Sponsored

Secrets-Management – digitale Geheimnisse sicher aufbewahren

image

In einem Unternehmen gibt es zahlreiche Arten von digitalen Geheimnissen, sogenannte Secrets, die verwaltet und vor allem gesichert werden müssen.

Sämtliche privilegierten Konten, Applikationen, Datenbanken, Cloud-Plattformen, Automatisierungstools etc. benötigen für ihren Einsatz Zugriffs- oder Anmeldedaten. Diese Secrets sind damit nicht nur einer der grundlegendsten Bausteine der IT-Umgebung, sondern auch der Schlüssel für Cyberkriminelle, um an die wertvollsten Assets eines Unternehmens zu gelangen.
Für die IT-Abteilungen stellt die Handhabung dieser Secrets schon allein aufgrund ihrer Menge und der Verbreitung in den Unternehmenssystemen eine riesige Herausforderung dar. Nur mit einem koordinierten Prozess zur zentralen Verwaltung aller Arten von Geheimnissen – einem Secrets-Management – kann das gelingen.

Die Bezeichnung Secret

Unter dem in der PAM-Branche (Privileged Account Management) mittlerweile gängigen Begriff Secret fasst man alle Arten von digitalen Authentifizierungsnachweisen zusammen. Dazu zählen Benutzer-, Service-, Anwendungs- und Datenbankpasswörter, automatisch generierte sowie private Verschlüsselungsschlüssel, API-Keys, Anwendungsschlüssel, SSH-Keys, Autorisierungs-Token und private Zertifikate (z. B. TLS, SSL). Jeder Secret-Typ erfüllt dabei einen anderen bestimmten Zweck, sei es die Speicherung, Verarbeitung oder Übertragung von sensiblen Informationen oder die Gewährung des Zugriffs auf sensible, geschäftskritische IT-Ressourcen.
Grundsätzlich unterscheidet man dabei zwischen menschlichen Secrets und nicht-menschlichen Secrets, wobei letztere nicht nur deutlich häufiger im Unternehmensumfeld anzutreffen, sondern überdies auch deutlich schwieriger zu kontrollieren und schützen sind. Da sie nicht von Personen genutzt werden und ihre Aufgaben „unsichtbar“ erfüllen, werden sie selten überprüft und häufig schlecht abgesichert. Für Cyberkriminelle sind sie deshalb besonders attraktiv, da eine Kompromittierung oft lange Zeit unentdeckt bleibt und daher viel Potenzial für weitreichende Angriffe bietet.

Gegen Kontrollverlust hilft ein zentrales Secrets-Management

Der Einsatz moderner Anwendungen, egal ob in der Cloud oder On-Premises gehostet, hat den Bedarf an allen Arten von digitalen Secrets in den letzten Jahren stark erhöht. Vor allem die Zahl von sogenannten Application-to-Application-Secrets hat dabei deutlich zugenommen. Diese kommen zum Einsatz, um Daten zu verschlüsseln, wenn sie zwischen Anwendungen übertragen werden, z. B. beim Senden von Informationen von einer Webseite, beim Durchführen einer sicheren Anfrage an eine API, beim Zugriff auf eine Cloud-Datenbank oder in zahllosen anderen Fällen, die in modernen Unternehmen im Zuge der digitalen Transformation und der zunehmenden Automatisierung auftreten.
Doch je mehr Geheimnisse im Umlauf sind und in je mehr Zusammenhängen diese verwendet werden, desto schwieriger ist es, den Überblick zu behalten. Gleichzeitig wird es immer komplizierter, beständige Richtlinien für Secrets zu implementieren, je grösser, vielfältiger und komplexer die IT-Systeme eines Unternehmens werden. Die Folge ist eine unkontrollierte Ausbreitung von Secrets und ein Flickenteppich von Managementsystemen mit jeweils eigenen Richtlinien. Dies wiederum führt zu Kontrollverlust und vergrössert letztlich die Cyberangriffsfläche eines Unternehmens, da immer mehr Einstiegspunkte für Hacker auftauchen.
Um dem entgegenzuwirken, braucht es ein zentrales Secrets-Management, das eine konsequente Durchsetzung von Sicherheitsrichtlinien für den gesamten Lebenszyklus menschlicher und nicht-menschlicher Secrets ermöglicht.
Grundsätzlich versteht man unter Secrets-Management die konsequente Verwaltung und Absicherung von Secrets über sämtliche Schichten der Unternehmensinfrastruktur – d.h. Clouds, Code, Daten und Geräte – hinweg. Dazu gehört, Secrets sicher zu speichern, zu übertragen und zu überprüfen, um unbefugten Zugriff auf sensible Daten und Systeme und damit verbundene Datenschutzverletzungen, Daten- und Identitätsdiebstähle oder Manipulationen zu vermeiden.

Die Herausforderungen von Secrets-Management:

  • Die unberechtigte Weitergabe von Secrets an unautorisierte Benutzer
  • Eine Wieder- oder Mehrfachverwendung von Secrets, entweder aus Zweckmässigkeit oder weil Zugangsdaten fest codiert oder in Anwendungen und Systemen eingebettet sind
  • Eine unsachgemässe Speicherung, z. B. unverschlüsselte oder im Klartext gespeicherte Secrets
  • Das Vernachlässigen oder Ausbleiben regelmässiger Rotationen, etwa als Nebeneffekt von fest kodierten oder eingebetteten Secrets
  • Zeitlich unbegrenzte Secrets, die niemals ablaufen oder deaktiviert werden

Tipps für die effektive Verwaltung und Absicherung von Secrets

  • Identifizieren Sie sämtliche Secrets: Man kann nur managen, was man auch kennt. Deshalb ist der erste wichtige Schritt, sich einen umfassenden Überblick über alle im Unternehmen im Einsatz befindenden Secrets zu verschaffen. Hierfür eignen sich PAM-Lösungen, die Secrets automatisiert aufspüren und auch versteckte Authentifizierungsnachweise sichtbar machen. Anschliessend können Sie entsprechende Schutzmassnahmen umsetzen. Der Prozess der Identifizierung sollte dabei regelmässig durchgeführt werden, um neue oder abgelaufene Secrets sofort auf dem Radar zu haben.
  • Automatisieren Sie den Prozess der Secrets-Managements: Manuelles Verwalten ist nicht nur zeitaufwendig, sondern auch fehleranfällig. Setzen Sie bei Ihrem Secrets-Management daher auf Automatisierung. Eliminieren Sie hartkodierte und eingebettete Secrets und verlassen Sie sich auf Systeme, nicht auf Menschen. Dies gilt für das Erstellen von Secrets aber insbesondere für die regelmässige Rotation, für die Sicherheitsstandards wie etwa der PCI DSS einen Turnus von maximal 90 Tagen vorschreiben. Auch bei der Deaktivierung von Secrets ist Automatisierung sinnvoll. Sobald ein Mitarbeiter das Unternehmen verlässt oder anormales und potenziell schädliches Verhalten festgestellt wird, können die entsprechenden Accounts und Zugangsdaten automatisch gesperrt und eine Überprüfung veranlasst werden. Das Einschränken und Löschen nicht benötigter, abgelaufener oder kompromittierter Secrets ist eine wichtige Säule in der Cyberhygiene eines Unternehmens und auch in wichtigen Standards, so etwa in ISO 270001, vorgegeben.
  • Entwerfen Sie sinnvolle Secret-Policies und kontrollieren Sie deren Einhaltung: Definieren Sie umfassende Richtlinien zur Verwaltung von Geheimnissen. Diese sollten strikte Vorgaben für die Secret-Struktur festlegen (etwa Mindestlänge, Komplexität, verbotene Passwörter, Wiederverwendung, Gültigkeitsdauer etc.) und gleichzeitig die Verwendung von Standard- oder hartcodierten Secrets einschränken. Das Definieren ist jedoch nur der erste Schritt: Setzen Sie die erstellten Sicherheitsrichtlinien anschliessend auch konsequent durch und haben Sie dessen Einhaltung stets im Blick. Richten Sie eine Sitzungsüberwachung ein, die mögliche Verstösse unmittelbar sichtbar macht, und überprüfen Sie regelmässig die Audit-Protokolle.
  • Halten Sie Daten und Secrets getrennt: Nutzen Sie den „verteilten Charakter“ der heutigen Netzwerke zu Ihrem Vorteil. Anstatt die Verwaltung von Secrets und sensiblen Daten an einem Ort zu konzentrieren, sollten Sie diese stets getrennt halten.
Von Markus Mehnert (markus.mehnert@thycotic.com), Enterprise Sales Schweiz bei ThycoticCentrify und
Jens Albrecht (jens.albrecht@ingrammicro.com), Presales Cyber Security bei Ingram Micro Schweiz
Gerne stehen wir Ihnen für Ihrer Fragen zur Verfügung.

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022