Kostenloser Test
Kontakt
Sectigo Blog

Warum Unternehmen jetzt mit der Erstellung einer Cryptography Bill of Materials (CBOM) beginnen sollten

RSS-Feed

Mit einer Cryptography Bill of Materials (CBOM) erhalten Unternehmen ein strukturiertes, kontextbezogenes Inventar kryptografischer Ressourcen wie Schlüssel, Algorithmen und digitale Zertifikate. Eine CBOM ist mehr als eine einfache Liste und verbessert die Transparenz, die Governance und das Risikomanagement, indem sie aufzeigt, wie Kryptografie den Geschäftsbetrieb unterstützt und wo Schwachstellen bestehen. Angesichts der zunehmenden Bedeutung von Quantencomputern, der Veralterung von Algorithmen und des zunehmenden Drucks auf die Einhaltung von Vorschriften helfen CBOMs Unternehmen dabei, ihre Krypto-Agilität zu steigern, die Reaktion auf Vorfälle zu beschleunigen und sich auf die Post-Quantum-Sicherheit vorzubereiten, wenn sie mit Automatisierung gepaart werden.

28. Januar 202610 Min. Lesezeit

Inhaltsverzeichnis

Kryptografie schützt Identitäten, sichert Daten und schafft Vertrauen, was sie zu einem wichtigen Instrument für die moderne Unternehmenssicherheit macht. Trotz ihrer weiten Verbreitung schöpft die Kryptografie jedoch oft nicht ihr volles Potenzial aus, da die uneinheitliche oder unorganisierte Implementierung Lücken in der Abdeckung hinterlässt.

Die begrenzte Sichtbarkeit verschärft diese Herausforderungen noch, da es schwierig ist, zu erkennen, welche kryptografischen Lösungen verwendet werden und ob sie sich als wirksam erweisen. Lösungen wie das Certificate Lifecycle Management (CLM) verbessern zwar die Sichtbarkeit für bestimmte kryptografische Elemente, doch ist häufig eine zusätzliche Überwachung oder Kontrolle erforderlich.

Eine kryptografische Materialliste (CBOM) geht auf diese Probleme ein, indem sie umfassende Verschlüsselungsstrategien strukturiert und beaufsichtigt. Mit dieser Ressource lässt sich feststellen, ob und wo Ressourcen vorhanden sind, wobei auch Lücken und Schwachstellen aufgezeigt werden. Das CBOM ist mehr als nur eine Liste, es bietet einen Kontext, der eine konsistente Verwaltung und fundierte Entscheidungsfindung innerhalb eines Unternehmens unterstützt.

Was ist eine CBOM?

Eine kryptografische Stückliste ist ein umfassendes Inventar, in dem alle kryptografischen Elemente aufgeführt sind, die in Software oder Systemen verwendet werden. Eine CBOM soll Unternehmen dabei helfen, kryptografische Risiken zu erkennen und anzugehen. Sie zeigt auf, wo kryptografische Elemente (wie kryptografische Schlüssel, Algorithmen und digitale Zertifikate) vorhanden sind und wie sie verwendet werden. Es handelt sich dabei nicht um ein statisches Inventar; diese Ressource bietet Kontext, um den Zweck jedes kryptografischen Elements und die damit verbundenen Abhängigkeiten aufzuzeigen.

Tim Callan von Sectigo erklärt, dass ein CBOM Unternehmen dabei hilft, wichtige kryptografische Fragen zu beantworten: "Welche Kryptografie verwenden wir [und] wie verwenden wir sie?"

Eine CBOM sollte nicht mit der Software Bill of Materials (SBOM) verwechselt werden, die von der Cybersecurity and Infrastructure Security Agency als "Schlüsselbaustein für die Softwaresicherheit und das Risikomanagement in der Software-Lieferkette" beschrieben wird und ein "verschachteltes Inventar" bietet, das eine Reihe von Softwarekomponenten detailliert beschreibt. Das National Institute of Standards and Technology (NIST) vergleicht dies mit "Etiketten für Lebensmittelzutaten auf Verpackungen".

Das CBOM hat eine ähnliche Funktion, konzentriert sich aber auf die kryptografischen Komponenten, die für die Sicherung von Softwarelösungen verantwortlich sind. Diese gezielte Bestandsaufnahme ist notwendig, weil blinde Flecken in den derzeitigen Sicherheitspraktiken nach wie vor weit verbreitet sind und viele IT-Führungskräfte Schwierigkeiten haben, die kryptografischen Ressourcen zu verstehen (oder mit ihnen Schritt zu halten).

Warum eine CBOM mehr ist als eine Liste

Der Wert einer CBOM liegt nicht nur darin, was sie enthält, sondern vielmehr darin, wie sie diese Elemente beschreibt und wie detaillierte kryptografische Ressourcen in das Gesamtbild der kryptografischen Ausfallsicherheit passen. Dabei sollten sowohl aktuelle Lösungen als auch künftige Risiken oder Chancen beschrieben werden, wobei die kryptografischen Assets auf der Grundlage von Krypto-Agilitätszielen und Quantum Readiness kontextualisiert werden.

Tim Callan von Sectigo erklärt, dass das ideale CBOM klären wird: Ist die aktuelle kryptografische Umgebung "fit for purpose", und wenn nicht, was ist nötig, um sie fit for purpose zu machen? Diese Ressource sollte einen ganzheitlichen Ansatz verfolgen, der über die Frage hinausgeht, welche Assets enthalten sind und wie diese kryptografischen Lösungen Risiken oder Schwachstellen beheben (z. B. das Potenzial für veraltete Algorithmen), wie sie die Bereitschaft fördern (z. B. Schlüsselrotationen als Reaktion auf regulatorische Änderungen) und wie sie sich auf das Geschäft auswirken.

Jason Soroko von Sectigo schlägt vor, dieses Konzept als "kontextbezogene CBOM" neu zu formulieren. Diese sollte zumindest eine Rechtfertigung für die aktuellen kryptografischen Ressourcen enthalten, aus der hervorgeht, warum sie notwendig sind, aber auch, welche Risiken sie bergen und wie sie bei Bedarf aktualisiert oder ersetzt werden können. Darüber hinaus sollten die CBOMs Folgendes erfassen:

  • Operative Abhängigkeiten. Ein CBOM sollte aufzeigen, wie kryptografische Ressourcen mit verschiedenen Geschäftsprozessen und Systemen zusammenhängen. Daraus geht hervor, welche Geräte, Dienste oder APIs von bestimmten Schlüsseln, Zertifikaten oder Algorithmen abhängen. Dieser Kontext erinnert uns daran, dass kryptografische Ressourcen nicht isoliert funktionieren.
  • Kritikalität des Systems. Die Kritikalität gibt an, wie wichtig jede kryptografische Lösung für die Gesamtsicherheit eines Unternehmens ist. Ein CBOM kann Teams dabei helfen, festzustellen, welche kryptografischen Elemente geschäftskritische Systeme unterstützen und so sowohl die Sicherheit als auch die Betriebskontinuität verbessern.
  • Risikoexposition bei Kryptoausfällen. Eine gründliche CBOM befasst sich nicht nur mit Best-Case-Szenarien, sondern zeigt auch auf, was in ungünstigen Situationen passieren könnte und wo sich Unternehmen als besonders anfällig erweisen könnten. Dies könnte das Potenzial für großflächige Zertifikatsausfälle, Konformitätsverletzungen oder den Zusammenbruch des Vertrauens als Reaktion auf fehlgeschlagene kryptografische Lösungen aufzeigen.
  • Bereitschaft zur Aufrüstung oder Migration. Einige kryptografische Anlagen sind anpassungsfähiger als andere, und angesichts des raschen digitalen Wandels ist es wichtig zu wissen, was nötig ist, um Lösungen zu aktualisieren oder zu ersetzen, ohne bestehende Abläufe oder Workflows zu unterbrechen. Die Materialliste sollte Hindernisse aufzeigen, die Upgrades behindern oder verzögern könnten, insbesondere im Falle von Quantenfortschritten oder veralteten Algorithmen.

Wie es die Cybersicherheit und die zukünftige Bereitschaft unterstützt

Ein CBOM kann unmittelbare Verbesserungen bei kryptografischen Strategien auf Unternehmensebene sowie eine breite Unterstützung für umfassende Sicherheitslösungen und sogar Zukunftssicherheit bieten, um Unternehmen bei der Vorbereitung auf die Sicherheitsherausforderungen von morgen zu helfen.

Zu den Vorteilen gehören:

  • Verbesserte Sichtbarkeit. Ein CBOM verbessert die kryptografische Transparenz, indem es entdeckte Ressourcen in einem strukturierten Inventar konsolidiert, einen klaren Überblick darüber verschafft, wo und wie kryptografische Ressourcen genutzt werden, und blinde Flecken in der gesamten Umgebung reduziert. Wichtig ist auch, dass kryptografische Ressourcen mit relevanten Anwendungen, Diensten und Prozessen verknüpft werden, um das Gesamtbild des kryptografischen Schutzes in Bezug auf die übergreifende Sicherheitslage zu verdeutlichen.
  • Stärkt die Governance. Es liefert die strukturierte Bestandsaufnahme, die für die Durchsetzung strenger Sicherheitsrichtlinien in Teams, Abteilungen und digitalen Umgebungen erforderlich ist. Dies verbessert die Audit-Bereitschaft und stellt sicher, dass kryptografische Praktiken nicht nur konform sind, sondern auch vollständig dokumentiert werden.
  • Verbessert die Reaktion auf Vorfälle und Abhilfemaßnahmen. Im Falle eines Zwischenfalls (z. B. Ablauf eines Zertifikats oder Kompromittierung eines Schlüssels) ermöglicht ein CBOM eine schnellere Reaktion, da es sicherstellt, dass die betroffenen Systeme umgehend identifiziert und behoben werden.
  • Bereitet auf die Zeit nach dem Quantenwechsel vor. Eine kryptografische Materialliste unterstützt die Quantenbereitschaft, indem sie auf die kryptografischen Algorithmen und Schlüssel aufmerksam macht, die in Zukunft für Quantenangriffe anfällig sein könnten. Diese Erkenntnisse können Unternehmen dabei helfen, ihre Krypto-Flexibilität zu erhöhen und die Vorbereitungen für die spätere Einführung von quantenresistenten Algorithmen zu steuern. Es wird erwartet, dass Quantencomputer in den nächsten Jahren in großem Maßstab zum Einsatz kommen werden. Daher ist es jetzt an der Zeit, Maßnahmen zu ergreifen, die einen nahtlosen Übergang zu einer quantensicheren Kryptografie ermöglichen.

Wie erstellt man ein CBOM?

Die Entwicklung eines CBOM beginnt mit der Festlegung der Personen, die für die Inventarisierung und Verwaltung der verschiedenen kryptografischen Ressourcen verantwortlich sind. Wählen Sie Teams oder Fachleute aus, die nicht nur über kryptografisches Fachwissen, sondern auch über ein tiefes Verständnis der unternehmensspezifischen Sicherheitsrichtlinien verfügen.

Die Entwicklung und Implementierung von CBOMs hängt von den spezifischen Ressourcen ab, die zum Einsatz kommen. Im Allgemeinen folgt dieser Prozess jedoch einigen Schlüsselschritten:

  • Erkennen von kryptografischen Ressourcen. Kryptografische Ressourcen können erst dann richtig verstanden und verwaltet werden, wenn sie bekannt sind. Dies geschieht während des Erkennungsprozesses, der alle relevanten Unternehmenssysteme, Anwendungen und Geräte umfassen sollte. Vollständige Transparenz kann nur erreicht werden, wenn jeder einzelne Algorithmus, Schlüssel und jedes Zertifikat identifiziert wird.
  • Katalogisierung aller Komponenten. Wenn Komponenten entdeckt werden, sollten sie zu einer organisierten und zentralisierten Ressource hinzugefügt werden, die eine einzige Quelle der Wahrheit darstellt. Neben der Auflistung von Algorithmen, Schlüsseln und digitalen Zertifikaten sollte dieser Katalog auch wichtige Details wie Schlüssellängen, Ablaufdaten und Funktionen aufführen.
  • Erläutern Sie den Kontext. Denken Sie daran: Ein CBOM ist mehr als nur eine Liste. Verleihen Sie dieser Ressource mit unterstützenden Informationen mehr Gewicht, indem Sie Abhängigkeiten, Kritikalität und die potenziellen Auswirkungen eines Anlagenausfalls hervorheben.
  • Bewerten Sie das zukünftige Risiko. Überlegen Sie, wo die derzeitigen kryptografischen Mittel nicht ausreichen oder welche Herausforderungen in naher Zukunft zu erwarten sind. Die Quantenbedrohung lässt sich beispielsweise am besten durch aktualisierte, quantensichere oder hybride digitale Zertifikate und durch die Verwendung eines automatisierten Systems zur Verwaltung des Lebenszyklus von Zertifikaten bewältigen.
  • Pflegen Sie die CBOM. Die CBOM ist keine statische Ressource; sie muss sich mit den kryptografischen Ressourcen und den Bedrohungen oder Herausforderungen, denen sie begegnen soll, anpassen. Die Wartung umfasst das Hinzufügen neuer Komponenten, wenn sie bereitgestellt werden, wobei Änderungen an Schlüsseln oder Zertifikaten detailliert aufgeführt werden, und das Entfernen von Assets, wenn sie nicht mehr verwendet werden.

Wie Sectigo hilft, CBOM zu operationalisieren

Ein CBOM bietet den dringend benötigten Einblick in die kryptografische Landschaft eines Unternehmens, aber es bietet den größten Wert, wenn es mit einer Automatisierung gepaart ist, die dafür sorgt, dass die Inventare genau, aktuell und umsetzbar sind. Für die meisten Unternehmen beginnt dies mit den kryptografischen Assets, die den Großteil der digitalen Vertrauensbeziehungen untermauern: digitale Zertifikate.

Sectigo Certificate Manager (SCM) ermöglicht es Unternehmen, von einem passiven Inventar zu einer aktiven kryptografischen Ausfallsicherheit überzugehen, indem es eine einzige Plattform zum Erkennen, Überwachen und Automatisieren des gesamten Lebenszyklus aller digitalen Zertifikate im Unternehmen bereitstellt. Mit zentraler Transparenz und standardisierten Arbeitsabläufen verwandelt SCM die Erkenntnisse aus der CBOM in kontinuierliche operative Stärke und stellt sicher, dass kryptografische Assets vertrauenswürdig und konform bleiben und mit den Geschäftsanforderungen übereinstimmen.

Doch die Operationalisierung einer CBOM ist nur die halbe Herausforderung. Wenn Unternehmen schwache Schlüssel, veraltete Algorithmen, Fehlkonfigurationen oder gefährdete Zertifikate in ihrer CBOM aufdecken, müssen sie auch kryptografische Schwachstellen schnell beheben, bevor sie die Geschäftskontinuität unterbrechen. SCM beschleunigt diese Abhilfemaßnahmen durch:

  • Identifizierung schwacher oder nicht konformer kryptografischer Ressourcen, einschließlich anfälliger Algorithmen, unzureichender Schlüssellängen oder von nicht vertrauenswürdigen CAs ausgestellter Zertifikate
  • Automatisieren der Schlüssel- und Zertifikatsrotation, um risikobehaftete Ressourcen ohne Betriebsunterbrechung zu ersetzen
  • Sofortiger Ersatz von gefährdeten oder verdächtigen Zertifikaten, Wiederherstellung des Vertrauens in abhängigen Systemen mit nahtlosen Arbeitsabläufen
  • Migration von Beständen auf stärkere Standards, wie z. B. quantensichere oder hybride Zertifikate, die langfristige Krypto-Agilität unterstützen
  • Durchsetzung der Einhaltung von Governance und Richtlinien, um sicherzustellen, dass alle aktualisierten Assets den Sicherheitsanforderungen des Unternehmens entsprechen

Diese automatisierte Abhilfemaßnahme steht in direktem Zusammenhang mit der QUANT-Strategie von Sectigo, einem ganzheitlichen Rahmen, der Unternehmen durch proaktive Bewertung, Migrationsplanung und die Einführung quantensicherer Technologien in die Post-Quantum-Ära führt. QUANT wurde entwickelt, um Unternehmen bei der Bewältigung der wichtigsten aufkommenden Risiken zu unterstützen, einschließlich der Bedrohung durch "Harvest Now, Decrypt Later" und Schwachstellen in langlebigen digitalen Signaturen, die sich bis an die Quantengrenze erstrecken können.

In Kombination mit den Erkenntnissen des CBOM ermöglicht die QUANT-Strategie von Sectigo Unternehmen Folgendes

  • die kryptografischen Ressourcen zu identifizieren, die für zukünftige Quantenangriffe anfällig sind
  • Priorisierung der Sanierung von langlebigen Schlüsseln und Signaturen, die weit über die heutigen kryptografischen Zeiträume hinaus sicher bleiben müssen
  • Validierung von Post-Quantum- und hybriden Zertifikatsstrategien durch die Sectigo PQC Labs, einer speziellen Umgebung zum Testen von quantensicheren Assets
  • Aufbau von kryptoagilen Betriebsprozessen vor der vom NIST geplanten Abschaffung und Ersetzung im Zeitraum 2030-2035

Zusammen bilden SCM, CBOM und die QUANT-Strategie ein komplettes, zukunftsorientiertes Ökosystem für kryptografische Widerstandsfähigkeit, das Unternehmen nicht nur dabei hilft, ihre aktuelle kryptografische Situation zu verstehen, sondern sie auch kontinuierlich zu verbessern, wenn sich die Bedrohungen weiterentwickeln und das Quantenzeitalter naht. Erfahren Sie mehr über SCM oder vereinbaren Sie noch heute einen Termin für eine Demo.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

Überbrückung der Lücke: Risiken einer unvollständigen Sichtbarkeit im Certificate Lifecycle Management

Bewährte Praktiken für die Verwaltung des Lebenszyklus von Zertifikaten (CLM)

Jetzt ernten, später entschlüsseln - Angriffe und die Quantenbedrohung