quellen als modulare Komponenten hinzu, sodass kundenspezifische oder proprietäre Infrastruktur ohne Änderungen an der Kernplattform integriert werden kann.

Häufig gestellte Fragen

Was ist kryptografisches Haltungsmanagement?

Die kontinuierliche Erkennung, Inventarisierung, Risikobewertung und Richtlinienverwaltung aller kryptografischen Assets einer Organisation: Schlüssel, Zertifikate, Algorithmen und Protokolle, über Infrastruktur und Code hinweg. Sie erweitert das Zertifikatsmanagement auf den gesamten kryptografischen Bestand.

Worin besteht der Unterschied zwischen einem CBOM und einem SBOM?

Ein SBOM (Software-Building Object Model) erfasst Softwarekomponenten und -versionen. Ein CBOM (Cryptographic Assets Model Model) erfasst kryptografische Assets und deren Beziehungen. Beide können in CycloneDX dargestellt werden, dem Format, das CBOM Secure exportiert.

Welche HSM-Anbieter werden von CBOM Secure unterstützt?

Jedes PKCS#11 v2.x-konforme Modul, mit getesteter Abdeckung einschließlich Entrust nCipher und nShield, Thales Luna, Utimaco SecurityServer, IBM 4767, 4768 und 4769, AWS CloudHSM, Azure Dedicated HSM, Yubico YubiHSM 2, Nitrokey HSM 2, Securosys Primus, Marvell LiquidSecurity und SoftHSM2.

Welche KMIP-Server werden abgedeckt?

Jeder Server, der KMIP 1.0 bis 2.1 spricht, einschließlich Thales CipherTrust Manager, Entrust KeyControl, IBM SKLM, Fortanix DSM, Utimaco ESKM, Oracle Key Vault und HashiCorp Vault im KMIP-Modus.

Kann CBOM Secure private Schlüsselmaterialien lesen?

Nein. HSM, Datenbank, Verzeichnis und Hardware-Token-Erkennung protokollieren lediglich Metadaten und Existenzeinträge. Private Schlüssel bleiben an ihrem ursprünglichen Speicherort.

Wie wird die Migration nach der Quantenbeschleunigung unterstützt?

Quantenanfällige Algorithmen werden automatisch in Schlüsseln, Zertifikaten, Protokollen und Quellcode gekennzeichnet. Integrierte KPIs zeigen die Anzahl quantensicherer und nicht quantensicherer Anwendungen an, sodass Sie die Akzeptanz anhand von CNSA 2.0 und NIST IR 8547 messen können, anstatt sie zu behaupten.

Was exportiert es?

Das vollständige Inventar in CycloneDX, plus Dashboards, KPI-Berichte und ein kryptografisch verifizierbarer Prüfpfad jeder Anlagenänderung.

Ersetzt es meinen Zertifikatsmanager?

Nein. Es ergänzt Tools für den Zertifikatslebenszyklus, indem es die Assetklassen abdeckt, die diese nicht abdecken, und es integriert sich nativ in CertSecure Manager.

Fazit

Das kryptografische Statusmanagement schließt die Lücke, die Zertifikats-Dashboards und Tabellenkalkulationen hinterlassen: ein vollständiges, kontinuierlich aktualisiertes Bild aller Schlüssel, Zertifikate, Algorithmen und Protokolle in der Umgebung. CBOM Secure liefert dieses Bild durch automatisierte Prozesse. Entdeckung, ein dedupliziertes CycloneDX-Inventar, eine Risikobewertung von 0 bis 100 und eine kontinuierliche Richtlinienbewertung anhand der von Prüfern tatsächlich zitierten Rahmenwerke. Ob der Treiber PCI DSS Ob es nun um die Inventarisierungsanforderungen von Android 4.0, den Zeitplan nach der Quantenabschaffung von CNSA 2.0 oder den nächsten Auditzyklus geht – die Arbeit beginnt damit, zu wissen, welche Kryptografie Sie einsetzen. CBOM Secure sorgt dafür, dass dieses Wissen kontinuierlich und nicht nur jährlich verfügbar ist.

Los geht´s

A proof of concept scopes fastest when you can name targets: which HSMs, which KMIP server, which databases, which repositories. Bring that list to a walkthrough, and we will show you what discovery returns. Contact Encryption Consulting at [E-Mail geschützt] oder besuchen Sie www.encryptionconsulting.com.