Key Rotation (Schlüsselrotation) - Definition
Key Rotation, also die Rotation kryptografischer Schlüssel, ist der kontrollierte Prozess, bei dem ein bisher verwendeter Schlüssel in einem festgelegten Zyklus oder nach einem definierten Ereignis durch einen neuen Schlüssel ersetzt wird. In der Praxis geht es darum, die Zeit zu begrenzen, in der ein einzelner Verschlüsselungsschlüssel aktiv bleibt, und die Folgen einer möglichen Offenlegung, eines Diebstahls oder einer Fehlkonfiguration zu reduzieren.
Im Kontext der Anonymisierung von Fotos und Videoaufnahmen betrifft die Schlüsselrotation vor allem den Schutz von Quelldateien, anonymisierten Dateien, Arbeitskopien, Metadaten, Exporten sowie der Systemkonfiguration. Sie ist kein Mechanismus für das eigentliche Unkenntlichmachen von Gesichtern oder Kfz-Kennzeichen, sondern ein wesentlicher Bestandteil der Sicherheit des gesamten Verarbeitungsprozesses. Wenn eine Organisation Bilder oder Aufnahmen vor der Anonymisierung speichert, sollten die zur Verschlüsselung dieser Daten verwendeten Schlüssel gemäß der Sicherheitsrichtlinie regelmäßig ausgetauscht werden.
Aus Sicht von Normen und Best Practices ist dieser Begriff eng mit dem Lebenszyklusmanagement kryptografischer Schlüssel verbunden. NIST definiert diesen Bereich in der Publikation NIST SP 800-57 Part 1 Rev. 5 aus dem Jahr 2020, in der die Erzeugung, Verteilung, Nutzung, Archivierung, Außerbetriebnahme und Vernichtung von Schlüsseln beschrieben werden. NIST SP 800-38D legt wiederum Anforderungen für den AES-GCM-Modus fest, einschließlich der Risiken im Zusammenhang mit einer unsachgemäßen Verwendung von Parametern wie Nonce/IV. In Unternehmensumgebungen ist die Schlüsselrotation zudem ein Bestandteil der Konformität mit ISO/IEC 27001:2022 und ISO/IEC 27002:2022, die den Einsatz kryptografischer Kontrollen und formaler Regeln für das Schlüsselmanagement verlangen.
Die Rolle der Schlüsselrotation bei der Anonymisierung von Fotos und Videos
In Systemen zur Anonymisierung visueller Inhalte sind kryptografische Schlüssel nicht für die Erkennung von Gesichtern oder Kfz-Kennzeichen verantwortlich. Diese Aufgaben übernehmen Erkennungsmodelle, in der Regel auf Basis von Deep Learning, die Objekte im Bild lokalisieren. Die Schlüsselrotation schützt dagegen die Daten, die von einem solchen System verarbeitet werden.
In der Praxis umfasst dies mehrere Schutzebenen.
- Verschlüsselung von Eingabedateien - Materialien vor dem Unkenntlichmachen, die personenbezogene Daten enthalten,
- Verschlüsselung von Ausgabedateien - wenn das Ergebnis weiterhin vertrauliche Informationen enthalten kann oder operativ geschützt werden muss,
- Schutz von Datenbanken und Metadaten - z. B. Aufgabenkennungen, Verarbeitungsstatus oder Dateipfade,
- Absicherung von Backups - da Sicherungskopien Daten oft länger aufbewahren als das Produktionssystem,
- Schutz von Systemgeheimnissen - z. B. API-Schlüssel, Service-Passwörter oder Schlüssel für Objektspeicher.
In einer On-Premise-Umgebung ist die Schlüsselrotation besonders wichtig, da die Organisation selbst für die Infrastruktur, die Speicherung der Materialien und die Konfiguration der Verschlüsselungsmodule verantwortlich ist. Wenn das System Überwachungsaufnahmen, Beweismaterial, Vorfallsdokumentationen oder Fotos aus Außenaudits verarbeitet, trägt die Reduzierung der Exposition eines einzelnen Schlüssels unmittelbar dazu bei, das Risiko einer Verletzung der Vertraulichkeit zu verringern.
Wie funktioniert Schlüsselrotation in der Praxis?
Schlüsselrotation kann auf verschiedene Weise umgesetzt werden. Die Unterschiede betreffen die Frage, ob der Datenverschlüsselungsschlüssel, der Hauptschlüssel zum Schutz anderer Schlüssel oder beide Schlüsseltypen gleichzeitig ersetzt werden. In Systemen, die Fotos und Videos verarbeiten, wird häufig ein mehrschichtiger Ansatz verwendet.
Am häufigsten kommen folgende Elemente vor:
- DEK - Data Encryption Key - ein Schlüssel zur Verschlüsselung einer konkreten Datei, eines Dateipakets oder eines Datenvolumens,
- KEK - Key Encryption Key - ein Schlüssel zur Verschlüsselung oder Verpackung von DEKs,
- Master Key - ein Hauptschlüssel, der in der Regel in einem HSM, KMS oder einer anderen separierten Komponente gespeichert wird.
Im Envelope-Encryption-Modell kann sich die Rotation nur auf den KEK beziehen, ohne dass alle Quelldateien erneut verschlüsselt werden müssen. Das reduziert den operativen Aufwand. Wenn die Sicherheitsrichtlinie jedoch einen vollständigen Austausch des kryptografischen Materials verlangt, wird eine Re-Encryption durchgeführt, also eine erneute Verschlüsselung der Daten mit einem neuen DEK. Ein solcher Prozess ist aufwendiger und erfordert eine Integritätskontrolle.
Eine vereinfachte Darstellung der Abhängigkeiten sieht wie folgt aus:
Verschlüsselte Daten = Encrypt(DEK, Datei)
Geschützter DEK = Wrap(KEK, DEK)
Nach der Rotation des KEK entschlüsselt das System den zuvor verpackten DEK und schützt ihn erneut mit dem neuen KEK. Nach der Rotation des DEK müssen die Daten selbst erneut verschlüsselt werden.
Wichtige Parameter und Metriken der Schlüsselrotation
Die Bewertung einer korrekten Schlüsselrotation sollte sich nicht darauf beschränken festzustellen, dass ein Schlüssel geändert wurde. Für Umgebungen, in denen Bilder und Aufnahmen verarbeitet werden, sind technische, zeitliche und operative Parameter entscheidend.
Parameter | Bedeutung | Praktischer Kontext
|
|---|---|---|
Cryptoperiod | Zulässige Nutzungsdauer eines Schlüssels | NIST SP 800-57 empfiehlt, die Nutzungsdauer abhängig von Schlüsseltyp, Datenwert und Risiko festzulegen |
Mean Time to Rotate (MTTRotation) | Durchschnittliche Dauer der Rotation | Beeinflusst das Expositionsfenster nach einem Vorfall oder einer Richtlinienänderung |
Re-Encryption Throughput | Anzahl der pro Stunde verarbeiteten GB oder TB | Wichtig bei großen Videoarchiven |
Key Version Count | Anzahl aktiver und archivierter Schlüsselversionen | Beeinflusst die Möglichkeit, ältere Materialien zu entschlüsseln |
Failure Rate | Anteil fehlgeschlagener Rotationsvorgänge | Sollte für Backups, Repositorien und Exporte überwacht werden |
Recovery Time | Zeit bis zur Wiederherstellung des Zugriffs nach einem Rotationsfehler | Kritisch für Betriebskontinuität und Auditierung |
Es gibt keinen universellen Rotationszeitraum, der für alle Systeme geeignet ist. NIST weist darauf hin, dass die Länge des Cryptoperiods vom Algorithmus, der Schlüssellänge, der Bedrohungsumgebung, der Anzahl der Operationen und dem Wert der geschützten Informationen abhängt. Das bedeutet, dass eine Rotationsrichtlinie für ein Archiv mit kurzzeitig gespeicherten Fotos anders aussehen kann als für ein Repository mit über Jahre aufbewahrten, hochsensiblen Videoaufnahmen.
Technologien und Standards im Zusammenhang mit Schlüsselrotation
Die Schlüsselrotation sollte auf bewährten Algorithmen und Verfahren des Schlüsselmanagements basieren. In der Praxis wird zum Schutz von Video- und Bilddateien symmetrische Verschlüsselung eingesetzt, während das eigentliche Schlüsselmanagement lokal oder über ein dediziertes Modul erfolgen kann.
Die häufigsten technischen Referenzen sind:
- AES - Standard FIPS 197, redaktionell aktualisiert durch NIST im Jahr 2023,
- AES-GCM - Modus der authentifizierten Verschlüsselung, beschrieben in NIST SP 800-38D aus dem Jahr 2007,
- NIST SP 800-57 Part 1 Rev. 5 - Management kryptografischer Schlüssel, 2020,
- ISO/IEC 27001:2022 und ISO/IEC 27002:2022 - Anforderungen und Sicherheitsmaßnahmen für Organisationen,
- FIPS 140-3 - Anforderungen an kryptografische Module; der Standard wurde 2019 veröffentlicht und ersetzte FIPS 140-2 in den CMVP-Validierungsprozessen.
Wenn die Umgebung ein HSM oder ein KMS verwendet, kann die Schlüsselrotation teilweise automatisiert und auditierbar sein. In einem On-Premise-System ist es wichtig, administrative Rollen, die Schlüsselspeicherung und den Zugriff auf die eigentlichen Videomaterialien voneinander zu trennen. Die bloße Verschlüsselung von Daten ohne Rotationsrichtlinie und ohne Erfassung der Schlüsselversionen erfüllt nicht das Ziel der operativen Sicherheit.
Herausforderungen und Einschränkungen der Schlüsselrotation
Schlüsselrotation verbessert die Sicherheit, kann aber bei schlechter Konzeption das Risiko eines Verlusts der Datenverfügbarkeit erhöhen. Das gilt insbesondere für Videoarchive, die groß sind, lange aufbewahrt werden und häufig Beweis- oder Kontrollpflichten unterliegen.
Die häufigsten Probleme sind:
- fehlende Zuordnung, welche Datei mit welchem Schlüssel und in welcher Version verschlüsselt wurde,
- eine unvollständige Rotation, die nur das Produktionssystem umfasst, nicht jedoch Backups und Testumgebungen,
- eine Re-Encryption ohne Validierung der Dateiintegrität nach dem Vorgang,
- alte Schlüssel bleiben trotz formaler Rotation weiterhin aktiv im Einsatz,
- fehlende Notfallverfahren für Materialien, die aus Audit- oder Ermittlungsgründen relevant sind.
In Umgebungen zur Bildverarbeitung muss außerdem zwischen Datenschutz und der Funktionsweise von KI-Modellen unterschieden werden. Ein Modell zur Erkennung von Gesichtern oder Kfz-Kennzeichen ersetzt keine kryptografischen Kontrollen. Wenn Eingabematerial ohne angemessenen Schlüsselschutz gespeichert wird, beseitigt ein späteres Unkenntlichmachen nicht das zuvor bestehende Risiko einer Verletzung der Vertraulichkeit.
Bedeutung für DSGVO-Compliance und Datensicherheit
Die DSGVO schreibt weder einen bestimmten Algorithmus noch einen festen Zeitplan für die Schlüsselrotation vor, verlangt aber die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Maßgeblich sind hier insbesondere Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO, die sich auf Integrität, Vertraulichkeit und Sicherheit der Verarbeitung beziehen. In der Praxis ist die Schlüsselrotation einer der Mechanismen zur Umsetzung dieser Ziele, insbesondere wenn eine Organisation Materialien vor der Anonymisierung speichert.
Für den Datenschutzbeauftragten ist es wichtig, dass die Rotationsrichtlinie dokumentiert und mit einer Risikoanalyse verknüpft ist. Sie sollte mindestens festlegen:
- welche Datenklassen von der Verschlüsselung erfasst werden,
- welche Schlüsseltypen verwendet werden,
- wann eine planmäßige und wann eine anlassbezogene Rotation erfolgt,
- wer den Vorgang genehmigt und durchführt,
- wie die Schlüsselversion und das Ergebnis des Vorgangs dokumentiert werden.
In Systemen wie Gallio PRO betrifft die Schlüsselrotation die Sicherheit der Verarbeitungsumgebung und der Dateispeicherung. Sie ändert nichts daran, dass sich die automatische Erkennung auf Gesichter und Kfz-Kennzeichen bezieht und andere Bildelemente manuelle Bearbeitung im Editor erfordern können. Aus Sicht des Datenschutzes ergänzen sich beide Bereiche: Die Anonymisierung reduziert die Identifizierbarkeit im Material, während die Schlüsselrotation das Risiko eines unbefugten Zugriffs auf Daten vor und nach der Verarbeitung verringert.