Was ist Bring Your Own Key (BYOK)?

By Matthew Kosinski and Gregg Lindemulder

Was ist BYOK?

Bring Your Own Key (BYOK) ist ein Managementansatz für Verschlüsselungen, bei dem Kunden eines Cloud-Service-Anbieters (CSP) ihre eigenen Verschlüsselungscodes erstellen und verwalten. In Cloud Computing Umgebungen bietet BYOK Unternehmen eine erhöhte Kontrolle über Datensicherheit, Transparenz und Compliance-Anforderungen.

Häufig kontrolliert ein Cloud-Service-Anbieter die Verschlüsselungscodes, die den Datenschutz für die in der Cloud gehosteten Assets eines Unternehmens gewährleisten. In einem BYOK-Modell kontrolliert das Unternehmen jedoch seine eigenen Verschlüsselungscodes, so dass keine externe Einheit ohne seine Genehmigung auf die Cloud-Daten zugreifen kann.

Verschlüsselungscodes verwandeln Klartext in unlesbaren Chiffretext, um sensible Daten vor unbefugtem Zugriff zu schützen. Sie können auch verschlüsselten Text in eine für autorisierte Benutzer lesbare Form zurückverwandeln.

BYOK hilft sicherzustellen, dass Verschlüsselungscodes gemäß den Sicherheitsrichtlinien eines Unternehmens verwaltet werden und mit Branchenstandards wie den NIST-Richtlinien und FIPS 140-2 übereinstimmen, unabhängig vom Cloud-Provider.

Die meisten großen Cloud-Provider – darunter IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) und Google Cloud – bieten ihren Kunden BYOK an.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Wie funktioniert BYOK?

BYOK verwendet in der Regel ein Verfahren namens „Envelope-Verschlüsselung“, bei dem eine Hierarchie von Codes zum Schutz der Daten eingesetzt wird. Diese Funktion wird vom Schlüsselverwaltungssystem (Key Management System, KMS) des Cloud-Providers verwaltet, welches einen sicheren Dienst darstellt, der Verschlüsselungscodes erstellt, speichert und den Zugriff darauf kontrolliert.

Dies sind die grundlegenden Schritte für BYOK.

Generieren eines Mastercodes

Der Kunde erzeugt einen Mastercode in seiner eigenen Umgebung, oft durch die Verwendung eines lokalen Hardware-Sicherheitsmoduls (HSM) zur Verbesserung der Sicherheit. Das HSM ist ein manipulationssicheres Gerät, das kryptografische Codes sicher erzeugt und speichert.

Übertragen des Codes

Mit einem vom Cloud-Provider bereitgestellten öffentlichen Code verschlüsselt der Kunde seinen Mastercode, um ihn während der Übertragung zu schützen. Der Mastercode wird dann über eine sichere Anwendungsprogrammierschnittstelle (API) in den Schlüsselverwaltungsdienst des Cloud-Providers importiert. Der Code wird meist im eigenen Hardware-Sicherheitsmodul des Cloud-Providers gespeichert.

Verschlüsseln der Kundendaten

Der Cloud-Provider generiert einen temporären, einmaligen Datenverschlüsselungscode (Data Encryption Key, DEK). Dieser Code wird verwendet, um die Daten des Kunden zu verschlüsseln. Der Mastercode des Kunden wird dann zur Verschlüsselung des DEK verwendet. Das Ergebnis ist ein verschlüsselter DEK (EDEK). Der EDEK wird zusammen mit den verschlüsselten Daten gespeichert, während der DEK aus dem Speicher verworfen wird.

Entschlüsseln der Daten

Wenn der Kunde auf die Daten zugreifen muss, wird der Prozess umgekehrt. Der Cloud-Provider ruft die verschlüsselten Daten und den EDEK ab. Der KMS des Cloud-Providers verwendet den Mastercode des Kunden, um den EDEK zu entschlüsseln und den DEK abzurufen. Anschließend wird der DEK verwendet, um die Daten zu entschlüsseln, damit der Kunde darauf zugreifen kann.

Beispiel: BYOK in Aktion

Stellen Sie sich einen Finanzdienstleister vor, der die Transaktionshistorie seiner Kunden, Kontodaten und andere sensible Datensätze in eine Public Cloud verschieben möchte. Aufgrund strenger Branchenvorschriften wie dem Payment Card Industry Data Security Standard (PCI DSS) kann er jedoch die Kontrolle über seine Verschlüsselung nicht an Dritte abtreten.

Mit BYOK kann das Unternehmen eigene Verschlüsselungscodes verwenden, um eine strenge Kontrolle über seine Daten zu behalten, obwohl diese auf der Infrastruktur des Cloud-Providers gespeichert sind. Da ein Angreifer keinen Zugriff auf den Hauptcode hätte, der zur Entschlüsselung der Daten benötigt wird, wird das Risiko einer Datenpanne minimiert. Das Unternehmen kann den Regulierungsbehörden außerdem nachweisen, dass es die volle Kontrolle über die Codes hat, die Kundendaten sichern.

Vorteile von BYOK

Datenschutz

Die Verschlüsselung von Daten ist ein zentrales Instrument zum Schutz sensibler Informationen, insbesondere von Informationen, die in der Cloud gespeichert und verarbeitet werden. Laut dem Data Breach Kostenreport von IBM können Unternehmen, die mit Verschlüsselung arbeiten, die finanziellen Auswirkungen einer Datenschutzverletzung um über 200.000 USD reduzieren.

BYOK verbessert den Datenschutz weiter, indem es Unternehmen die direkte Kontrolle über die Verschlüsselung gibt, die zum Schutz sensibler Daten in der Cloud verwendet wird. Diese Kontrolle reduziert das Risiko eines unbefugten Zugriffs auf verschlüsselte Daten, indem sie verhindert, dass Cloud-Provider oder Dritte die Daten entschlüsseln.

Viele Unternehmen nutzen BYOK, um sensible Kundendaten zu schützen, die in einer Software-as-a-Service-(SaaS)-Plattform wie Salesforce gespeichert sind.

Einhaltung von Vorschriften

Vorschriften wie der Health Insurance Portability and Accountability Act (HIPAA), die Datenschutz-Grundverordnung (DSGVO) und PCI DSS erfordern häufig eine strenge Kontrolle über Datenzugriff und Verschlüsselungspraktiken. Durch die Verwendung eigener Codes können Unternehmen sicherstellen, dass sie diese Standards einhalten und Prüfprotokolle für den Codezugriff und die Verwendung führen.

Gesundheitsdienstleister verwenden häufig BYOK bei der Verschlüsselung von Patientenakten, was ihnen hilft, die Einhaltung von HIPAA nachzuweisen, indem sichergestellt wird, dass nur autorisierte Parteien die Daten entschlüsseln können.

Verwaltung von Multicloud-Codes

In Multicloud- und Hybrid-Cloud-Umgebungen hilft BYOK Unternehmen, die Codeverwaltung plattformübergreifend zu zentralisieren und Konstanz und Kontrolle zu gewährleisten, ohne auf das eigene Codesystem jedes Cloud-Service angewiesen zu sein.

Ein Unternehmen, das beispielsweise AWS, Azure und Google Cloud nutzt, kann die Verschlüsselungscodes für alle Plattformen zentral verwalten, wodurch die Komplexität reduziert und die Sicherheitslage verbessert wird.

Gesteigertes Vertrauen

Für SaaS-Unternehmen und andere Anbieter sendet das Angebot von BYOK ein Signal an Kunden, dass sie Datenschutz und Eigentum ernst nehmen. Dieses Signal ist wichtig für Unternehmenskunden und regulierte Branchen, in denen Transparenz eine kritische Komponente der Sicherheit darstellt.

Laufende Aufgaben für BYOK

Da sich der Kunde im BYOK-Modell im Besitz des Mastercodes befindet, ist er für dessen gesamtes Lebenszyklusmanagement verantwortlich. Dieser Lebenszyklus umfasst eine Reihe von laufenden Aufgaben, die dazu beitragen, die Sicherheit und Integrität des Codes zu gewährleisten. Unternehmen automatisieren diese Aufgaben oft, um den operativen Aufwand zu reduzieren und das Risiko menschlichen Versagens zu minimieren.

Coderotation

Unternehmen ersetzen regelmäßig ihre Verschlüsselungscodes, um das Risiko von unbefugtem Zugriff, Offenlegung oder Diebstahl zu verringern. Die Beschränkung der Lebensdauer eines Schlüssels hilft dabei, die Cloud-Sicherheit zu verbessern.

Codesicherung

Die sichere Verwahrung von Mastercodes spielt eine wichtige Rolle, um Datenverluste zu vermeiden, falls der Originalcode verloren geht oder beschädigt wird. Ohne einen gültigen Mastercode können verschlüsselte Daten dauerhaft unzugänglich werden.

Prüfung

Die Überwachung der Codenutzung mithilfe von Audit-Logs hilft, unberechtigten Datenzugriff oder Missbrauch zu erkennen. Die Prüfung der Codeverwaltung hilft außerdem, die Einhaltung regulatorischer Anforderungen wie DSGVO und HIPAA zu überprüfen.

Wiederherstellungsplanung

Ein klarer, dokumentierter Plan hilft Unternehmen, sich auf Situationen wie das versehentliche Löschen eines Codes, Hardwareausfälle oder Cyberangriffe vorzubereiten. Da Cloud-Provider den Mastercode nicht wiederherstellen können, liegt es in der Verantwortung des Unternehmens, darauf vorbereitet zu sein.

BYOK im Vergleich zu HYOK

Bring Your Own Key (BYOK) und Hold Your Own Key (HYOK) geben Unternehmen jeweils mehr Kontrolle über die Verschlüsselung, unterscheiden sich aber darin, wie und wo die Codes verwaltet und gespeichert werden.

Bei BYOK erstellt und besitzt das Unternehmen die Verschlüsselungscodes, lädt sie aber in das Codeverwaltungssystem des Cloud-Providers hoch, um sie mit Cloud-Services zu verwenden.

Bei HYOK bewahrt das Unternehmen die Verschlüsselungscodes vollständig in seiner eigenen Umgebung auf und teilt sie nie mit dem Cloud-Provider. Diese Lösung bietet ein höheres Maß an Kontrolle und Datenschutz, ist aber komplexer zu verwalten und wird nicht von allen Cloud-Services unterstützt.

BYOK bietet praktischen Komfort und Kontrolle, während HYOK maximale Kontrolle, aber auch mehr Verantwortung mit sich bringt.

Autoren

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Ressourcen

Erfahren Sie, warum Kuppinger Cole IBM als führend einstuft

Der Bericht von KuppingerCole zu Datensicherheitsplattformen bietet Anleitungen und Empfehlungen dazu, wie Sie Produkte zum Schutz und zur Verwaltung vertraulicher Daten finden, die den Anforderungen Ihrer Kunden am besten entsprechen.
IBM® X-Force Threat Intelligence Index 2025

Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
The Total Economic Impact (TEI) of Guardium Data Protection

Entdecken Sie Nutzen und ROI von IBM Security Guardium Data Protection in dieser TEI-Studie von Forrester.
Gartner Market Guide for AI TRiSM

In diesem Gartner-Bericht erfahren Sie, wie Sie das gesamte KI-Inventar verwalten, die KI-Workloads mit Schutzmechanismen sichern, das Risiko reduzieren und den Governance-Prozess verwalten, um Vertrauen für alle KI-Anwendungsfälle in Ihrem Unternehmen zu erreichen.
Erweitern Sie Ihre Fähigkeiten mit kostenlosen Sicherheits-Tutorials

Befolgen Sie klare Schritte, um Aufgaben zu erledigen und zu lernen, wie Sie Technologien in Ihren Projekten effektiv einsetzen können.
Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist eine Disziplin der Cybersicherheit, die sich mit Benutzerzugriff und Ressourcenberechtigungen befasst.
Weiterführende Lösungen
Lösungen zu Datensicherheit und Datenschutz

Schützen Sie Ihre Daten in mehreren Umgebungen, erfüllen Sie Datenschutzauflagen und verringern Sie die Komplexität von Betriebsabläufen.

         Mehr über Datensicherheitslösungen
    IBM Guardium

    Entdecken Sie IBM Guardium, eine Datensicherheitssoftware-Reihe, die sensible On-Premises- und Cloud-Daten schützt.

     

             Entdecken Sie IBM Guardium
      Datensicherheitsservices

      IBM bietet umfassende Datensicherheitsservices zum Schutz von Unternehmensdaten, Anwendungen und KI.

             Mehr über Datensicherheitsservices
      Machen Sie den nächsten Schritt

      Schützen Sie die Daten Ihres Unternehmens über Hybrid Clouds hinweg und vereinfachen Sie Compliance-Anforderungen mit Datensicherheitslösungen.

             Mehr über Datensicherheitslösungen Buchen Sie eine Live-Demo