Kammer der Schlüssel – Key Management in Public Clouds (Heise Magazin)

Christoph Puppe
2 Min
25.04.19
Cloud Computing  IT Security  
#HSM  #Public Cloud  

Um Daten in der Cloud vor unberechtigtem Zugriff zusätzlich zu schützen, empfiehlt es sich, sie zu verschlüsseln. Ein Hardwaresicherheitsmodul verbessert die sichere Ver- und Entschlüsselung.

Verschlüsselung ist wie Magie: Richtig angewendet soll sie alles sicher machen – auch in der öffentlichen Cloud. Die Schutzziele Integrität und besonders die Vertraulichkeit sind durch Verschlüsselung zu erreichen. Aber jede Verschlüsselung ist nur so gut wie der Schutz der Schlüssel. Den bestmöglichen Schutz bieten Hardwaresicherheitsmodule (Hardware Security Modules – HSM). Alle großen Public-­Cloud-­Anbieter stellen daher einen darauf basierten Dienst bereit.

Die wohl wichtigste Grund­lage für den richtigen Einsatz von Verschlüsselung ist die Trennung von verschlüsselten Daten und für die Entschlüsselung notwendigen Daten. Liegen beide zusammen, ist der Schutz nicht vorhanden. Wenn zum Zeitpunkt der gewünschten Ver- oder Entschlüsselung der Schlüssel nicht im Zugriff ist, ist die Ver- oder Entschlüsselung nicht möglich. Es gilt also, den Schlüssel nur dann bereitzustellen, wenn ein berechtigter Vorgang ansteht, und den Zugriff auf den Schlüssel zu verwehren, wenn der Vorgang nicht berechtigt ist. Wer hier die richtigen Kriterien findet und technisch umsetzt, kann seine Daten sehr zuverlässig und auch für längere Zeiträume vor unberechtigtem Zugriff oder Veränderung schützen. (…)

Sie wollen wissen, wie es weitergeht? Klicken Sie hier, um den ganzen Artikel in der iX Ausgabe 5/2019 S. 100 nachlesen zu können.

Christoph Puppe

Managing Consultant

Christoph Puppe ist Managing Consultant in der Geschäftsstelle für den Öffentlichen Dienst mit dem Schwerpunkt IT-Sicherheit. Er ist BSI zertifiziert als Auditteamleiter ISO
27001 nach Grundschutz sowie derzeit ausgesetzte BSI Zertifizierungen für IS-Revision und Penetrationstests. Zu seinen Aufgaben zählen insbesondere die Leitung und Durchführung von Beratungsdienstleistungen im Rahmen von Projekten:

  • Absicherung von public und private Cloud Umgebungen,
  • Design und Implementierung von Sicherheitsstrategien und -architekturen,
  • Technische Sicherheitsmaßnahmen,
  • Technische Audits und Compliance Checks,
  • Einführung und Zertifizierung von Informationssicherheitssystemen nach ISO 27001 gemäß BSI Grundschutzkatalogen

Weitere Aufgaben umfassen die Beratung zu allen Themen der technischen und Organisatorischen IT-Sicherheit, Bewertung von Lösungen, Audits,
Planung von Maßnahmen zur Verbesserung der IT-Sicherheit, Risikoanalysen und Risikomanagement.

Meine Leistungen dabei sind:

  • IT-Sicherheitsstrategie
  • Planung und Begleitung der Implementierung von Sicherheitsmaßnahmen
  • Audits und Evaluierungen
  • Vorbereitung auf die Zertifizierung nach ISO 27001 gemäß BSI Grundschutz Kompendium
  • Durchführung von Zertifizierungsaudits als Auditteamleiter BSI

Nach 15 Jahren als Penetrationstester bin ich seit 2015 auf die Wolke geschwenkt und beschäftige mich jetzt hauptsächlich mit Kubernetes, Docker, Swarm, OpenShift und den neuen Sicherheitsprodukten, die man braucht, um IaaS, PaaS, CaaS, DRaaS und so weiter, abzusichern.

In meiner Freizeit bin ich als Teamleiter, Architekt, Administrator in einem Team, das einen Identity Provider, 2 mobile Apps, diverse Tools und Telegram Bots programmiert, Manchmal schreibe ich auch selbst Code in PHP, Perl, JavaScript und TypeScript.

Als Autor schreibe ich für die iX, Blogge und bin Mitautor einiger Bausteine des BSI Grundschutz Kompendiums. Besonders hier den „SYS.1.6 Container“ den ich federführend geschrieben habe.

Weitere Themen

Artificial Intelligence

Digital Process Solutions

End-User Computing

Software Development