Wie sensible Daten in jeder Phase korrekt gemanagt werden

API-Schlüssel, Zertifikate und andere digitale Identifikatoren - während die Nutzung von Cloud-Diensten zunimmt, hält auch die Menge an zu verwaltenden sensiblen Geheimnissen in Unternehmen, sogenannte Secrets mit dem Wachstum Schritt. Doch gerade weil diese Secrets so zahlreich wie auch allgegenwärtig sind, kann die Unternehmens-IT schnell den Überblick verlieren. Das Resultat dieser sogenannten Geheimnisspirale: erhebliche Sicherheitsrisiken. Wie Unternehmen solchen Risiken entgegenwirken können, erläuterten Netzmedien und Thales Cyber Security Products in einem gemeinsamen Webinar am 27. Februar. 

Daten schützen -  in jeder Phase ihres Lebenszyklus

Emanuel Prillwitz, Presales bei Thales Cyber Security Products, startete die Online-Veranstaltung mit dem Aufruf, die sensibelsten Daten stets zu schützen - und zwar in jeder ihrer Phasen: bei der Erstellung, während der Übertragung, im Ruhezustand wie auch bei der Nutzung. "Es geht darum, die Kontrolle und den Überblick über den gesamten Lebenszyklus der Daten zu behalten", sagte Prillwitz. Dies müsse immer der Hauptfokus sein in Sachen Datensicherung. Es gebe hierbei mehrere Möglichkeiten, den Lebenszyklus schützenswerter Daten im Auge zu behalten. Secrets Management bedeute nämlich, zu jedem Zeitpunkt die Kontrolle über die Daten zu haben. Hilfreich sei dabei eine Management-Plattform wie etwa der "Ciphertrust Manager" von Thales. Daten könnten auf einer solchen Plattform während ihres gesamten Lebenszyklus verwaltet, zu jeder Zeit eingesehen und gleichzeitig geschützt werden. 

Die Risiken unter der Oberfläche

"Was sollen wir denn genau schützen?" - eine Frage, die laut Prillwitz öfter gestellt wird, als einige vielleicht annehmen. Es gibt verschiedene Arten von Secrets, die es zu schützen gilt. Viele denken möglicherweise zunächst an Personen, welche die Daten nutzen. Der viel grössere Teil befinde sich jedoch unterhalb der Spitze des Eisberges: in den Microservices, den Maschinen, den Anwendungen usw. Somit sei der risikobehaftetere Teil die Automatisierung der Secrets. 

(Source: Screenshot / Webinar Netzmedien und Thales Cyber Security Products)

"Über was wir nachdenken sollten, ist die Maschine-zu-Maschine-Konnektivität, die eine massive Nutzung von Secrets fordert", sagte Prillwitz. Es brauche einen automatischen Prozess und einen einfachen Umgang mit den sensiblen Geheimnissen und deren Umgebungen.

Den unkontrollierten Datenzugriff kontrollieren

Das Risiko besteht laut Prillwitz aus der unkontrollierten Verbreitung von Zugangsdaten. Insbesondere steigere ein schwaches Secrets Management das Risiko von Sicherheitsvorfällen. Prillwitz rät deshalb, das Secrets Management zwar einfach zu halten, es aber zwingend so zu organisieren, dass es alle Risiken abdeckt. Es geht demnach darum, den unkontrollierten Datenzugriff mittels Secrets Management zu kontrollieren. Zudem sollte die Verwaltung von sensiblen Geheimnissen immer die Grundlage für SecDevOps sein, denn "wir sollten die Sicherheit erhöhen, indem wir Geheimnisse zentral verschlüsseln, geheim speichern und Lecks verhindern", ergänzte Prillwitz. Dabei zeigte er den Teilnehmenden die Vorteile eines Secrets Managers im Vergleich zu nicht gemanagten Secrets. Thales Cyber Security Products nutze auch ein "Secrets Management Dreieck", wie es das Unternehmen nennt. Dieses verdeutliche, dass Secrets Management nicht ohne Integration und Authentifizierung funktionieren kann. 

Die praktische Anwendung von Secrets Management 

Nach dem Theorieteil zum Thema Secrets Management gab Netser Heruty, Solutions Architect Team Lead bei Akeyless, den Webinar-Teilnehmenden einen Einblick in die praktische Anwendung des Secret Management Tools "Ciphertrust Manager" von Thales. Unter anderem zeigte er, wie Secrets Management genutzt werden kann, um "Just-in-Time-Nutzer" mit genau den richtigen Berechtigungen für ein Zielsystem zu erstellen - zum Beispiel für den Zugriff auf eine Datenbank. 

Unternehmen sollten laut Heruty zwei Hauptprinzipien befolgen: eine schlüssellose Authentifizierung und das Prinzip der minimalen Berechtigung. Unabhängig von der Art der Authentifizierung oder des Berechtigungsnachweises sollte der Zugriff auf die Plattform stets auf das notwendige Minimum beschränkt sein. "Wenn alle Geheimnisse an einem Ort gespeichert werden, aber nicht sorgfältig geregelt wird, wer Zugriff hat und welche Berechtigungen bestehen, kann dies ein grösseres Sicherheitsrisiko schaffen als zuvor", ergänzte Heruty zu einer anschliessenden Frage eines Webinar-Teilnehmenden hinsichtlich der Herausforderungen der zentralen Secrets-Verwaltung. Die Lösung liegt demnach in einer sauberen Implementierung, bei der darauf geachtet wird, dass jeder Anwender nur genau diejenigen Rechte erhält, die er wirklich benötigt. "Verteilen Sie niemals übermässig viele Admin-Rechte", empfahl Heruty den Teilnehmenden.

In der abschliessenden Fragerunde fragten die Teilnehmenden zudem nach Tipps und Best Practices bei der Integration eines Secrets-Management-Tools in Unternehmen mit bereits etablierten Arbeitsabläufen. Laut Heruty ist hierbei der Fakt zentral, dass solche Tools in der Regel API-gesteuert sind. "Wir versuchen, uns an die bisherige Arbeitsweise eines Unternehmens anzupassen, anstatt ihnen vorzuschreiben, wie sie arbeiten sollten", sagte er hinsichtlich des Tools von Thales Cyber Security Products.

Hier geht es zur vollständigen Videoaufzeichnung des Webinars.

Der Kenncode lautet: J4cfc@a5