Key Management System (KMS) - Definition
Ein Key Management System (KMS) ist ein System zur Verwaltung kryptografischer Schlüssel, das für deren Generierung, Verteilung, Speicherung, Rotation, Archivierung und sichere Außerbetriebnahme eingesetzt wird. In der Praxis geht es um die Kontrolle des gesamten Lebenszyklus von Schlüsseln, die zur Datenverschlüsselung, für kryptografische Signaturen und zur Authentifizierung von Systemen verwendet werden. Definitionen und Anforderungen für das Schlüsselmanagement beschreiben unter anderem NIST SP 800-57 Part 1 Rev. 5, veröffentlicht vom National Institute of Standards and Technology im Jahr 2020, sowie ISO/IEC 11770, eine Normenreihe zum Schlüsselmanagement.
Im Kontext der Anonymisierung von Fotos und Videoaufnahmen führt ein KMS keine Verpixelung oder Unschärfe von Gesichtern oder Kfz-Kennzeichen durch. Seine Rolle ist indirekt, aber kritisch. Ein solches System schützt das Eingabematerial, Dateien nach der Anonymisierung, Arbeitskopien, Metadaten, API-Schlüssel, Zertifikate sowie geheime Daten, die von der Bildverarbeitungssoftware verwendet werden. Nutzt eine Organisation eine On-Premise-Lösung, hilft ein Key Management System dabei, die Kontrolle darüber zu behalten, wer und wann Quelldateien entschlüsseln darf, die Personenabbildungen oder Fahrzeugkennzeichen enthalten.
In Umgebungen zur Foto- und Videoverarbeitung ist ein KMS in der Regel Teil einer umfassenderen Sicherheitsarchitektur. Es arbeitet mit Dateirepositorien, Applikationsservern, Datenbanken, HSM-Modulen und IAM-Systemen zusammen. Für den Datenschutzbeauftragten ist relevant, dass ein korrekt implementiertes Key Management System die Umsetzung des Grundsatzes der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO sowie der Sicherheitsmaßnahmen nach Art. 32 DSGVO unterstützt. Die Einführung eines KMS bedeutet jedoch nicht automatisch DSGVO-Konformität. Es handelt sich um eine technische Maßnahme und nicht um einen vollständigen Compliance-Mechanismus.
Die Rolle des KMS bei der Anonymisierung von Fotos und Videoaufnahmen
Im Prozess der Anonymisierung visueller Materialien befinden sich die wichtigsten personenbezogenen Daten in der Regel im Originalbild. Dabei geht es vor allem um Gesichter und Kfz-Kennzeichen. Deshalb ist der Schutz der Datei vor Beginn der Anonymisierung, während der Arbeit des Operators und nach dem Speichern des Ergebnisses von besonderer Bedeutung.
Ein KMS wird in folgenden Szenarien eingesetzt:
- Verschlüsselung von Quelldateien, bevor sie im System zur Foto- und Videoverarbeitung geöffnet werden,
- Zugriffskontrolle auf Entschlüsselungsschlüssel ausschließlich für berechtigte Rollen,
- Trennung der Verschlüsselungsschlüssel von den eigentlichen Daten,
- Schlüsselrotation nach einem Vorfall, bei Personalwechsel oder gemäß Sicherheitsrichtlinie,
- Protokollierung von Schlüsseloperationen in Sicherheitslogs, ohne die personenbezogenen Bilddaten selbst zu speichern.
In der Praxis bedeutet das, dass ein Operator nur dann mit dem Material arbeiten kann, wenn das System die Berechtigung zur Nutzung des richtigen Schlüssels erhält. Nach Abschluss des Prozesses kann der Zugriff wieder entzogen werden. Das reduziert das Risiko eines unbefugten Zugriffs auf Materialien, die ein Personenbild oder Daten zur Identifizierung eines Fahrzeugs enthalten.
Wichtig ist die Abgrenzung zwischen einem KMS und dem eigentlichen Anonymisierungsmechanismus. Gallio PRO verpixelt automatisch ausschließlich Gesichter und Kfz-Kennzeichen. Die Lösung dient nicht der automatischen Erkennung von Logos, Tätowierungen, Namensschildern, Dokumenten oder Inhalten auf Monitorbildschirmen. Solche Elemente können im Editor manuell maskiert werden. Ein Key Management System beeinflusst den Umfang der Objekterkennung nicht. Es ist für die sichere Verwaltung geheimer Daten verantwortlich, die von der Infrastruktur genutzt werden.
KMS-Technologien und -Architektur
Ein Key Management System kann als Softwaredienst, Hardware-Appliance oder als zwischengeschaltete Schicht in Verbindung mit einem HSM bereitgestellt werden. In Umgebungen mit erhöhten Sicherheitsanforderungen werden Hauptschlüssel häufig in HSMs gespeichert, die FIPS 140-3 oder dem älteren FIPS 140-2 entsprechen. Der Standard FIPS 140-3 wurde 2019 von NIST veröffentlicht und definiert Sicherheitsanforderungen für kryptografische Module.
Eine typische Architektur umfasst folgende Elemente:
- Hauptschlüssel - Key Encryption Key, verwendet zum Schutz anderer Schlüssel,
- Arbeitsschlüssel - Data Encryption Keys, verwendet zur Verschlüsselung von Dateien,
- rollen- oder attributbasierte Zugriffsrichtlinien,
- Mechanismen zur Schlüsselrotation und Versionierung,
- Protokollierung der Schlüsselnutzung und administrativer Ereignisse.
Bei der Verarbeitung visueller Materialien wird häufig das Modell der Envelope Encryption eingesetzt, also der Umschlagverschlüsselung. Dabei wird die Foto- oder Videodatei mit einem Datenschlüssel verschlüsselt, und dieser Schlüssel wird anschließend mit einem vom KMS verwalteten Hauptschlüssel verschlüsselt. Dieses Modell begrenzt die Folgen einer Kompromittierung eines einzelnen Schlüssels und erleichtert die Rotation.
Wichtige KMS-Parameter und Kennzahlen
Die Bewertung eines Key Management Systems sollte sich nicht allein auf das Vorhandensein von Verschlüsselung beschränken. Entscheidend sind konkrete Betriebs- und Sicherheitsparameter. In einer Umgebung zur Anonymisierung von Fotos und Videos beeinflussen sie sowohl die Verfügbarkeit des Prozesses als auch das Risiko einer Offenlegung des Ausgangsmaterials.
Parameter | Bedeutung | Praktische Relevanz
|
|---|---|---|
Latenz kryptografischer Operationen | Zeit bis zum Zugriff auf einen Schlüssel oder zur Ausführung einer Verschlüsselungsoperation | Beeinflusst die Zeit zum Öffnen und Speichern großer Videodateien |
Verfügbarkeit | Verfügbarkeit des KMS-Dienstes, in der Regel in Prozent angegeben | Ein Ausfall des KMS kann den Zugriff auf verschlüsselte Materialien blockieren |
RTO und RPO | Wiederherstellungszeit des Dienstes und zulässiger Datenverlust nach einem Ausfall | Entscheidend bei der Arbeit mit Beweis- oder Auditmaterial |
Intervall der Schlüsselrotation | Häufigkeit der Rotation von Schlüsseln | Verringert die Folgen einer langfristigen Kompromittierung |
Auditierbarkeit | Umfang und Qualität der Audit-Trails | Erleichtert den Nachweis der Zugriffskontrolle und die Analyse von Vorfällen |
In der Praxis sollten auch Schlüssellängen und Algorithmen geprüft werden. NIST SP 800-57 Part 1 Rev. 5 enthält Empfehlungen zur kryptografischen Stärke und zu Nutzungszeiträumen von Schlüsseln. Für die Verschlüsselung ruhender Daten wird häufig AES-256 verwendet. Für Schlüsselaustausch und Signaturen kommen je nach Organisationsrichtlinie und Interoperabilitätsanforderungen RSA 2048 oder 3072 sowie elliptische Kurven mit vergleichbarem Sicherheitsniveau zum Einsatz.
Herausforderungen und Einschränkungen eines KMS
Ein Key Management System erhöht das Sicherheitsniveau erheblich, löst jedoch nicht alle Probleme im Zusammenhang mit dem Schutz der Privatsphäre in Bildmaterial. Wenn ein Benutzer rechtmäßigen Zugriff auf entschlüsseltes Material hat, verhindert das KMS allein keine fehlerhafte Veröffentlichung einer nicht anonymisierten Datei. Daher muss es zusammen mit Berechtigungskonzepten, operativen Verfahren und Mechanismen zur Trennung von Umgebungen eingesetzt werden.
Zu den häufigsten Einschränkungen gehören:
- Single Point of Failure - die Nichtverfügbarkeit des KMS kann operative Prozesse stoppen,
- Fehlkonfigurationen von Zugriffsrichtlinien - zu weitreichende Berechtigungen machen die Vorteile der Verschlüsselung zunichte,
- Abhängigkeit von einer korrekten Verwaltung von Schlüssel-Backups,
- Risiko des Datenzugriffsverlusts bei fehlerhafter Rotation oder Löschung eines Schlüssels.
In Systemen zur Bildanonymisierung ist außerdem zu beachten, dass die Leistung des KMS bei der Massenverarbeitung großer Dateien zum Engpass werden kann. Das gilt insbesondere für lange Videoaufnahmen oder Stapelverarbeitungen mit Tausenden von Fotos.
Normative Referenzen und Compliance
Die Bewertung eines KMS sollte auf Primärquellen und Standards basieren und nicht ausschließlich auf Herstellerangaben. Für Organisationen, die Fotos und Aufnahmen mit personenbezogenen Daten verarbeiten, sind sowohl kryptografische Standards als auch Datenschutzvorschriften von zentraler Bedeutung.
- DSGVO - Art. 5 Abs. 1 lit. f sowie Art. 32, Verordnung (EU) 2016/679,
- NIST SP 800-57 Part 1 Rev. 5 - Recommendation for Key Management: Part 1 - General, 2020,
- NIST SP 800-130 - A Framework for Designing Cryptographic Key Management Systems, 2013,
- ISO/IEC 11770 - Information security, cybersecurity and privacy protection - Key management, ISO/IEC-Normenreihe,
- FIPS 140-3 - Security Requirements for Cryptographic Modules, NIST, 2019.
Aus Audit-Sicht ist wichtig, dass die Organisation nachweisen kann, welche Schlüssel das Ausgangsmaterial schützen, wer darauf Zugriff hat, wie die Rotation erfolgt und wie Backups abgesichert wurden. Das ist praktisch relevant für die Risikobewertung sowie für die Beurteilung technischer und organisatorischer Maßnahmen.