Home

Geheimnisverwaltung

Geheimnisverwaltung bezeichnet die Gesamtheit der Prozesse, Richtlinien und Technologien, die zur sicheren Handhabung sensibler Informationen und Berechtigungsnachweise über ihren gesamten Lebenszyklus hinweg eingesetzt werden.

Zu den Geheimnissen gehören Passwörter, kryptographische Schlüssel, API-Tokens, Zertifikate und geheime Notizen. Sie durchlaufen Phasen wie

Ziele und Prinzipien sind Vertraulichkeit, Integrität und Verfügbarkeit; Prinzipien wie Least Privilege, Need-to-Know, starke Authentifizierung, Trennung

Techniken umfassen Secrets-Management-Systeme und Passwort-Manager, die Zugriffskontrollen, Versionsverwaltung, Audit-Trails und automatische Rotation ermöglichen; Hardware-Sicherheitsmodule (HSMs) zur

Governance umfasst Rollen und Verantwortlichkeiten (Geheimnisinhaber, Sicherheitsbeauftragter), Policies, Compliance und die Einbindung in Entwicklungs- und Betriebsprozesse,

Standards und Normen wie ISO/IEC 27001/27002, NIST SP 800-53 und BSI IT-Grundschutz geben Kontext für Anforderungen;

Herausforderungen sind Insider-Bedrohungen, Secret-Leaks, Verteilung in verteilten Systemen, Lebenszyklusmanagement und Skalierbarkeit in Cloud-Infrastrukturen.

Anwendungsbeispiele finden sich in DevOps, Cloud-native Anwendungen und Microservices mit kurzlebigen Secrets. Geheimnisverwaltung ist eine zentrale

Generierung,
Speicherung,
Verteilung,
Nutzung,
Rotation,
Sperrung
und
Vernichtung.
von
Aufgaben;
Verschlüsselung
im
Ruhezustand
und
bei
Übertragung;
Automatisierung
von
Rotation,
Zugriffskontrollen
und
Auditierbarkeit.
sicheren
Schlüsselaufbewahrung;
Integration
in
Identitäts-
und
Zugriffsmanagement
(IAM)
sowie
Verschlüsselung.
einschließlich
DevOps
und
Cloud-Umgebungen;
Incident-Response-Pläne.
Datenschutzaspekte
der
DSGVO
sind
ebenfalls
zu
berücksichtigen.
Komponente
des
Informationssicherheitsmanagements.