Kryptografie ist die Grundlage für jede sichere Transaktion, Kommunikation und Identitätsüberprüfung. Da Unternehmen um die Modernisierung ihrer Sicherheitslage ringen, ist es wichtig zu verstehen, welche kryptografischen Komponenten in ihren Systemen vorhanden sind und wie sie konfiguriert sind.
Hier kommt die Cryptographic Bill of Materials (CBOM) ins Spiel, ein Konzept, das auf der weithin bekannten Software Bill of Materials (SBOM) aufbaut und sich speziell auf die in software eingebetteten kryptografischen Fähigkeiten konzentriert.
Was ist eine kryptografische Stückliste?
A CBOM ist ein strukturiertes Verzeichnis der kryptografischen Elemente, die in eine software eingebaut sind. Es listet kritische Komponenten wie z. B.:
- Algorithmen (z. B. AES-256, RSA-2048)
- Bibliotheken (z. B. OpenSSL, Bouncy Castle)
- Schlüssel und unterstützte Schlüsselgrößen (z. B. RSA-2048, ECC-384)
Durch die Formalisierung dieser Informationen schafft ein CBOM ein erstes Verständnis für die kryptografische Architektur einer software .
Diese Transparenz hilft bei der Identifizierung potenzieller Schwachstellen oder Abweichungen von Sicherheitsstandards und unterstützt Audits und die Einhaltung von Rahmenwerken wie NIST.
Die Grenzen von CBOM für die kryptografische Sichtbarkeit
Eine CBOM liefert zwar wertvolle Erkenntnisse, hat aber auch ihre Grenzen:
- Statische Ansicht: Ein CBOM spiegelt die eingebauten Funktionen wider, erfasst aber nicht, wie die software in einer bestimmten Organisation konfiguriert oder verwendet wird.
- Fehlen von Betriebsdaten: Es wird nicht angezeigt, ob eine Organisation SHA-1 oder SHA-256 verwendet, selbst wenn beide Algorithmen unterstützt werden.
- Blinde Flecken bei der Bereitstellung: Konfigurationsdetails, Schlüsselbereitstellung und Updates werden nicht erfasst.
Kurz gesagt, ein CBOM allein kann kein vollständiges Bild der kryptografischen Lage einer Organisation vermitteln.
Mehr als CBOM: Aufbau eines kryptografischen Inventars
Ein umfassendes kryptografisches Inventar geht weit über statische software hinaus. Es erfasst alle kryptografischen Anlagen und Vorgänge im gesamten Unternehmen, einschließlich:
- Schlüssel, Zertifikate und Geheimnisse
- Algorithmen, Chiffren und Protokolle
- Schlüsselspeicher und Bibliotheken
- Politiken, Schwachstellen und Abhängigkeiten
Dieses Verzeichnis sollte dokumentieren:
- Integrierte Fähigkeiten von software und hardware.
- Organisationsspezifische Konfigurationen (z. B. welche Algorithmen aktiviert sind, Richtlinien zur Schlüsselrotation).
- Operative Nutzung (z. B. wie Kryptographie zum Schutz sensibler Daten eingesetzt wird).
So könnte zum Beispiel angegeben werden, dass ein Server ein HSM verwendet, um TLS zu speichern, die alle 90 Tage rotiert werden, oder die auf einem Webserver aktivierten Cipher Suites angeben, um die Übereinstimmung mit den Unternehmensrichtlinien sicherzustellen.
CBOM und kryptografisches Inventar: Komplementär, nicht konkurrierend
Ein CBOM und ein kryptografisches Verzeichnis funktionieren am besten zusammen:
- Umfang: CBOM konzentriert sich auf integrierte kryptografische Funktionen; die Bestandsaufnahme deckt die breitere Unternehmenslandschaft ab, einschließlich Konfigurationen und Nutzung.
- Zweck: CBOM hilft bei der Identifizierung potenzieller Schwachstellen in software ; die Bestandsaufnahme unterstützt ein ganzheitliches kryptografisches Risikomanagement.
- Datenquellen: CBOM wird aus dem Quellcode abgeleitet; die Bestandsaufnahme erfordert die Erfassung von Daten aus heterogenen Systemen und Umgebungen.
- Dynamische Updates: CBOM ist an software gebunden; das Inventar muss sich kontinuierlich mit den Änderungen der Infrastruktur weiterentwickeln.
- Einblicke in die Politik: CBOM zeigt Schwachstellen auf; die Bestandsaufnahme bietet Einblicke in die Einhaltung der Vorschriften im gesamten digitalen Ökosystem.
Durch die Integration beider Systeme erhalten Unternehmen einen umfassenden Überblick über ihre kryptografische Situation, was für das Schwachstellenmanagement, die Einhaltung von Vorschriften und die Vorbereitung auf Herausforderungen wie die Post-Quantum-Kryptografie entscheidend ist .
Warum dies jetzt wichtig ist
Da sich die Bedrohungen weiterentwickeln und die Rahmenbedingungen für die Einhaltung von Vorschriften verschärft werden, müssen Unternehmen von einem reaktiven Krypto-Management zu einem proaktiven Krypto-Status-Management übergehen.
CBOM ist ein wichtiger Baustein, aber das ultimative Ziel ist ein lebendiges, unternehmensweites kryptografisches Inventar, das kontinuierliche Transparenz, Risikopriorisierung und Abhilfemaßnahmen ermöglicht.
Mit diesem Ansatz sind Unternehmen in der Lage, die Schwachstellen von heute zu beheben und sich auf die Herausforderungen von morgen vorzubereiten, wie z. B. Quantencomputing, ohne kostspielige Umstellungen oder Ausfallzeiten.
Wichtigste Erkenntnisse
Ein CBOM ist notwendig, aber nicht ausreichend. Es bietet einen wesentlichen Einblick in die in Ihrer software vorhandenen kryptografischen Komponenten, muss aber im Rahmen eines umfassenderen kryptografischen Inventars operationalisiert werden, um einen echten Wert für Sicherheit und Compliance zu liefern.
Nächste Schritte
Beginnen Sie damit, zu prüfen, ob Ihr Unternehmen ein CBOM unterhält und wie es in Ihre allgemeinen kryptografischen Verwaltungspraktiken integriert ist. Suchen Sie dann nach Lösungen, die sowohl statisches Capability Mapping als auch dynamische Inventarisierung zur kontinuierlichen Risikominderung und Compliance unterstützen.
