Kryptographie Schlüsselmanagement in der Praxis?
Hallo,
für ein IT Audit muss meine Firma das Schlüsselmanagement für kryptographische Anwendungen dokumentieren.
Da wir keine eigene IT Abteilung haben, wurde mir diese Aufgabe übertragen obwohl ich da nur wenig Know-How habe.
Wir setzen folgende Anwendungen ein, die Verschlüsselung verwenden:
VPN (SSL-VPN)
Web-Zertifikate (https)
WLAN (WPA2 Enterprise)
Bitlocker
Für das automatische Erstellen und Speichen von Passwörtern benutzen wir die Anwendung "KeePass"
Wenn ich nach "Schlüsselmanagement" im Internet suche dann finde ich viele Treffer, diese beschreiben aber nur was Schlüsselmanagement ist, z.B dies:
• Ausstellung und Einholung von Public-Key-Zertifikaten
• Provisionierung und Aktivierung von Schlüsseln für beteiligte Dritte
• Sicheres Speichern eigener Schlüssel (sonstiger Dritter) einschließlich der
• Beschreibung, wie autorisierte Nutzer den Zugriff erhalten
• Ändern oder Aktualisieren von kryptografischen Schlüsseln einschließlich Richtlinien, die festlegen, unter welchen Bedingungen und auf welche Weise die Änderungen bzw. Aktualisierungen zu realisieren sind
• Umgang mit kompromittiertem Schlüssel
• Entzug und Löschen von Schlüsseln, bspw. im Falle von Kompromittierung oder Mitarbeiterveränderungen.
Ich suche aber eine konkrete Lösung um all dies umzusetzen, z.B eine Software oder ein Beispiel-Dokument, mit der ich das Schlüsselmanagement realisieren kann.
Mein Fragen:
Sind auch Passwörter, z.B zum Anmelden an Windows oder Webseiten, Schlüssel und ist dann "KeePass" ein Schlüsselmanagement Tool?
Wie würde man Schlüssel konkret managen, z.B gibt es eine Software eine Beispiel-Dokumentation, die ich als Vorlage verwenden könnte?
1 Antwort
So wie sich das für mich anhört, handelt es sich hier um das Konzept des Schlüsselmanagements und wie es bei euch im Unternehmen umgesetzt wird. Grundsätzlich wird sowas in Betriebshandbüchern festgehalten und dokumentiert.
Dafür gibt es also dementsprechend keine Allrounder-Anwendung die alles ermöglicht, sondern ein Betriebshandbuch pro eingesetzter Anwendung.
Das hat den Hintergrund, dass jede Anwendung und infrastrukturell benötigte Funktion seine eigene Methodik an den Tag legt um organisiert, verwaltet und betrieben zu werden, dies lässt sich oft nicht in einer Anwendung zusammenfassen.
Das bezieht sich dementsprechend bei VPNs auf
- welches Protokoll wird verwendet (je nach Protokoll unterscheidet bspw. sich die Art der Authentifizierung)
- -> Zertifikatsbasiert (welche Schlüssellänge, wie lange gültig)
- -> Passwortbasiert (welche Passwortanforderungen, Generierung der Passwörter über bestimmte Programme, wie wird der gesicherte Versand des Passworts an die befugten Dritten sichergestellt)?
- wer oder was ist berechtigt
- wie lange ist der Zugriff gültig (und muss erneuert oder entzogen werden)
- Wie wird mit Kompromittierung der für den Zugriff benötigten Daten umgegangen
- etc.
Das als grobe Richtung in die es wahrscheinlich gehen soll. Ein Haufen manueller Arbeit, die aber gemacht werden muss.
Dennoch sei hier gesagt, dass dies nun meine Interpretation ist, da ich die genaue Anforderung des IT Audits nicht kenne. Oftmals behandeln diese Prüfungen das niedergeschriebene SOLL des BSI IT Grundschutz Kompendiums, in Deinem Fall hier relevant CON.1 und OPS.1.1.