Was ist Secrets Management?

17. Dezember 2024

Autoren

James Holdsworth

Content Writer

Matthew Kosinski

Enterprise Technology Writer

Was ist Secrets Management?

Secrets Management ist der Schutz von Anmeldedaten – einschließlich Zertifikaten, Schlüsseln, Passwörtern und Tokens – für nichtmenschliche Benutzer wie Apps, Server und Workloads.

Unternehmen automatisieren heute viele wichtige Geschäftsprozesse und Workflows mithilfe von Tools wie Robotic Process Automation (RPA) und seit Kurzem auch KI-Agenten und KI-Assistenten. Ähnlich wie menschliche Benutzer benötigen diese nichtmenschlichen Entitäten Zugangsdaten, die oft als „Geheimnisse“ bezeichnet werden, um auf Ressourcen zugreifen zu können.

Nichtmenschliche Benutzer benötigen zur Ausführung ihrer Aufgaben häufig erweiterte Berechtigungen. Ein automatisierter Backup-Prozess könnte zum Beispiel Zugriff auf vertrauliche Dateien und Systemeinstellungen haben.

Diese privilegierten nichtmenschlichen Konten sind hochwertige Ziele für Hacker, die ihre Zugriffsrechte missbrauchen können, um Daten zu stehlen und entscheidende Systeme zu beschädigen, während sie unerkannt bleiben. Tatsächlich ist das Hijacking gültiger Konten heutzutage der häufigste Cyberangriffsvektor, wie aus dem IBM X-Force Threat Intelligence Index hervorgeht. Diese Angriffe machen 30 % aller Vorfälle aus, auf die X-Force in letzter Zeit reagiert hat.

Secrets-Management-Systeme und -Prozesse ermöglichen es Unternehmen, die Geheimnisse zu schaffen, zu kontrollieren und zu sichern, die nichtmenschliche Entitäten für den Zugriff auf IT-Ressourcen verwenden. Durch den Einsatz von Secrets Management-Tools, um nichtmenschliche Anmeldedaten während ihres gesamten Lebenszyklus zu verwalten und zu schützen, können Unternehmen automatisierte Workflows optimieren und gleichzeitig Datenschutzverletzungen, Manipulation, Diebstahl und anderen unbefugten Zugriff verhindern.

Was ist ein Geheimnis?

Geheimnisse sind digitale Zugangsdaten, die in einer Anwendung oder einem Dienst enthalten sind und es nichtmenschlichen Benutzern ermöglichen, mit einem Dienst, einer Datenbank, einer Anwendung oder einer anderen IT-Ressourcen zu kommunizieren und Aktionen auszuführen. Geheimnisse helfen Unternehmen dabei, ihren Sicherheitsstatus zu stärken, indem sie sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten und Systeme haben.

Beispiele für Geheimnisse:

  • Zugangsdaten für Service-Konten: Service-Konten ermöglichen es Apps und automatisierten Workflows, mit Betriebssystemen zu interagieren. Zu den Zugangsdaten von Service-Konten können Passwörter, Tokens, Kerberos-Tickets und andere Geheimnisse gehören.

  • API-Schlüssel: API-Schlüssel ermöglichen es Benutzern, Anwendungen und Diensten, sich gegenüber Anwendungsprogrammierschnittstellen (APIs) zu verifizieren.

  • Verschlüsselungsschlüssel: Verschlüsselungsschlüssel ermöglichen Benutzern das Verschlüsseln und Entschlüsseln von Daten.

  • Authentifizierungs- und Autorisierungstoken: Token, wie sie im OAuth-Protokoll verwendet werden, sind Informationen, die die Identität eines Benutzers überprüfen und die spezifischen Ressourcen bestimmen können, auf die er zugreifen kann.

  • SSH-Schlüssel (Secure Shell): SSH-Schlüssel werden von SSH-Servern verwendet, um einen Benutzer oder ein Gerät durch Public-Key-Kryptografie zu identifizieren.

  • SSL/TLS-Zertifikate: Diese digitalen Zertifikate können verwendet werden, um die private Kommunikation zwischen einem Server und einem Client mithilfe des SSL/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security) herzustellen.

  • Beliebige Geheimnisse: Hierbei handelt es sich um sensible Daten, einschließlich aller Arten strukturierter und unstrukturierter Daten, die für den Zugriff auf eine Anwendung oder Ressource verwendet werden können.

  • Weitere private Schlüssel: Hierzu können PKI-Zertifikate (Public Key Infrastructure), HMAC-Schlüssel (Hash-based Message Authentication Code) und Signaturschlüssel gehören.
Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz 


Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten. 


Warum Secrets Management wichtig ist

Mithilfe von Secrets-Management-Tools der Unternehmensklasse können Unternehmen den unbefugten Zugriff auf vertrauliche Daten und Systeme, wie etwa personenbezogene Daten (PII), sowie den Missbrauch dieser Daten und Systeme erkennen, verhindern und beheben. Unternehmen können das Risiko von Datenschutzverletzungen und Datendiebstahl reduzieren und so den Verlust wertvoller Daten, mögliche Bußgelder und Rufschädigung vermeiden.

Secrets Management ist eine der Säulen des Privileged Access Management (PAM), dem Teilbereich des Identity und Access Management (IAM), der sich auf den Schutz privilegierter Konten und Benutzer konzentriert.

Weitere 3 Säulen von PAM sind:

  • Privileged Account and Session Management (Verwaltung privilegierter Konten und Sitzungen, PASM) für die Verwaltung des Lebenszyklus von Konten, die Verwaltung von Passwörtern und die Überwachung von Sitzungen

  • Privilege Elevation and Delegation Management (Verwaltung von Berechtigungserweiterung und -delegation, PEDM) für das automatische Bewerten, Genehmigen und Ablehnen von Anfragen auf privilegierten Zugriff 

  • Cloud Infrastructure Entitlement Management (CIEM) zur Überwachung der IAM-Prozesse in Cloud-Computing-Umgebungen

Secrets Management ist wichtig für die DevOps-Methodik, die den Schwerpunkt auf die automatisierte, kontinuierliche Softwarebereitstellung legt.

DevOps-Teams verwenden oft mehrere Konfigurations- oder Orchestrierungstools, um ganze digitale Ökosysteme, Workflows und Endgeräte zu verwalten. Die Tools verwenden häufig Automatisierung und Skripte, die zum Initiieren Zugriff auf Geheimnisse benötigen. Ohne einen Secrets-Management-Dienst der Unternehmensklasse kann die wahllose Verwendung von Geheimnissen die Anfälligkeit des Systems erhöhen.

Viele Unternehmen integrieren Funktionen zur Verwaltung von Geheimnissen in die Pipeline für kontinuierliche Integration und Continuous Delivery (CI/CD-Pipeline). Das trägt dazu bei, dass alle beweglichen Teile – Entwickler, Tools und automatisierte Prozesse – bei Bedarf sicheren Zugriff auf die benötigten sensiblen Systeme haben.

Secrets Management wird als Kernkomponente von DevSecOps betrachtet, eine Weiterentwicklung der DevOps-Methode, die Sicherheit während des gesamten DevOps-Lebenszyklus kontinuierlich integriert und automatisiert.

Mixture of Experts | Podcast

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.

So funktioniert Secrets Management

Der Prozess der Verwaltung von Geheimnissen stützt sich in der Regel auf Secrets-Management-Tools. Diese Tools, die auf lokalen Servern oder als Cloud-Services bereitgestellt werden können, können dabei helfen, die Erstellung, Nutzung, Rotation und den Schutz von Geheimnissen zu zentralisieren, zu automatisieren und zu optimieren.

Zu den gängigen Funktionen von Secrets-Management-Tools gehören:

  • Zentralisiertes und standardisiertes Secrets Management
  • Dynamische Erstellung und automatische Rotation von Geheimnissen
  • Zugriffssteuerung
  • Aktivitätsüberwachung und -prüfung

Zentralisiertes und standardisiertes Secrets Management

Mit einem Secrets-Management-Service der Unternehmensklasse können Unternehmen mehrere Arten von Geheimnissen auf einer einzigen Oberfläche verwalten.

Anstatt einzelnen Benutzern die Verwaltung von Geheimnissen in kleinen Silos zu überlassen, können Secrets-Management-Lösungen Geheimnisse an einem sicheren, zentralen Ort, einem sogenannten „Geheimnistresor“, speichern.

Wenn ein autorisierter Benutzer Zugriff auf ein sensibles System benötigt, kann er das entsprechende Geheimnis aus dem Tresor abrufen. Das Secrets-Management-Tool kann Benutzer automatisch verifizieren, autorisieren und ihnen die Berechtigungen erteilen, die sie zum Ausführen ihrer Workflows benötigen.

Standardisierung kann dazu beitragen, Secrets Sprawl zu verhindern. Von Secrets Sprawl spricht man, wenn Geheimnisse an verschiedenen Orten im Unternehmen gespeichert sind, oft fest in Anwendungen codiert oder als Klartext in einem gemeinsam genutzten Dokument. Secrets Sprawl erschwert es, Geheimnisse vor böswilligen Akteuren zu schützen und zu verfolgen, wie Geheimnisse verwendet werden.  

Dynamische Erstellung und automatische Rotation von Geheimnissen

Geheimnisse, die in einem Secrets Manager erstellt werden, können entweder statisch oder dynamisch sein. Ein statisches Geheimnis bleibt für eine lange Zeit gültig, normalerweise bis es manuell geändert wird oder ein vorher festgelegtes Verfallsdatum erreicht.

Im Gegensatz dazu wird ein dynamisches Geheimnis vom Secrets Manager bei Bedarf in dem Moment erstellt, in dem es benötigt wird. Dynamische Geheimnisse verfallen schnell und können nur einmal verwendet werden.

Ein Anwendungsfall für ein dynamisches Geheimnis wäre der Schutz einer vertraulichen Ressource durch die dynamische Generierung von API-Schlüsseln bei jedem Lesen oder Zugreifen auf die Ressource. Dadurch wird sichergestellt, dass böswillige Akteure API-Schlüssel nicht stehlen und wiederverwenden können.

Viele Secrets Manager können auch die Rotation von Geheimnissen, also ihre regelmäßige Änderung, automatisieren. Die Rotation von Geheimnissen kann nach Plan oder bei Bedarf automatisiert werden, ohne dass Anwendungen neu bereitgestellt oder unterbrochen werden müssen. Bei der Erstellung eines Geheimnisses kann eine Time-to-Live (TTL) oder eine Lease-Dauer definiert werden, um die Zeitspanne zu verkürzen, in der das Geheimnis existiert.

Zugriffssteuerung

Um den Zugriff zu organisieren und einzuschränken, können Geheimnisse nur bestimmten Entitäten oder Gruppen gewährt werden. Der Zugriff auf Geheimnisse wird häufig nach dem Prinzip der minimalen Rechtevergabe gewährt, d. h. jeder Prozess erhält nur die Rechte, die zur Ausführung einer Aufgabe erforderlich sind. Benutzer können nur auf die Geheimnisse zugreifen, die sie zum Ausführen ihrer autorisierten Aufgaben benötigen.

Aktivitätsüberwachung und -prüfung

Viele Secrets Manager können nachverfolgen, wie Benutzer und Anwendungen mit Geheimnissen interagieren und diese verwenden, um sicherzustellen, dass mit Geheimnissen während ihrer Lebenszyklen angemessen umgegangen wird. Das ermöglicht dem Unternehmen eine End-to-End-Überwachung von Authentifizierungen und Autorisierungen in Echtzeit.

Secrets Manager können unbefugte Versuche, Geheimnisse einzusehen oder zu verwenden, schnell erkennen und den Zugriff darauf unterbinden und so Hacker, Insider Threats und andere böswillige Akteure stoppen. 

Gängige Secrets-Management-Praktiken

Neben der Verwendung von Secrets-Management-Lösungen befolgen viele Unternehmen bei ihren Prozessen zur Verwaltung von Geheimnissen gängige Kernpraktiken:

  • Geheimnisse werden in der Umgebung generiert und gespeichert, in der ein Service bereitgestellt wird, z. B. in Entwicklungs-, Test- und Produktionsumgebungen. Einige Unternehmen verwenden für jede Umgebung unterschiedliche Secrets-Management-Tools. Andere verwenden eine zentrale Lösung und isolieren die Geheimnisse jeder Umgebung in einem dediziert Segment. Die Geheimnisse verlassen niemals ihre Umgebung und werden durch strenge Maßnahmen zur Zugriffskontrolle gesichert.

  • Der Zugriff auf Geheimnisse wird auf dem Mindestniveau gewährt, das ein Benutzer zur Erfüllung seiner Aufgaben benötigt. Übermäßige Berechtigungen – ob beabsichtigt oder nicht – können zu Datenschutzverletzungen führen.

  • Geheimnisse werden regelmäßig entsprechend den Systemanforderungen rotiert.

  • Benutzer speichern keine Geheimnisse in Quellcode, Konfigurationsdateien oder Dokumentation.

  • Sicherheitsrichtlinien können verbessert werden, indem die Verschlüsselung aller sensiblen Daten vorgeschrieben wird. Die Verschlüsselungsschlüssel können mit einem Schlüsselverwaltungsdienst (KMS) geschützt werden.

  • Das Unternehmen überwacht die Geheimnisse kontinuierlich, wobei Audit-Protokolle jede Anfrage überwachen (wer hat nach dem Geheimnis gefragt, für welches System, war die Anfrage erfolgreich, wann wurde das Geheimnis verwendet, wann ist es abgelaufen und (wann) wurde das Geheimnis aktualisiert). Anomalien werden sofort untersucht. 

Herausforderungen des Secrets Management

Da IT-Ökosysteme immer komplexer werden, wird es immer schwieriger, das Secrets Management effektiv zu kontrollieren. Zu den häufigsten Herausforderungen bei der Verwaltung von Geheimnissen können gehören:

Dezentrales Secrets Management

Dezentrale Ökosysteme, in denen Admins, Entwickler und Benutzer ihre Geheimnisse getrennt verwalten, können Risiken bergen, da Sicherheitslücken und die Verwendung von Geheimnissen möglicherweise nicht ordnungsgemäß überwacht oder geprüft werden.

Zentralisierte Secrets-Management-Lösungen können Unternehmen mehr Einblick in und Kontrolle über Geheimnisse bieten.

Fest codierte Anmeldedaten

Wenn Passwörter oder andere Geheimnisse als Klartext in Quellcode oder Skripte eingebettet sind, können Angreifer sie leicht entdecken und für den Zugriff auf vertrauliche Informationen verwenden.

Fest codierte Geheimnisse können an vielen Stellen auftauchen, z. B. in CI/CD-Toolchains, auf Geräten für das Internet der Dinge (IoT), auf Container-Orchestrierungsplattformen wie Kubernetes, auf Anwendungsservern, bei Schwachstellen-Scannern und auf RPA-Plattformen (Robotic Process Automation).

Unregelmäßige Rotation 

Die regelmäßige Rotation von Geheimnissen kann dazu beitragen, Diebstahl und Missbrauch zu verhindern. Ohne ein Secrets-Management-System kann die Rotation jedoch inkonsistent oder ineffektiv sein. Wenn ein Geheimnis zu lange unverändert bleibt, kann ein Hacker es möglicherweise durch Raten oder einen Brute-Force-Angriff entschlüsseln.

Je länger ein Passwort verwendet wird, desto mehr Benutzer haben Zugriff und desto größer ist die Wahrscheinlichkeit eines Datenlecks.

Secrets Sprawl

Wachsende IT-Systeme können zu Secrets Sprawls führen, bei denen Geheimnisse über viele isolierte Teile des Systems verteilt sind. Ein Secrets Sprawl kann besonders in hybriden Multicloud-Ökosystemen besorgniserregend sein, in denen Unternehmen Public- und Private-Cloud-Umgebungen kombinieren, die von mehreren Cloud-Providern bereitgestellt werden.

Unternehmen verfügen möglicherweise über Tausende oder sogar Millionen von Geheimnissen in allen ihren cloudnative Anwendungen, Microservices, Containern und anderen IT-Ressourcen. Diese Verbreitung stellt eine enorme Sicherheitsbelastung dar und vergrößert die potenzielle Angriffsfläche.

Die Transparenz über verschiedene Dienste hinweg ist möglicherweise eingeschränkt und die Verwaltung geheimer Daten kann schnell unhandlich werden, wenn sie manuell oder über verteilte Systeme verfolgt wird. Das Fehlen eines zentralisierten Secrets-Management-Dienstes kann die Durchsetzung einer ordnungsgemäßen Secrets-Hygiene erschweren oder unmöglich machen.

Manuelles Teilen von Geheimnissen

Wenn ein Unternehmen kein Secrets-Management-System hat, werden Geheimnisse möglicherweise manuell weitergegeben – beispielsweise per E-Mail oder SMS. Das bedeutet, dass Bedrohungsakteure sie abfangen können. 

Weiterführende Lösungen
IBM Verify: IAM-Lösungen

Modernisieren Sie Identitäten und ergänzen Sie vorhandene Identitätstools, während Sie gleichzeitig einen sicheren, reibungslosen Zugriff für jede Identität auf KI, Apps und Ressourcen vor Ort, in der Cloud oder als SaaS bieten.

Verify entdecken
Sicherheitslösungen für Unternehmen

Entdecken Sie intelligente Sicherheitslösungen und -services und bereiten Sie Ihr Unternehmen schon heute auf die Cyber-Sicherheitsbedrohungen von morgen vor.

Cybersicherheitslösungen entdecken
Services für das Identity und Access Management (IAM)

Bringen Sie Ihr IAM-Programm für Mitarbeiter und Verbraucher auf Erfolgskurs mit den Fähigkeiten, der Strategie und der Unterstützung von Identitäts- und Sicherheitsexperten.

    IAM-Services erkunden
    Machen Sie den nächsten Schritt

    Entdecken Sie IBM Verify – eine führende IAM-Plattform, die KI-gestützte Funktionen zur Erfüllung der Anforderungen Ihrer Belegschaft und Kunden bietet. 

    Verify entdecken Entdecken Sie Verify Identity Protection