Unternehmen automatisieren heute viele wichtige Geschäftsprozesse und Workflows mithilfe von Tools wie Robotic Process Automation (RPA) und seit Kurzem auch KI-Agenten und KI-Assistenten. Ähnlich wie menschliche Benutzer benötigen diese nichtmenschlichen Entitäten Zugangsdaten, die oft als „Geheimnisse“ bezeichnet werden, um auf Ressourcen zugreifen zu können.
Nichtmenschliche Benutzer benötigen zur Ausführung ihrer Aufgaben häufig erweiterte Berechtigungen. Ein automatisierter Backup-Prozess könnte zum Beispiel Zugriff auf vertrauliche Dateien und Systemeinstellungen haben.
Diese privilegierten nichtmenschlichen Konten sind hochwertige Ziele für Hacker, die ihre Zugriffsrechte missbrauchen können, um Daten zu stehlen und entscheidende Systeme zu beschädigen, während sie unerkannt bleiben. Tatsächlich ist das Hijacking gültiger Konten heutzutage der häufigste Cyberangriffsvektor, wie aus dem IBM X-Force Threat Intelligence Index hervorgeht. Diese Angriffe machen 30 % aller Vorfälle aus, auf die X-Force in letzter Zeit reagiert hat.
Secrets-Management-Systeme und -Prozesse ermöglichen es Unternehmen, die Geheimnisse zu schaffen, zu kontrollieren und zu sichern, die nichtmenschliche Entitäten für den Zugriff auf IT-Ressourcen verwenden. Durch den Einsatz von Secrets Management-Tools, um nichtmenschliche Anmeldedaten während ihres gesamten Lebenszyklus zu verwalten und zu schützen, können Unternehmen automatisierte Workflows optimieren und gleichzeitig Datenschutzverletzungen, Manipulation, Diebstahl und anderen unbefugten Zugriff verhindern.
Geheimnisse sind digitale Zugangsdaten, die in einer Anwendung oder einem Dienst enthalten sind und es nichtmenschlichen Benutzern ermöglichen, mit einem Dienst, einer Datenbank, einer Anwendung oder einer anderen IT-Ressourcen zu kommunizieren und Aktionen auszuführen. Geheimnisse helfen Unternehmen dabei, ihren Sicherheitsstatus zu stärken, indem sie sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten und Systeme haben.
Beispiele für Geheimnisse:
Mithilfe von Secrets-Management-Tools der Unternehmensklasse können Unternehmen den unbefugten Zugriff auf vertrauliche Daten und Systeme, wie etwa personenbezogene Daten (PII), sowie den Missbrauch dieser Daten und Systeme erkennen, verhindern und beheben. Unternehmen können das Risiko von Datenschutzverletzungen und Datendiebstahl reduzieren und so den Verlust wertvoller Daten, mögliche Bußgelder und Rufschädigung vermeiden.
Secrets Management ist eine der Säulen des Privileged Access Management (PAM), dem Teilbereich des Identity und Access Management (IAM), der sich auf den Schutz privilegierter Konten und Benutzer konzentriert.
Weitere 3 Säulen von PAM sind:
Secrets Management ist wichtig für die DevOps-Methodik, die den Schwerpunkt auf die automatisierte, kontinuierliche Softwarebereitstellung legt.
DevOps-Teams verwenden oft mehrere Konfigurations- oder Orchestrierungstools, um ganze digitale Ökosysteme, Workflows und Endgeräte zu verwalten. Die Tools verwenden häufig Automatisierung und Skripte, die zum Initiieren Zugriff auf Geheimnisse benötigen. Ohne einen Secrets-Management-Dienst der Unternehmensklasse kann die wahllose Verwendung von Geheimnissen die Anfälligkeit des Systems erhöhen.
Viele Unternehmen integrieren Funktionen zur Verwaltung von Geheimnissen in die Pipeline für kontinuierliche Integration und Continuous Delivery (CI/CD-Pipeline). Das trägt dazu bei, dass alle beweglichen Teile – Entwickler, Tools und automatisierte Prozesse – bei Bedarf sicheren Zugriff auf die benötigten sensiblen Systeme haben.
Secrets Management wird als Kernkomponente von DevSecOps betrachtet, eine Weiterentwicklung der DevOps-Methode, die Sicherheit während des gesamten DevOps-Lebenszyklus kontinuierlich integriert und automatisiert.
Der Prozess der Verwaltung von Geheimnissen stützt sich in der Regel auf Secrets-Management-Tools. Diese Tools, die auf lokalen Servern oder als Cloud-Services bereitgestellt werden können, können dabei helfen, die Erstellung, Nutzung, Rotation und den Schutz von Geheimnissen zu zentralisieren, zu automatisieren und zu optimieren.
Zu den gängigen Funktionen von Secrets-Management-Tools gehören:
Mit einem Secrets-Management-Service der Unternehmensklasse können Unternehmen mehrere Arten von Geheimnissen auf einer einzigen Oberfläche verwalten.
Anstatt einzelnen Benutzern die Verwaltung von Geheimnissen in kleinen Silos zu überlassen, können Secrets-Management-Lösungen Geheimnisse an einem sicheren, zentralen Ort, einem sogenannten „Geheimnistresor“, speichern.
Wenn ein autorisierter Benutzer Zugriff auf ein sensibles System benötigt, kann er das entsprechende Geheimnis aus dem Tresor abrufen. Das Secrets-Management-Tool kann Benutzer automatisch verifizieren, autorisieren und ihnen die Berechtigungen erteilen, die sie zum Ausführen ihrer Workflows benötigen.
Standardisierung kann dazu beitragen, Secrets Sprawl zu verhindern. Von Secrets Sprawl spricht man, wenn Geheimnisse an verschiedenen Orten im Unternehmen gespeichert sind, oft fest in Anwendungen codiert oder als Klartext in einem gemeinsam genutzten Dokument. Secrets Sprawl erschwert es, Geheimnisse vor böswilligen Akteuren zu schützen und zu verfolgen, wie Geheimnisse verwendet werden.
Geheimnisse, die in einem Secrets Manager erstellt werden, können entweder statisch oder dynamisch sein. Ein statisches Geheimnis bleibt für eine lange Zeit gültig, normalerweise bis es manuell geändert wird oder ein vorher festgelegtes Verfallsdatum erreicht.
Im Gegensatz dazu wird ein dynamisches Geheimnis vom Secrets Manager bei Bedarf in dem Moment erstellt, in dem es benötigt wird. Dynamische Geheimnisse verfallen schnell und können nur einmal verwendet werden.
Ein Anwendungsfall für ein dynamisches Geheimnis wäre der Schutz einer vertraulichen Ressource durch die dynamische Generierung von API-Schlüsseln bei jedem Lesen oder Zugreifen auf die Ressource. Dadurch wird sichergestellt, dass böswillige Akteure API-Schlüssel nicht stehlen und wiederverwenden können.
Viele Secrets Manager können auch die Rotation von Geheimnissen, also ihre regelmäßige Änderung, automatisieren. Die Rotation von Geheimnissen kann nach Plan oder bei Bedarf automatisiert werden, ohne dass Anwendungen neu bereitgestellt oder unterbrochen werden müssen. Bei der Erstellung eines Geheimnisses kann eine Time-to-Live (TTL) oder eine Lease-Dauer definiert werden, um die Zeitspanne zu verkürzen, in der das Geheimnis existiert.
Um den Zugriff zu organisieren und einzuschränken, können Geheimnisse nur bestimmten Entitäten oder Gruppen gewährt werden. Der Zugriff auf Geheimnisse wird häufig nach dem Prinzip der minimalen Rechtevergabe gewährt, d. h. jeder Prozess erhält nur die Rechte, die zur Ausführung einer Aufgabe erforderlich sind. Benutzer können nur auf die Geheimnisse zugreifen, die sie zum Ausführen ihrer autorisierten Aufgaben benötigen.
Viele Secrets Manager können nachverfolgen, wie Benutzer und Anwendungen mit Geheimnissen interagieren und diese verwenden, um sicherzustellen, dass mit Geheimnissen während ihrer Lebenszyklen angemessen umgegangen wird. Das ermöglicht dem Unternehmen eine End-to-End-Überwachung von Authentifizierungen und Autorisierungen in Echtzeit.
Secrets Manager können unbefugte Versuche, Geheimnisse einzusehen oder zu verwenden, schnell erkennen und den Zugriff darauf unterbinden und so Hacker, Insider Threats und andere böswillige Akteure stoppen.
Neben der Verwendung von Secrets-Management-Lösungen befolgen viele Unternehmen bei ihren Prozessen zur Verwaltung von Geheimnissen gängige Kernpraktiken:
Da IT-Ökosysteme immer komplexer werden, wird es immer schwieriger, das Secrets Management effektiv zu kontrollieren. Zu den häufigsten Herausforderungen bei der Verwaltung von Geheimnissen können gehören:
Dezentrale Ökosysteme, in denen Admins, Entwickler und Benutzer ihre Geheimnisse getrennt verwalten, können Risiken bergen, da Sicherheitslücken und die Verwendung von Geheimnissen möglicherweise nicht ordnungsgemäß überwacht oder geprüft werden.
Zentralisierte Secrets-Management-Lösungen können Unternehmen mehr Einblick in und Kontrolle über Geheimnisse bieten.
Wenn Passwörter oder andere Geheimnisse als Klartext in Quellcode oder Skripte eingebettet sind, können Angreifer sie leicht entdecken und für den Zugriff auf vertrauliche Informationen verwenden.
Fest codierte Geheimnisse können an vielen Stellen auftauchen, z. B. in CI/CD-Toolchains, auf Geräten für das Internet der Dinge (IoT), auf Container-Orchestrierungsplattformen wie Kubernetes, auf Anwendungsservern, bei Schwachstellen-Scannern und auf RPA-Plattformen (Robotic Process Automation).
Die regelmäßige Rotation von Geheimnissen kann dazu beitragen, Diebstahl und Missbrauch zu verhindern. Ohne ein Secrets-Management-System kann die Rotation jedoch inkonsistent oder ineffektiv sein. Wenn ein Geheimnis zu lange unverändert bleibt, kann ein Hacker es möglicherweise durch Raten oder einen Brute-Force-Angriff entschlüsseln.
Je länger ein Passwort verwendet wird, desto mehr Benutzer haben Zugriff und desto größer ist die Wahrscheinlichkeit eines Datenlecks.
Wachsende IT-Systeme können zu Secrets Sprawls führen, bei denen Geheimnisse über viele isolierte Teile des Systems verteilt sind. Ein Secrets Sprawl kann besonders in hybriden Multicloud-Ökosystemen besorgniserregend sein, in denen Unternehmen Public- und Private-Cloud-Umgebungen kombinieren, die von mehreren Cloud-Providern bereitgestellt werden.
Unternehmen verfügen möglicherweise über Tausende oder sogar Millionen von Geheimnissen in allen ihren cloudnative Anwendungen, Microservices, Containern und anderen IT-Ressourcen. Diese Verbreitung stellt eine enorme Sicherheitsbelastung dar und vergrößert die potenzielle Angriffsfläche.
Die Transparenz über verschiedene Dienste hinweg ist möglicherweise eingeschränkt und die Verwaltung geheimer Daten kann schnell unhandlich werden, wenn sie manuell oder über verteilte Systeme verfolgt wird. Das Fehlen eines zentralisierten Secrets-Management-Dienstes kann die Durchsetzung einer ordnungsgemäßen Secrets-Hygiene erschweren oder unmöglich machen.
Wenn ein Unternehmen kein Secrets-Management-System hat, werden Geheimnisse möglicherweise manuell weitergegeben – beispielsweise per E-Mail oder SMS. Das bedeutet, dass Bedrohungsakteure sie abfangen können.
Informieren Sie sich über die Geschäftswelt des Customer Identity und Access Management (CIAM) und die aktuellen Trends auf dem Markt.
Finden Sie heraus, wie Sie mit dem produktunabhängigen Ansatz von IBM zur Orchestrierung der Identitätsstruktur die Komplexität des Identitätsmanagement reduzieren können.
Erhalten Sie eine klare Definition der Identity Fabric und erfahren Sie, wie Identity Fabric kontinuierliche Kontrolle und Sichtbarkeit ermöglicht.
Die Kosten für Datenlecks haben einen neuen Höchststand erreicht. Erhalten Sie wichtige Erkenntnisse, die Ihren Sicherheits- und IT-Teams dabei helfen, Risiken besser zu managen und potenzielle Verluste zu begrenzen.
Bleiben Sie auf dem Laufenden über die neuesten Trends und Nachrichten zum Thema Identity und Access Management (IAM).