Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Schlüsselverwaltung

Verschlüsselung ist einfach, Schlüsselverwaltung ist auch einfach?

Geschrieben vonHemant Bhatt 07 Minuten
kryptografische Infrastruktur für Unternehmen
Inhaltsverzeichnis

Um die optimale kryptografische Infrastruktur für Ihr Unternehmen zu schaffen, ist es wichtig, die Schlüsselverwaltung und ihre Bedeutung für Ihre allgemeine Sicherheitslage zu verstehen. Schlüssel und Zertifikate werden für viele verschiedene Aufgaben verwendet und sind für die Datensicherheit Ihres Unternehmens von entscheidender Bedeutung. Ihr Hardware-Sicherheitsmodul (HSM) ist wie der Motor eines Autos – es ist für leistungsstarke kryptografische Operationen ausgelegt. Die Schlüsselverwaltung ist wie der Rest des Autos – sie ist eine Kombination aus den Menschen, die sie bedienen, den Prozessen, die sie antreiben, und der Technologie, die sie antreibt.

Ich habe vor kurzem teilgenommen an Verschlüsselungsberatung2022 Virtual Conference, wo ich über Verschlüsselung, Schlüsselverwaltung und die Bewertung des Schlüsselverwaltungsreifegrads Ihres Unternehmens sprach. In diesem Artikel möchte ich einige der neuesten Trends, Technologien und Best Practices zusammenfassen, um Ihnen umsetzbare Informationen zur Schlüsselverwaltung zu liefern, die Sie in Ihrem Unternehmen anwenden können.

Der erste Schritt besteht darin, den Reifegrad Ihres Unternehmens im Bereich Schlüsselmanagement zu ermitteln. Entwerfen Sie anschließend ein schlüsselmanagementfreundliches Ökosystem und berücksichtigen Sie dabei Faktoren, die für Anwendungsentwickler wichtig sein können. Wir bei Futurex haben eine Schlüsselmanagement-Reifematrix entwickelt, die in dieser Hinsicht äußerst hilfreich ist und Unternehmen hilft, ihren eigenen Rang zu bestimmen. Die Reifematrix kann Lösungsanbietern auch dabei helfen, ihre Technologie optimal zu positionieren.

In der Key Management Maturity Matrix werden Unternehmen aufgefordert, sich mit den folgenden Fragen auseinanderzusetzen:

  • Wie werden Schlüssel gespeichert?
  • Wo werden Schlüssel indiziert?
  • Wie wird der Lebenszyklus aufrechterhalten?
  • Wie werden Prüfungen des Schlüsselmaterials durchgeführt?
  • Welche Fähigkeiten besitzen Sie, um Konzepte zur Krypto-Agilität umzusetzen?
  • Wie werden die Richtlinien für Schlüsselmaterial durchgesetzt?

Manchmal stellen Unternehmen fest, dass ihre Schlüsselmanagementstrategie chaotisch aussieht. Dennoch ist es sinnvoll, den genauen Rang des Unternehmens in der Matrix zu ermitteln und intensiv an der Verbesserung zu arbeiten. Allerdings ist das Modell „vollständig ausgereift, oben rechts im Diagramm“ nicht unbedingt für jeden das beste.

Wichtige Management-Reifegrad-Matrix-Ebenen

  • Kein Schlüsselverwaltungsmodell

    Dieses Modell wird typischerweise erst nach der Entwicklung einer Anwendung verwendet, wenn jemand erkennt, dass kryptografische Operationen mit Schlüsseln erforderlich sind. Diese Schlüssel werden oft auf den Workstations der Entwickler oder, noch schlimmer, im Softwarecode gespeichert. Das Modell „keine Schlüsselverwaltung“ ist ein schlechtes Beispiel und birgt erhebliche Risiken für Unternehmen. Es ist auch nicht ideal, da die Wahrscheinlichkeit, dass jemand Ihre Produkte verwendet, nahezu null ist. Wir haben festgestellt, dass mangelndes Bewusstsein der Hauptgrund dafür ist, dass manche Unternehmen dieses Modell verwenden. In der Regel verfügt ein Unternehmen mit einem so ausgereiften Schlüsselmanagement über ein IT-Team, dem das grundlegende Problembewusstsein fehlt. Aufklärung ist auf dieser Ebene sehr wichtig.

  • Anwendungsspezifisches Schlüsselverwaltungsmodell

    Anwendungen entwickeln entweder Tools oder implementieren anwendungsspezifische Tools von Drittanbietern. Bei diesem Reifegrad des Schlüsselmanagements können HSMs zur Sicherung von Schlüsselmaterial verwendet werden, die Schlüssel können jedoch softwarebasiert sein. Da dies von der Anwendung erzwungen wird, sind Benutzer von den Anwendungsfunktionen abhängig.

  • Semizentral verwaltetes Schlüsselverwaltungsmodell

    Bei diesem semizentral verwalteten Schlüsselverwaltungsmodell verfügt ein Unternehmen typischerweise über ein System zur zentralen Schlüsselverwaltung. Dabei können jedoch ein oder zwei Probleme auftreten. Zum einen ist das eingesetzte Tool möglicherweise nicht umfangreich genug, und das Unternehmen ist in der Anzahl der Anwendungen, die damit interagieren können, eingeschränkt. Zum anderen verfügt ein Unternehmen möglicherweise über ein ausgereiftes System mit einem umfangreichen Kompatibilitätsangebot, befindet sich aber noch in der Migrationsphase.

    In beiden Phasen erleben wir einen „Tal der Verzweiflung“-Effekt. Manchmal herrscht eine echte Diskrepanz zwischen den Architekten, die das System entwerfen, und dem Rest der Organisation. Man kann über die ganze Technologie der Welt verfügen, aber wenn die Implementierung zu komplex ist und der CFO einen Scheck mit sechs Nullen am Ende ausstellen muss, um den vollen Nutzen zu erkennen, ist die Wahrscheinlichkeit groß, dass die Technologie nichts bewirkt.

    Bei Futurex ist es unsere Aufgabe als Sicherheitsarchitekten und Technologiemanager, dies zu berücksichtigen. Es reicht nicht zu sagen: „Hier, ich habe einen Ferrari-Motor gebaut, jetzt überlegen Sie, wie Sie das Auto darum herum bauen.“

  • Hardwaregestütztes, zentral verwaltetes Schlüsselverwaltungsmodell

    Auf dieser Ebene des hardwaregestützten, zentral verwalteten Schlüsselverwaltungsmodells hat eine Organisation eine robuste, serviceorientierte Architektur für ihre kryptografische Infrastruktur implementiert.

Implementierungsservices für Schlüsselverwaltungslösungen

Wir bieten maßgeschneiderte Implementierungsdienste für Datenschutzlösungen, die auf die Anforderungen Ihres Unternehmens abgestimmt sind.

Mehr erfahren

Wo steht Ihre Organisation in der Key Management Maturity Matrix?

Es gibt mehrere Faktoren, die den Reifegrad des Schlüsselmanagements eines Unternehmens bestimmen:

  • Die Organisationskultur von oben nach unten, wenn es um Anwendungssicherheit und Kryptografie geht.
  • Regulatorische und Audit-Anforderungen.
  • Anwendungsanforderungen

Anwendungsanforderungen sind in der Regel der Haupttreiber, da Anwendungsentwickler kryptografische Schlüssel benötigen. Entwickler und Projektverantwortliche, die mit gängigen kryptografischen Angriffen und Schlüsselverwaltungsprinzipien vertraut sind, wenden sich häufig an das Sicherheitsteam, um die organisatorischen Richtlinien für die Schlüsselverwaltung zu besprechen. Mit zunehmenden Anforderungen wird der Bedarf an einem ausgereifteren Schlüsselverwaltungsmodell deutlich.

Wenn Unternehmen die Bedeutung einer zentral verwalteten Schlüsselverwaltungsinfrastruktur voll und ganz erkennen, stellt sich oft die Herausforderung, diese unternehmensweit einzusetzen. Nach dieser Erkenntnis wird ein Tool bereitgestellt und die Migration der Schlüsselverwaltungsaktivitäten in die neue Infrastruktur beginnt.

Zum BeispielWir haben Geldautomaten-Dienstleistern geholfen, die Schlüsselverwaltung von ihrer Transaktionsverarbeitungsinfrastruktur zu trennen, um die Sicherheit und Verwaltung ihres Schlüssellebenszyklus zu zentralisieren. Darüber hinaus gibt es viele weitere branchenübergreifende Beispiele, wie die Entwicklung von Automatisierungstools, die die Bereitstellung neuer Anwendungen erleichtern. Wir haben festgestellt, dass jedes Unternehmen mit dem richtigen Wissen und den richtigen Tools den Weg zu einer hardwaregestützten, zentral verwalteten Infrastruktur ebnen kann.

Es gibt verschiedene Best Practices, die die Schlüsselverwaltung vereinfachen. Eine der wichtigsten Anforderungen an Ihre Schlüsselverwaltungsinfrastruktur ist die unbedingte Nutzung robuster Hardware. Ohne dedizierte Hardware, die nach strengsten internationalen Compliance-Anforderungen wie PCI PTS HSM v3 und FIPS 140-3 Level 3 zertifiziert ist, können Sie Ihre Lösung nicht vollständig härten. Ihre Lösung muss außerdem alle Schlüsselverwaltungs-Anwendungsfälle Ihres Unternehmens unterstützen. Vermeiden Sie eine Fragmentierung Ihrer Schlüsselverwaltungsrichtlinien. Mit zunehmender Komplexität steigen die Kosten und die Sicherheit nimmt ab.

Mit dem falschen Tool können Ihre Zugriffskontrollrichtlinien schnell zu einem Drahtseilakt werden. Gestalten Sie sie daher ausreichend detailliert, ohne dass die Verwaltung zu aufwendig wird. Vor allem muss der Lebenszyklus Ihrer Schlüssel, der nicht nur von Unternehmen zu Unternehmen, sondern auch von Anwendungsfall zu Anwendungsfall unterschiedlich ist, korrekt umgesetzt werden. Sie benötigen „Krypto-Agilität“, um Ihre bestehende Infrastruktur mit minimalem Aufwand auf neue Projekte anwenden zu können.

Welche Anwendungsintegrationen sind für Ihr Unternehmen wichtig?

Anwendungsintegrationen mit Oracle TDE, Microsoft SQL TDE, VMWare vSphere, Apache Tomcat, Google Workspace und anderen benutzerdefinierten Datenschutzanwendungen sollten berücksichtigt werden, um zu bestimmen, was für Ihr Unternehmen sinnvoll ist. Der nächste Schritt besteht darin, einen Zeitplan für die Migration zu einer zentralisierten Schlüsselverwaltungsinfrastruktur zu entwickeln und die Reihenfolge festzulegen.

Sie möchten den Schlüsselverwaltungsserver konfigurieren, definieren, welche Endpunkte Zugriff auf das Schlüsselmaterial haben, definieren, wie dieser Zugriff gewährt wird (ob durch einen externen Identitätsanbieter oder neu generierte Anmeldeinformationen) und die Anwendung selbst konfigurieren.

Wie Sie sehen, lässt sich die Implementierung von Best Practices für das Schlüsselmanagement Ihres Unternehmens mit der fachkundigen Beratung und den Tools von Futurex deutlich vereinfachen. Wir freuen uns darauf, Sie und Ihr Unternehmen auf Ihrem Weg zum Schlüsselmanagement zu unterstützen.

Um mehr über die Schlüsselverwaltungslösungen von Futurex zu erfahren, besuchen Sie Schlüsselverwaltung

Entdecken Sie unsere

Verwandte Blogs

Alles über das Secure Copy Protocol (SCP)

Alles über das Secure Copy Protocol

7. April 2026
Sicherung von SSH-Schlüsseln mit HSMs

Sicherung von SSH-Schlüsseln mit HSMs

30. März 2026
Ihr ultimativer Leitfaden für die SSH-Schlüsselverwaltung in Multi-Cloud-Umgebungen

Ihr ultimativer Leitfaden für die SSH-Schlüsselverwaltung in Multi-Cloud-Umgebungen

27. März 2026

Entdecken

Weitere Themen