„Wir können nichts schützen, von dem wir nichts wissen.“ Diese oft wiederholte Wahrheit trifft für CISOs besonders zu, wenn es um digitale Zertifikate, Verschlüsselungsschlüssel und Maschinenidentitäten geht. Viele Sicherheitsverletzungen oder Ausfälle lassen sich auf ein unbekanntes, vergessenes oder nicht verwaltetes Zertifikat oder kryptografisches Asset , das irgendwo in einer komplexen IT-Landschaft schlummert. Deshalb ist die erste Stufe der Trust Control Plane die kontinuierliche Erkennung und Transparenz – die Schaffung einer einheitliche Informationsquelle für jede digitale Identität und jedes kryptografische Asset in Ihrem Unternehmen.
Die Herausforderung: „Wir wissen nicht, was wir haben“
In der Praxis ist es schwierig, unternehmensweit Transparenz über Maschinenidentitäten und Kryptografie ist leichter gesagt als getan. Die meisten großen Unternehmen haben nach wie vor mit erheblichen blinden Flecken zu kämpfen:
- Silos und Schattensysteme: Zertifikate und Schlüssel befinden sich an unzähligen Orten – in Rechenzentren, auf Cloud-Plattformen, in DevOps-Tools, auf IoT und in Anwendungen. Verschiedene Teams setzen möglicherweise ihre eigenen Zertifizierungsstellen ein oder verlassen sich auf Standard-Anmeldedaten (die oft nicht verwaltet werden). Eine globale Bank gab zu: „Wir wissen nicht einmal, was wir haben, und selbst wenn wir es wissen, wissen wir nicht immer, wem es gehört“. Diese Fragmentierung lässt Sicherheitsteams im Dunkeln tappen.
- Manuelle Bestandserfassung = ein bewegliches Ziel: Herkömmliche Ansätze zur Bestandserfassung (Tabellenkalkulationen, gelegentliche Scans) können mit der Dynamik moderner IT nicht Schritt halten. Cloud-Instanzen werden hoch- und heruntergefahren, Container und KI-Mikroservices entstehen autonom – wobei jede dieser Komponenten potenziell neue Zertifikate oder Schlüssel mit sich bringt. Bei einer einmaligen Bestandsaufnahme lassen sich zwar Tausende von Identitäten erfassen, doch schon in der nächsten Woche hat sich die Landschaft wieder verändert.
- Das Risiko des Unbekannten: Die Kosten von blinden Flecken sind hoch. Eine aktuelle Branchenumfrage ergab, dass nur 17 % der Unternehmen einen vollständigen Echtzeit-Überblick über alle ihre Zertifikate haben. 86 % hatten im vergangenen Jahr mindestens einen Ausfall aufgrund abgelaufener oder falsch verwalteter Zertifikate zu verzeichnen – Ausfälle, die nicht nur den Betrieb stören, sondern auch das Vertrauen der Kunden und den Umsatz untergraben können. Unsichtbare Zertifikate = ungemindertes Risiko.
Kurz gesagt: ohne vollständige, kontinuierliche Transparenz ist eine proaktive Vertrauenskontrolle unmöglich. Was Sie nicht erkannt haben, können Sie nicht sichern oder verwalten. Die Erkennung ist die Grundlage , auf der alle nachfolgenden Phasen – von der Durchsetzung von Richtlinien bis hin zur Automatisierung – aufbauen. Sie zu überspringen ist ein sicheres Rezept für reaktives Feuerlöschen und spätere Compliance-Verstöße.
Von der Sichtbarkeit zur Beobachtbarkeit: Sehen und Verstehen
Führende Unternehmen erweitern „Discovery“ zu echter Beobachtbarkeit – eine umfassendere, kontextbezogene Ansicht, die nicht nur jede Identität und jedes Zertifikat aufspürt, sondern auch deren Nutzung und Umgebung. Dieser Wandel ist entscheidend, um , um aus rohen Bestandsdaten Sicherheitserkenntnisse zu gewinnen. Die kontinuierliche Erkennung muss nicht nur die Frage beantworten „Was ist dieses Zertifikat oder diese kryptografische Ressource?“, sondern auch „Wo befindet es sich, wie ist es konfiguriert und was passiert, wenn ein Problem auftritt?“:
- Kontinuierlich, nicht einmalig: Die Trust Control Plane nutzt ständig aktive Erkennungswerkzeuge (aktives Netzwerkscanning, agentenbasierte Erkennung in Hosts und in der Cloud, API-Integrationen usw.), um ein aktuelles System of Record aller Maschinenidentitäten und kryptografischen Assets zu pflegen. Wenn neue Instanzen oder kryptografische Ressourcen hinzukommen, werden diese automatisch erfasst und bewertet. Dieser Echtzeitansatz schließt die Lücke , die bei einmaligen Scans offen bleibt.
- Kontext und Eigentumsverhältnisse: Bei der modernen Erfassung geht es nicht nur um eine Liste von Assets – es geht darum, den Kontext zu verstehen. Durch das Sammeln von Metadaten (z. B. Hostname, Gerätetyp, Anwendungsbesitzer, Ausstellungsquelle, Ablaufdatum, zugehörige Dienste) erstellt die Trust Control Plane ein umfassendes kryptografisches „Asset-Profil“ für jedes Element. Dies hilft bei der Beantwortung von Fragen wie „Ist dieses Zertifikat kritisch? Wer ist verantwortlich? Welches System würde ausfallen, wenn es abläuft?“ – genau die Fragen, deren Antworten ein CISO oder IT-Risikomanager benötigt, um Prioritäten zu setzen und zu reagieren.
- Über Zertifikate hinaus – umfassende Kryptografie-Sicherheitslage: Ein wesentliches Unterscheidungsmerkmal eines ausgereiften Vertrauensprogramms ist, dass die Erfassung über reine TLS hinausgeht. Sie benötigen Einblick in die gesamte kryptografische Sicherheitslage: Code-Signing-Schlüssel, SSH-Schlüssel, Geheimnisse, Algorithmus- und Bibliotheksversionen (z. B. Erkennung veralteter kryptografischer Bibliotheken), HSM- und Key-Vault-Bestände usw. Diese umfassende Sichtweise ist im Zeitalter der Post-Quanten-Kryptografie entscheidend – Sie können nicht auf sicherere Algorithmen umsteigen, wenn Sie nicht wissen, wo anfällige Algorithmen verwendet werden. Der Trust-Control-Ansatz wirft ein möglichst weites Netz aus, um all diese Artefakte an einem Ort zu erfassen.
Indem Sie die reine Erfassung zu intelligenter Observability weiterentwickeln, erhalten Sie einen „Röntgenblick“ auf Ihre Vertrauensumgebung. So kombinierte beispielsweise einKeyfactor Netzwerkscans und Endpunkt-Erfassung, um Hunderte bisher unbekannter Zertifikate zu identifizieren und diese nach Eigentümer und geschäftlicher Relevanz einzuordnen. Mit diesen Erkenntnissen konnten sie redundante oder risikobehaftete Zertifikate eliminieren (und so ihre Angriffsfläche verringern) sowie die Verantwortlichen den einzelnen Assets zuordnen (und so sicherstellen, dass jemand für die Verlängerung zuständig ist). Bei der Transparenz geht es nicht nur um Bestandsaufnahme – es geht darum, verwertbare Erkenntnisse zu gewinnen.
Geschäftsergebnisse: Risikominderung und Bereitschaft
Was bedeutet also Phase 1: Observability – Kontinuierliche Erkennung und Transparenz letztendlich für einen CISO oder eine Führungskraft im Sicherheitsbereich?
- Proaktive Risikominderung: Durch die Beseitigung von blinden Flecken beugen Sie Vorfällen vor. Unbekannte Zertifikate und unzulässige Schlüssel sind oft die Ursache für Sicherheitsverletzungen und Ausfallzeiten. Durch kontinuierliche Erkennung können Sie Probleme aufspüren und beheben, bevor sie Schaden anrichten – sei es ein abgelaufenes Zertifikat, das zu einem Ausfall geführt hätte, oder ein schwacher kryptografischer Algorithmus, der eine Sicherheitslücke geöffnet hätte.
- Verbesserte Compliance und Stärkung des Vertrauens: Aufsichtsbehörden und Kunden verlangen zunehmend den Nachweis, dass Unternehmen die volle Kontrolle über ihre Schlüssel und Zertifikate haben. Ein stets aktuelles Inventar dient als eindeutiger Beweis für die Governance. Es stärkt zudem das Vertrauen intern – die IT-Führung kann sehen, dass die digitalen Vertrauensressourcen unter Kontrolle sind (kein „Daumen drücken“ mehr bei Audits).
- Grundlagen der Automatisierung: Automatisierung und Durchsetzung von Richtlinien hängen davon ab, zu wissen, wo Kontrollen anzuwenden sind. Die kontinuierliche Erfassung liefert diesen Fahrplan. Sie schafft die Grundlage für die Koordinierung von Erneuerungen und die unternehmensweite Durchsetzung von Standards. Tatsächlich kommen viele Automatisierungsinitiativen aufgrund unvollständiger Daten ins Stocken – das Vertrauenskontrollmodell stellt sicher, dass die Automatisierung über genaue Eingaben verfügt, auf denen sie aufbauen kann.
Ineinem Gartner-Bericht wird gefordert „umfassende Erfassung und Überprüfung jedes Kontos und jeder Anmeldedaten“ als ersten praktischen Schritt zur Bewältigung der Herausforderungen im Bereich der Maschinenidentität. Ohne diesen Schritt werden die Bemühungen in späteren Phasen (wie das Hinzufügen neuer Sicherheitskontrollen oder die Reaktion auf Bedrohungen) grundlegend eingeschränkt sein. Die Trust Control Plane macht diesen Schritt zu einem integralen, kontinuierlichen Bestandteil des täglichen Betriebs – und nicht zu einem gelegentlichen Projekt.
Im nächsten Teil dieser Reihe (Phase 2: Analysieren & Messen) werden wir untersuchen, wie man diese vollständige Transparenz nutzen kann, um Regeln definieren und Identitäten in großem Maßstab vergeben, um sicherzustellen, dass jede Maschinenidentität in Ihrem Bestand nicht nur bekannt ist, sondern auch vertrauenswürdig und kontrolliert wird.
