Organisationen, die Verschlüsselung zum Schutz vertraulicher Informationen verwenden, haben je nach Art der zu verschlüsselnden Daten die Wahl zwischen hardware- und softwarebasierten Lösungen. Das wohl schwächste Glied in der Kette sind die kryptografischen Schlüssel, die zum Verschlüsseln und Entschlüsseln der Daten verwendet werden. Dies liegt an der zunehmenden Verarbeitungsleistung der heutigen Computer und der Zeit, die es dauern kann, Schlüssel durch eine erschöpfende Schlüsselsuche zu kompromittieren. Daher müssen diese Organisationen Schlüssel regelmäßig widerrufen, aktualisieren und an relevante Parteien verteilen, um das Risiko interner und externer Bedrohungen zu verringern.
Viele Branchen, einschließlich Banken und Behörden, haben die zeitaufwändige Aufgabe, eine ständig wachsende Anzahl von Schlüsseln zu verfolgen und zu verwalten, um sicherzustellen, dass die richtigen Schlüssel zur richtigen Zeit am richtigen Ort sind. Die schiere Menge an Schlüsseln, die für den täglichen Betrieb von Anwendungen benötigt werden, die Kryptographie verwenden, führt zu einem Heer von Administratoren, wenn die Schlüssel manuell verwaltet werden. Daher sind automatisierte Schlüsselverwaltungssysteme für diese Organisationen jetzt eine Notwendigkeit, wenn sie ihre Arbeitslast im Griff behalten und ihre Verwaltungskosten senken wollen.
Die Schlüsselverwaltung wird es in vielen Variationen geben, von denen einige besser für Unternehmensumgebungen geeignet sind, während andere skalierbarer sind und für die große Anzahl von Schlüsseln entwickelt wurden, die in der Bankenbranche verwendet werden. Unterschiedliche Anforderungen erfordern unterschiedliche Lösungen, es gibt jedoch einige allgemeine Probleme, die angegangen werden müssen, damit die Implementierung solcher Systeme in Bezug auf Funktionalität, Konformität, Verfügbarkeit und Kosteneinsparungen erfolgreich ist. Nachfolgend finden Sie eine kurze Liste von Best-Practice-Verfahren:
• Dezentralisierung der Verschlüsselung und Entschlüsselung
• Zentralisierte Lebenszyklus-Schlüsselverwaltung
• Automatisierte Schlüsselverteilung und -aktualisierung
• Zukunftssicher – Unterstützung mehrerer Standards, z. B. PCI DSS, Sarbanes-Oxley und FIPS 140-2
• Unterstützung aller wichtigen Hardware- und Software-Sicherheitsmodule zur Vermeidung von Herstellerbindungen
• Flexible Schlüsselattribute zur Eliminierung von Papierkram
• Umfassende, durchsuchbare, manipulationssichere Prüfprotokolle
• Transparente und vereinfachte Prozesse
• Basierend auf offenen Standards zur Minimierung der Entwicklungszeit bei der Integration neuer Anwendungen
Mit einem System, das diese Elemente kombiniert, kann die Schlüsselverwaltung viele der Risiken beseitigen, die mit menschlichen Fehlern und vorsätzlichen Angriffen auf sensible Daten verbunden sind. Es kann auch Flexibilität bieten, um Sicherheit für Anwendungen bereitzustellen, deren Verschlüsselung andernfalls als zu teuer angesehen werden könnte.
Unabhängig von der Branche oder Lösung, für die sich ein Unternehmen entscheidet, sollte zumindest die obige Liste der Eckpfeiler eines jeden Schlüsselverwaltungssystems sein, nicht nur um ein hohes Maß an Sicherheit zu ermöglichen, sondern auch um Prozesse zu verbessern und Einsparungen zu erzielen langfristig.