Key Management

Thales: Schlüsselverwaltung nach Umzug in die Cloud ist essenziell

, München, Thales | Autor: Armin Simon

Thales: Schlüsselverwaltung nach Umzug in die Cloud ist essenziell

Schlüsselmanagement in der Cloud

Von Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales

Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales

Die Bedeutung der eigenen Haustürschlüssel ist jedem nur allzu gut bekannt. Parallelen zu dieser finden sich im Schlüsselmanagement für die Cloud-Verschlüsselung.

Sobald ein Unternehmen die unvermeidbaren Veränderungen in der heutigen Arbeitswelt akzeptiert hat, sieht es sich mit einer der größten Herausforderungen konfrontiert, die die globale Vernetzung mit sich bringt: Der Migration von Workloads oder der Workload-Automatisierung. Der Weg zum Ziel ist voller Risiken, Herausforderungen und Kosten, die nicht jeder vorhersehen kann. Für einige könnte es sich jedoch tatsächlich ausgezahlt haben, zu den Nachzüglern zu gehören.

Experten zufolge müssen viele Unternehmen, die auf die Public Cloud umgestiegen sind, den Kurs teilweise wieder umkehren. Sie verlagern ihre Workloads zurück in die lokale Umgebung, was zum Teil an der Komplexität des Cloud-Managements und der Datenintegration liegt.

Schlüsselmanagement in der Cloud

Der am meisten übersehene Punkt auf jedem Projektplan zur Workload-Migration ist oft die Schlüsselverwaltung und Compliance über mehrere Cloud-Dienste hinweg. Die Erweiterung eines BYOK (Bring your own Key)-Dienstes sollte es Unternehmen ermöglichen, die Best Practice der Verschlüsselung zu implementieren. Damit ist gemeint, dass der Standort der Daten von dem der Verschlüsselungsschlüssel getrennt wird. Viele Vorschriften sind infrastrukturunabhängig. Sie verlangen, dass Unternehmen die gleichen Prozesse und Kontrollen anwenden, unabhängig davon, ob sich die betroffenen Daten vor Ort, in der Cloud oder in beiden befinden. So verlangt PCI DSS beispielsweise eine doppelte Kontrolle in Bezug auf die Trennung von Daten und Schlüsseln sowie eine Aufgabentrennung in Form eines rollenbasierten Zugriffs auf die Schlüsselverwaltungssoftware. PCI DSS verlangt ebenso wie GLBA/FFIEC und FISMA die Verwendung von NIST-zertifizierter AES-Verschlüsselung und FIPS 140-2-konformem Schlüsselmanagement.

Die Einhaltung und Aufrechterhaltung der Compliance mit solchen Branchenvorschriften kann durch die weit verbreitete Nutzung von Cloud-Diensten erschwert werden. Darüber hinaus sind regionale Gesetze und Vorschriften zur Regelung der Datensouveränität und des Datenschutzes, einschließlich der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie Schrems II, zunehmend relevant für die internationale Geschäftsabwicklung und erfordern in der Regel sowohl Zugriffskontrollen als auch die sichere Verwahrung von Daten und Schlüsseln.

Angesichts der allgemeinen Bedeutung der Schlüsselverwaltung zusammen mit der ausdrücklichen Anerkennung von Best Practices, die die Cloud Service Provider (CSP) selbst bestätigen und in einigen Fällen mitgestaltet haben, adressieren einige CSPs zumindest eine Teilmenge der Cloud-Verschlüsselungsprobleme mit BYOK-Services, um Kunden mehr Kontrolle über ihre Schlüssel zu geben. Die Dienste sind für kleine Schlüsselmengen bei einem Cloud-Anbieter akzeptabel, aber spätestens in Multi-Cloud-Umgebungen sind ein zentrales Key-Management über Cloud-Dienste hinweg und zusätzliche Funktionen erforderlich.

Die allgemeine Nutzung von Cloud-Diensten hat bei Unternehmen zu erheblichen Sicherheitsbedenken hinsichtlich der Speicherung sensibler Daten in einer oder mehreren öffentlichen Clouds geführt. In diesem Zusammenhang ist es problematisch, dass 53 Prozent der Teilnehmer an einer ESG-Studie angaben, dass mehr als 30 Prozent der in der Cloud gespeicherten sensiblen Daten ihres Unternehmens unzureichend gesichert sind. Als Reaktion darauf sind sowohl die Cloud-Sicherheit als auch die Datensicherheit zwei der am häufigsten gewählten Bereiche der Cybersicherheit, in die Unternehmen Investitionen tätigen.

Grundlagen: Geteilte Verantwortung

Das grundlegende Konzept der Cloud Security ist das Modell der geteilten Verantwortung, das die Demarkationslinie der Arbeitsteilung zwischen dem Cloud-Service-Anbieter und dem Kunden für die Sicherung und den Schutz des Cloud-Service definiert. Für alle Arten von Cloud-Diensten, von Infrastrukturplattformen bis hin zu Software-as-a-Service, ist das Modell transparent: Der Kunde ist für die Sicherung von Daten verantwortlich, die in einer öffentlichen Cloud gespeichert sind. Zwar bieten CSPs einige native Schutzmaßnahmen an, darunter die Möglichkeit, Daten zu verschlüsseln, eigene Schlüssel über einen BYOK-Dienst hochzuladen und diese Schlüssel entweder in einer mandantenfähigen Umgebung oder in einem dedizierten HSM zu speichern. Dennoch ist der Kunde sowohl für die Nutzung dieser Dienste als auch für die Verwaltung des Prozesses verantwortlich. Die Verwendung mehrerer diskreter, nativer und datenverschlüsselungsbezogener Dienste erhöht die Komplexität. Kunden in bestimmten Branchen benötigen auch die Möglichkeit, Verschlüsselungsschlüssel on Premises zu speichern, um regulatorische Compliance-Anforderungen zu erfüllen. Alles in allem steigt damit die Anforderung nach Effizienz und Flexibilität.

Fazit

Unternehmen brauchen somit einen Zulieferer, der eine automatisierte Verwaltung von Verschlüsselungsschlüsseln bietet. So können sie in kritischen Cloud-Diensten gespeicherte Datenbestände effizient und effektiv schützen. Die Transparenz über Erstellung, Verwendung und Lebenszyklusmanagement von Verschlüsselungsschlüsseln hilft Unternehmen zudem bei der Einhaltung und Aufrechterhaltung von Compliance-Anforderungen.