So verwalten Sie Verschlüsselungsschlüssel

Verschlüsselungsschlüssel sind alphanumerische Codes oder Zeichenfolgen, die zusammen mit einem Algorithmus oder einem mathematischen Verfahren verwendet werden, um Klartextdaten, die von jedermann gelesen werden können, in verschlüsselten Geheimtext umzuwandeln, der nicht lesbar ist, solange er nicht entschlüsselt wird. Verschlüsselungsschlüssel werden zum Schutz privater und sensibler Daten bei der Speicherung, der Übertragung und der Nutzung verwendet. Verschlüsselte Daten oder Geheimtext können nur gelesen werden, wenn sie mit dem zugehörigen Entschlüsselungsschlüssel entschlüsselt werden.

Verschlüsselungsschlüssel können symmetrisch oder asymmetrisch sein. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel verwendet, um die Daten zu verschlüsseln und wieder in lesbaren Text zu entschlüsseln. Bei der Verwendung asymmetrischer Schlüssel werden die Klartextdaten mit einem öffentlich freigegebenen Schlüssel (öffentlicher Schlüssel) verschlüsselt und mit einem anderen Schlüssel, der niemals freigegeben wird und privat bleibt (privater Schlüssel), entschlüsselt. Unabhängig davon, ob eine symmetrische oder asymmetrische Verschlüsselung verwendet wird, besteht das Ziel darin, die Vertraulichkeit der verschlüsselten Daten zu wahren. Selbst wenn die verschlüsselten Daten in die falschen Hände geraten, bleiben die Daten geschützt. Aus diesem Grund ist der Schutz der Schlüssel von entscheidender Bedeutung – wer die Schlüssel verliert, verliert auch die Daten.

Die Verschlüsselung hat eine lange Geschichte und wurde im Laufe der Zeit vor allem in der Kriegsführung eingesetzt. Die alten Griechen nutzten die Transposition (eine Art der Verschlüsselung), um zu verhindern, dass Informationen in feindliche Hände geraten. In der heutigen Zeit und mit dem Einzug des Informationszeitalters ist die Verschlüsselung zu einem unverzichtbaren Instrument zum Schutz von Daten und Anwendungen geworden. Ursprünglich vor allem im Bank- und Finanzwesen eingesetzt, hat sich ihre Anwendung im gesamten Bereich der digitalen Transformation verbreitet und ist in vielen regulierten Branchen zu einer obligatorischen Anforderung geworden.

Heutzutage ist die Verschlüsselung zu einer bewährten Praxis geworden und wird in einem breiten Spektrum von Anwendungen und Branchen eingesetzt. Da immer mehr alltägliche Aktivitäten online abgewickelt werden, ist die Gewährleistung der Vertraulichkeit und Integrität dieser Transaktionen von entscheidender Bedeutung. Bankwesen, Finanzwesen, E-Commerce, E-Government und Gesundheitswesen sind nur einige der vielen Branchen, in denen die Verschlüsselungstechnologie umfassend genutzt wird. Die meisten Menschen nutzen die Verschlüsselung jeden Tag, ohne es zu wissen. Wenn Sie einen Onlinekauf tätigen, werden die Bestell- und Zahlungsinformationen mit Transport Layer Security/Secure Socket Layer (TLS/SSL) verschlüsselt – einem weit verbreiteten Standard, der sowohl symmetrische als auch asymmetrische Verschlüsselung zur Sicherung von Onlineverbindungen einsetzt.

Die Verschlüsselung wird zum Schutz der Vertraulichkeit von Informationen eingesetzt. Organisationen, die sensible Daten wie ihr eigenes geistiges Eigentum (IP) und Daten ihrer Kunden verarbeiten, einschließlich personenbezogener Daten (PII), personenbezogener Gesundheitsdaten (PHI), Zahlungsdaten mit Kreditkartennummern und andere Formen von Daten, die an Personen gebunden sind, werden von verschiedenen Rechtsordnungen rund um den Globus häufig zum Schutz der Daten verpflichtet. Da Unternehmen immer mehr sensible Daten speichern, um ihr Tagesgeschäft abzuwickeln, sind Speicher-Repositories zu wichtigen Zielen für Angriffe geworden. Daher werden in der Regel sowohl Daten bei der Übertragung (in Netzwerken) als auch Daten im Ruhezustand (im Speicher) verschlüsselt, um sie vor Angriffen zu schützen, die ihre Vertraulichkeit gefährden, den Geschäftsbetrieb lahmlegen und den Ruf von Unternehmen schädigen können.

Da Informationen zum Motor der modernen Wirtschaft geworden sind, sind Daten zu einer wichtigen Ressource geworden. Staatliche und branchenspezifische Aufsichtsbehörden auf der ganzen Welt haben ihre Anstrengungen zur Durchsetzung des Datenschutzes und zur Wahrung der Privatsphäre der Personen, deren Daten erfasst werden, verstärkt. Das neue regulatorische Umfeld hat dazu geführt, dass Führungskräfte von Unternehmen, z. B. Chief Information Officers (CIOs) und Chief Information Security Officers (CISOs), sowie Compliance-Beauftragte in vielen Branchen der Verschlüsselung inzwischen höchste Priorität beimessen. Dies hat dazu geführt, dass die Verschlüsselung zunehmend in viele Anwendungen eingebaut wird. Da die Verschlüsselung die Daten unempfindlich macht, kann sie auch den Umfang bestimmter Vorschriften aufheben, was die Sicherheit erhöht und die Kosten senkt.

Verschlüsselung ist ein wichtiges Instrument zum Schutz von Unternehmen vor Datenschutzverletzungen, die erhebliche wirtschaftliche und Reputationsschäden zur Folge haben können. Die Verschlüsselung kann jedoch nur so gut sein wie das Schutzniveau der zugehörigen Schlüssel. Stellen Sie sich die Verschlüsselung vor wie das Schloss an Ihrer Haustür: Es kann Ihr Eigentum nur dann wirksam schützen, wenn Sie den Schlüssel angemessen schützen. Wenn Sie den Schlüssel unter der Fußmatte liegen lassen, wird der Schutz, den das Schloss bietet, aufgehoben. Wenn Sie also die Verschlüsselungsschlüssel nicht schützen, ist es sinnlos, die Daten zu verschlüsseln – findet jemand die Schlüssel, hat er Zugriff auf die Daten. Daher ist eine solide Verwaltung der kryptografischen Schlüssel unerlässlich, um die Wirksamkeit eines Datenverschlüsselungssystems zu gewährleisten.

Die Verwaltung von Verschlüsselungsschlüsseln beinhaltet zwei Hauptaspekte: Lebenszyklusmanagement und Zugriffsverwaltung. Das Lebenszyklusmanagement umfasst die Generierung, Verwendung, Speicherung, Aktualisierung, Archivierung und Vernichtung wichtiger kryptografischer Schlüssel. Die Zugriffsverwaltung stellt sicher, dass nur authentifizierte und autorisierte Benutzer die Schlüssel zum Ver- und Entschlüsseln der Daten verwenden können. Es ist wichtig zu betonen, dass zu den Nutzern heute sowohl Menschen als auch Anwendungen (Maschinen) gehören. Tatsächlich benötigen in der Regel mehr Maschinen Zugang zu Daten als Menschen. Um die Authentifizierung und Autorisierung von Nutzern zu ermöglichen, müssen Personen- und Maschinenidentitäten für die anschließende Validierung ausgestellt werden. An dieser Stelle wird auch eine Public-Key-Infrastruktur (PKI) zum Bestandteil einer umfassenden Schlüsselverwaltungsstrategie.

Die Qualität eines kryptografischen Schlüssels wird daran gemessen, inwieweit er mit „roher Gewalt“ überwunden werden kann. Wie Passwörter, die stark sein müssen und nicht leicht zu erraten sein dürfen, müssen auch Schlüssel stark sein und mit echten Zufallszahlengeneratoren entwickelt werden. Die FIPS (Federal Information Processing Standards, dt.: Bundesstandards für Informationsverarbeitung) bieten Hilfestellung zur Verwendung von zugelassenen hardwarebasierten Zufallszahlengeneratoren. Diese werden in der Regel von zertifizierten Hardware-Sicherheitsmodulen (HSMs) bereitgestellt – speziellen Plattformen, die starke Schlüssel generieren und während ihres gesamten Lebenszyklus verwalten. Während HSMs traditionell vor Ort eingesetzt werden, hat die Migration in die Cloud dazu geführt, dass HSMs inzwischen auch als abonnementbasierter Dienst verfügbar sind. Cloudbasierte HSMs bieten dedizierte Hardware-Plattformen als Dienste an, mit denen Kunden Schlüssel generieren und verwalten können, ohne eigene Geräte kaufen und warten zu müssen. Wenn Unternehmen Anwendungen und Daten in die Cloud verlagern, müssen sie sich Gedanken darüber machen, wie sich die Verhältnisse in Bezug auf das Eigentum, die Kontrolle und den Besitz ändern, um eine solide Sicherheitsstruktur im gesamten expandierenden Computing-Ökosystem zu gewährleisten.

Schlüssel sind die Grundlage für die Sicherheit des kryptografischen Prozesses, egal ob sie zur Verschlüsselung verwendet werden, um die Vertraulichkeit von Daten zu schützen, oder zur Signatur, um ihre Herkunft und Integrität zu schützen. Unabhängig davon, wie stark der zur Verschlüsselung oder Signatur der Daten verwendete Algorithmus ist – wenn der zugehörige Schlüssel kompromittiert wird, ist die Sicherheit des Verfahrens nicht mehr gewährleistet. Aus diesem Grund ist der Schutz kryptografischer Schlüssel von entscheidender Bedeutung.

Aufgrund der oben beschriebenen Zufälligkeit von Schlüsseln kann der Speicherort von Schlüsseln in Software relativ leicht ermittelt werden. Angreifer, die auf der Suche nach sensiblen Daten sind, haben es auf die Schlüssel abgesehen, da sie wissen, dass sie an die Daten gelangen können, wenn sie die Schlüssel bekommen. Die in der Software gespeicherten Schlüssel können daher ausfindig gemacht und beschafft werden, was die Sicherheit der verschlüsselten Daten gefährdet. Aus diesem Grund sollten zum Schutz von Schlüsseln immer HSMs verwendet werden. Die Verwendung von HSMs als Vertrauensbasis hat sich in der Cybersicherheitsbranche zu einer bewährten Praxis entwickelt, die von Sicherheitsexperten und vielen führenden Anwendungsanbietern empfohlen wird.

Ein weiterer Faktor, den es beim Schutz von Schlüsseln zu berücksichtigen gilt, ist nicht nur der Zugriff von externen Angreifern, sondern auch von Insidern. Die Verwendung von HSMs zum Schutz und zur Verwaltung von Schlüsseln bietet Mechanismen zur Einrichtung doppelter Kontrollen, sodass keine einzelne interne Person oder Einrichtung die Richtlinien für die Verwendung von Schlüsseln ändern und die etablierten Sicherheitsmechanismen effektiv unterlaufen kann. Quorumsysteme, bei denen eine vorher festgelegte Mindestanzahl von Personen zusammenkommen muss, um Änderungen am HSM und seinen Schlüsselverwaltungsfunktionen vorzunehmen, bieten ebenfalls ein höheres Maß an Sicherheit.

Ein Schlüsselverwaltungssystem bildet die Grundlage für die zentrale Vertrauensbasis, die zur Durchsetzung der Datensicherheitsrichtlinien in einem Unternehmen erforderlich ist. Es kontrolliert nicht nur den Lebenszyklus aller Schlüssel, sondern führt auch mit Zeitstempel versehene Protokolle über alle Benutzerzugriffe und ist damit ein wichtiges Instrument für die Prüfung und die Einhaltung von Vorschriften. Angesichts zunehmender Bedrohungen der Cybersicherheit sowie wachsender staatlicher und branchenspezifischer Vorschriften sind Schlüsselverwaltungssysteme unverzichtbar geworden.

Um die wachsende Zahl von staatlichen und branchenspezifischen Datensicherheitsvorschriften einhalten zu können, sind eine starke Verschlüsselung und eine effektive Verwaltung kryptografischer Schlüssel erforderlich. Gesetze zum Schutz der Privatsphäre von Bürgern wie die General Data Protection Regulation (GDPR) der Europäischen Union und der California Consumer Privacy Act (CCPA) sowie branchenspezifische Vorschriften wie der Payment Card Industry Data Security Standard (PCI DSS) und andere erkennen ausdrücklich die Notwendigkeit einer starken Verschlüsselung und Schlüsselverwaltung an, einschließlich der Verwendung zertifizierter Produkte, um die Einhaltung der Vorschriften zu erleichtern.