Kryptografische Assets sind der Generalschlüssel zum Unternehmensnetz und dürfen niemals in die falschen Hände geraten. Mit geleakten oder gestohlenen Signaturschlüsseln könnten Bedrohungsakteure unterschiedlichste Informationen offenlegen. Die Sicht auf sämtliche Kommunikationsdaten erlaubt ihnen letztendlich, die Kontrolle über fremde IT-Umgebungen zu bekommen.
Die manuelle Verwaltung kryptografischer Assets gefährdet die Sicherheit von IT-Umgebungen und kann zu schwerwiegenden Sicherheitsvorfällen führen.
(Bild: sarayut_sy - stock.adobe.com)
Viele Organisationen sind sich dieser Gefahren nicht bewusst. Sie verwalten kryptografische Assets manuell und riskieren, dass diese verloren, gestohlen oder unerlaubt eingesetzt werden. Aktuelle Beispiele zeigen, wie gefährlich das ein kann
Ende des vergangenen Jahres stellte Microsoft beispielsweise fest, dass 25 Kunden und Partner von externen Attacken betroffen waren. Detaillierte Ermittlungen ergaben, dass die Angreifer — vermutlich die in China ansässige Gruppe Storm-0558 — einen Microsoft-Schlüssel gestohlen hatten und auf die geschäftlichen E-Mail-Server der Opfer zugreifen konnten. Mit dem erbeuteten Schlüssel konnten sie Authentifizierungstoken produzieren, um sich Zugriff auf die Enterprise-Server ihrer Opfer zu verschaffen.
Die Herausforderungen beim Schutz kryptografischer Assets gehen dabei weit über die Sicherheit einer einzelnen Organisation oder Person hinaus und bedrohen eng miteinander vernetzte Geschäftsbeziehungen und Software-Lieferketten insgesamt, die moderne Unternehmensumgebungen kennzeichnen.
So sind Code-Signing-Zertifikate wichtige Bestandteile einer geschützten Entwicklungsumgebung oder Software-Lieferkette. Sie sollen gewährleisten, dass nur vertrauenswürdig erstellter Programmcode zuverlässig, sicher und manipulationsfrei an die richtigen Stellen übertragen wird. Mit falsch signierten Zertifikaten könnten böswillige Akteure allerdings gefährlichen Code einem anderen Partner in der Softwarelieferkette unbemerkt als vertrauenswürdig zuspielen.
Im Jahr 2022 hatte beispielsweise die Ransomware-Gruppe LAPSUS$ den Hersteller von Grafikprozessoren NVIDIA angegriffen und erbeutete Daten in Umlauf gebracht — darunter zwei Code-Signing-Zertifikate des Anbieters. Diese waren zwar mittlerweile abgelaufen, aber mit Blick auf die Rückwärtskompatibilität erlaubte Microsoft weiterhin die Nutzung von Softwaretreibern, die mit älteren Zertifikaten signiert waren. Böswillige Akteure nutzten die Gunst der Stunde und begannen damit, die für abgelaufenen Zertifikate zur Verbreitung von Malware einzusetzen und das Vertrauen des weltweit führenden GPU-Entwicklers zu missbrauchen — sowohl im übertragenen als auch im eigentlichen Wortsinn.
Der Fall legte weitreichende Wechselbeziehungen offen und verdeutlicht, wie sich Angriffe auf eine Organisation auf alle mit ihr verbundenen Geschäftspartner auswirken können. Auf anschauliche Weise zeigt sich die äußerst hohe Sensibilität geschäftlicher Verbindungen, die von solchen Missbrauchsszenarien in Mitleidenschaft gezogen werden. Unter diesem Gesichtspunkt ist der Schutz kryptografischer Assets nicht nur eine Frage der Unternehmenssicherheit, sondern auch der öffentlichen Verantwortung und Integrität einer Marke.
Außerdem belegen solche Beispiele, dass sich kryptografische Assets auf unterschiedlichste Art und Weise kompromittieren lassen. Sie können der Beobachtung wichtiger Mitarbeiter entzogen, mit Malware oder Phishing abgefangen oder durch physischen Zugriff auf relevante Systeme erbeutet werden. Sie können auch verloren gehen oder versehentlich so stark beschädigt werden, dass sie nicht wiederherstellbar sind. Zumeist handelt es sich dabei um menschliches Versagen, aber auch böswillige Aktivitäten oder sogar Naturkatastrophen sind nicht auszuschließen. Weitere Kompromittierungen erfolgen, wenn sich Schlüssel offenlegen oder Schwachstellen der zugrundeliegenden IT-Umgebung ausnutzen lassen. In anderen Fällen sorgen falsche Konfigurationen und Implementierungen, bzw. das fehlerhafte Design von Verschlüsselungssystemen für Gefahr. Die Probleme treten verstärkt dann auf, wenn kryptografische Assets manuell verwaltet werden. Aus diesem Grund sollte das Hauptaugenmerk darauf liegen, solche Risiken von vorneherein zu vermeiden.
Ansonsten drohen bei Nichtbeachtung passender Schutz- und Vorkehrungsmaßnahmen schwerwiegende Folgen. Können Angreifer verschlüsselte Daten einsehen und Kommunikationsverbindungen durchleuchten, wirkt sich das fatal auf die gesamte IT-Umgebung aus. Hacker wären in der Lage, die Kontrolle über wichtige Systeme zu übernehmen, und könnten das digitale Vertrauen in ein Unternehmen zerstören, das über einen langen Zeitraum aufgebaut wurde. Sie könnten Angriffe auslösen und Schadprogramme weiterleiten, aber nach außen trotzdem als vermeintliche Opfer auftreten. Für die betroffenen Unternehmen drohen zudem empfindliche Strafen durch Nichteinhaltung von gesetzlichen oder branchenspezifischen Regularien wie GLBA (Gramm Leach Bliley Act für US-Finanzinstitute), DSGVO (Datenschutz-Grundverordnung der EU) oder PCI-DSS (Payment Card Industry Data Security Standard im Zahlungsverkehr).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Automatisierung
Der Schutz von Assets, die eine gesamte IT-Umgebung absichern sollen, zählt zu den grundlegenden Sicherheitsgrundlagen, die jede Organisation gewährleisten muss. Manuelle Prozesse erschweren diese Aufgabe und zählen zu den Hauptgründen, warum Zertifikate und Schlüssel verloren gehen oder gestohlen werden. In einem Unternehmen kann es Tausende kryptografische Assets geben, welche die Sicherheit unterschiedlichster Personen, Geräte, Technologien, Workloads oder Daten regeln. Manuelle Ansätze zur Bewältigung dieser Aufgabe führen zwangsläufig zu Missmanagement oder Systemabstürzen und damit zu schmerzhaften Ausfallzeiten und Sicherheitsvorfällen.
In der modernen IT-Landschaft mit komplexen und vielschichtigen Prozessen sollten manuelle Abläufe möglichst automatisiert werden. Dieser Prozess beginnt damit, dass alle kryptografischen Assets im Unternehmen erfasst werden, um dann Aufgaben wie Überwachung, Widerruf, Erneuerung und Ausstellung von Zertifikaten mit einem IT-Management-System automatisieren zu können. Auf diese Weise lassen sich Schlüssel schnell wechseln und zuteilen, kryptografische Systeme aktualisieren und patchen, ohne dass Administratoren direkt per Hand eingreifen müssen.
Schon jetzt handelt es sich dabei um ein drängendes Problem, aber der Druck steigt weiter mit der wachsenden Nutzung von Quantum-Computing und neuen Bedrohungen. Das US-amerikanische National Institute of Standards and Technology (NIST) erwartet, dass Quantencomputer schon bald die Mehrzahl kryptografischer Protokolle knacken werden, die aktuell eingesetzt werden. Deshalb wird sich die Art und Weise ändern (müssen), wie mit Verschlüsselung im modernen Unternehmensumfeld verfahren wird. Krypto-Agilität steigt zur Kardinaltugend jeder Organisation auf, um Resilienz im Zeitalter für Quantencomputing nachweisen, Bedrohungen abwehren sowie kryptografische Assets und Algorithmen im laufenden Betrieb austauschen zu können.
Diese Aufgabenstellung ist nur durch Automatisierung realisierbar. In einigen Fällen ist die manuelle Verwaltung kryptografischer Assets noch möglich — aber nicht mehr lange. Unternehmen sollten daher jetzt damit beginnen, die notwendigen Änderungen zum Schutz kritischer Systeme vorzunehmen, um der veränderten Bedrohungslage durch neue Gefahren nicht schutzlos ausgesetzt zu sein.
Über den Autor: Roman Brunner ist GVP EMEA / Geschäftsführer bei DigiCert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg "Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen. (Bild: Pointsharp)")
:quality(80)/p7i.vogel.de/wcms/44/06/44065d63b81bbdc3d5a8ef2b1dbbff37/0128179317v2.jpeg "Ein zentrales Zertifikatsregister schafft die für DORA geforderte Transparenz und Steuerbarkeit kryptografischer Assets über ihren gesamten Lebenszyklus und bildet damit den organisatorischen Kern wirksamer Governance, Compliance und Resilienz. (Bild: Maxim - stock.adobe.com)")