Ach wenn es "nur" Microsoft wäre

Zertifikatsmanagement, Keymanagement, Secretsmanagement oder auch nur eine anständig laufende PKI ist bei 8 von 10 Unternehmen schlichtweg nicht vorhanden oder vollkommen deppert umgesetzt. Und wenn einen haufenweise diese Objekte abhanden kommen, man nicht weiss wer überhaupt darauf zugriff hatte oder ob man sie überhaupt nicht braucht - nun dann braucht man sich um die Angreifbarkeit eines Endpoints auch keine Sorgen mehr zu machen.

Ja es gibt Unternehmen die einem Versprechen das Sie helfen, aber in der Regel machen die das Thema noch schlimmer. Da kommen die auf die bescheuerte Idee das alle Systeme sich an eine zentralen Datenbankcluster anmelden ("Tolle" Idee alle Firewalls und Rechtessysteme zu durchlöchern und einem System Zugriff auf alles zu geben), haben Discovertools mit einer FalsePositiv jenseits eines auch nur im Ansatz akzeptablen Maßes (Wenn das die Lösung sein soll will ich mein Problem zurück haben).

Und PKI - oh mann wenn man Experten für viel Geld einkauft, und dann nur einen Trümmerhaufen bekommt ist das auch irgendwie kaum befriedigend.

Es gibt wenige Firmen die sowas wirklich können, also einen gescheit bei Kryptoproblemen allumfassend helfen. Aber diese Beratungshäuser (meist klein und fein) skalieren halt nicht bei einem globalen Kunden. Die kann ich eben nicht mal nach Rio schicken, danach Tokio und dann Südafrika. Und mit dem Versenden von HSM (Hardware Security Module - ohne sollte man sowas gar nicht erst anfangen) ist das auch so eine Sache - da kann man sich im besten Fall Wochen - im schlechtesten Monate lang mit dem Zoll auseinander setzen (Hatten schon einen Consultant der wurde einfach mal verhaftet, weil der sich geweigert hat die HSM zu öffnen, was Sie in der selben Sekunde wertlos macht).

Das ganze Kryptogeraffel scheitert an:

- fähigen Leuten (PKI, KMS, Certifikatsmanagement, Secretsmanagement, Identitymanagement, Codesigning usw.)
- fähigen Tools zu o.g. Themen (Ja auf dem Papier toll, aber schon wenn ich ein Tenant wiederherstellen möchte scheitere ich daran weil das drecks tool nur systemweiten restore machen kann = deadlock).
- International gültige Regeln für Kryptografie (Jedes Land kocht da seine eigene Suppe, etwa das BSI das eben so im Alleingang RSA 2K ende des Jahres in Rente schickt, so das man nur für D eine Sonderlösung finden muss).
- Langzeitarchivierung: Die gesamten KMS Systeme vergessen die Existenz eines Schlüssels, Zertifikates, Secrets wenn der gelöscht wurde. Es gibt kein repository wo ich nachschauen kann wo ich für ein Backup von vor 5 Jahren den dazugehörigen Schlüssel und die dazugehörige Passphrase des Zertifikates der Datenbank finden kann (Also für immer verschlüsselt). Und SIEM - auch keine Lösung da man auch da irgendwann Löschen muss da sonst die Datenmenge nicht mehr beherrschbar ist. Zudem müsste es ein Logeintrag des KMS Systems geben - dieser Key wurde in diesem Backup gesichert, macht aber keines.

Fazit, was aktuell in Sachen Schlüsselmanagement, Zertifikatsmanagement, Secretsmanagement passiert ist hochgradig amateurhaft. Ich will die Firmen gar nicht nennen die sich das auf die Fahne geschrieben haben, aber wenn ein Hersteller der nebenbei auch noch Waffensysteme herstellt meint das es ein super tolles Konzept wäre das ich alle meine Konzernschlüssel und Secrets in einem einzigen gigantischen Schlüsselspeicher speichere, jedes System (OnPrem und in der Cloud) mit diesem verbinde und noch nicht einmal ein funktionierendes Backup&Restore Konzept hat, geschweige denn fundamentale Managementfähigkeiten fällt mir eigentlich nichts mehr ein. (Ach ja die Preise - oh mann, da fasst sich jeder an die Birne wenn man für die Verschlüsselung eines einzigen Servers für SAP(die sind ja im Cluster) mal eben 17000 Euro zahlen soll.

Es fehlt an Lösungen die es ermöglichen eine Konzernweites vernünftig laufendes Management für kryptographische Objekte zu betreiben.

Gruß DDD

derdiedas schrieb:
--------------------------------------------------------------------------------
> Zertifikatsmanagement, Keymanagement, Secretsmanagement oder auch nur eine
> anständig laufende PKI ist bei 8 von 10 Unternehmen schlichtweg nicht
> vorhanden oder vollkommen deppert umgesetzt.
> ...

Es geht ja nicht um "ein" unternehmen. MS stellt hat Zertifikate für viele Tausend Entwickler und Firmen aus. Jedes davon kann für Code-Signing verwendet werden. Und eine Kontrolle ob jeder Schlüssel davon immer noch geheim ist, ist nicht möglich.

MS dürfte die Zertifikate (und Schlüssel) nicht Rausgeben und nur "online" Zertifizierung anbieten, das will aber auch niemand.

derdiedas schrieb:
--------------------------------------------------------------------------------
> - fähigen Tools

Der Part ist in der Tat nervig dass man immer wieder zwischen verschiedenen Tools wechseln MUSS. Es gibt keines was alle Szenarien so richtig abbildet. Und zu viele haben den "ein Tool muss nicht logisch zu bedienen sein" Ansatz.