Secrets Management

Secrets wie API-Keys, Passwörter und private Schlüssel sind die wertvollsten Ziele für Angreifer. Ihre ungeschützte Speicherung im Quellcode ist die häufigste Ursache für Cloud-Compromises.

Deine Strategie

Etabliere eine "Secretless Infrastructure". Anwendungen sollten keine statischen Passwörter mehr kennen, sondern Managed Identities nutzen. Wo dies nicht möglich ist, müssen Secrets in einem zentralen Vault gespeichert und regelmässig automatisiert rotiert werden.

Best Practices

▸Code Hygiene: Scanne Repositories bei jedem Push auf versehentlich eingecheckte Secrets.
▸Dynamic Secrets: Nutze kurzlebige Anmeldedaten, die erst zum Zeitpunkt der Nutzung generiert werden.
▸Rotation: Erzwinge die automatisierte Erneuerung (Rotation) von kryptographischem Material (Zertifikate, API-Keys).

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-GOV-01

Hardcoded Secrets in Source Code

API-Keys oder Passwörter im Quellcode oder in Skripten.

Information DisclosureI-GOV-02

Cryptographic Material Leakage

Abfluss von privaten Schlüsseln oder Root-Zertifikaten.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance

T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch

Data Anonymization (Differential Privacy)Erweiterter SchutzHoch

NIST: PR.PT-3

Initial Access

T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch

Centralized Secrets VaultingErweiterter SchutzMittel

CIS: 6.12NIST: PR.DS-1

Least Privilege PrincipleGrundschutzMittel

CIS: 6.2NIST: PR.AC-6OWASP: A01:2021

Privileged Identity Management (PIM)GrundschutzMittel

CIS: 6.2NIST: PR.AC-1OWASP: A01:2021

Regular Access ReviewsGrundschutzNiedrig

CIS: 6.6NIST: PR.AC-1OWASP: A01:2021

Conditional Access PoliciesGrundschutzMittel

CIS: 6.1NIST: PR.AC-7OWASP: API2

T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch

Code Scanning (SAST / Secret Scanning)Erweiterter SchutzMittel

CIS: 16.3OWASP: A06:2021

Persistence

T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch

Privileged Identity Management (PIM)GrundschutzMittel

CIS: 6.2NIST: PR.AC-1OWASP: A01:2021

Regular Access ReviewsGrundschutzNiedrig

CIS: 6.6NIST: PR.AC-1OWASP: A01:2021

Credential Access

T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch

Centralized Secrets VaultingErweiterter SchutzMittel

CIS: 6.12NIST: PR.DS-1

Code Scanning (SAST / Secret Scanning)Erweiterter SchutzMittel

CIS: 16.3OWASP: A06:2021

T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch

Centralized Secrets VaultingErweiterter SchutzMittel

CIS: 6.12NIST: PR.DS-1

T1003

OS Credential Dumping

ATT&CK

Extrahieren von Anmeldedaten aus dem Betriebssystem.

Mitigiert durch

Privileged Access Workstation (PAW)Erweiterter SchutzHoch

CIS: 6.4NIST: PR.AC-3

Discovery

T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch

Least Privilege PrincipleGrundschutzMittel

CIS: 6.2NIST: PR.AC-6OWASP: A01:2021

Lateral Movement

T1550

Use Alternate Authentication Material

ATT&CK

Nutzung gestohlener Tokens oder Hashes zur Authentifizierung ohne Kennwort.

Mitigiert durch

Automated Certificate RotationErweiterter SchutzMittel

CIS: 12.7NIST: PR.DS-2

Exfiltration

T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch

Data Anonymization (Differential Privacy)Erweiterter SchutzHoch

NIST: PR.PT-3

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch

Secrets Management | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub