Secrets Management - Definition
Secrets Management, also die Verwaltung von Geheimnissen beziehungsweise sensiblen Zugangsdaten, umfasst Prozesse, Richtlinien und technische Mechanismen zur sicheren Erstellung, Speicherung, Verteilung, Rotation, Nutzung und Außerbetriebnahme vertraulicher Authentifizierungsdaten. Zu den Secrets zählen unter anderem Passwörter, API-Schlüssel, Verschlüsselungsschlüssel, Zertifikate, Zugriffstoken, Daten von Servicekonten sowie Zugangsdaten für Datenbanken und Dateisysteme. Aus normativer Sicht ist Secrets Management Teil eines größeren Bereichs aus Identitätsmanagement, Zugriffskontrolle und Kryptografie, wie er unter anderem in ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-57 Part 1 Rev. 5 von 2020 sowie NIST SP 800-63B von 2020 beschrieben wird.
Im Kontext der Anonymisierung von Fotos und Videoaufnahmen hat dieser Begriff eine ganz praktische Bedeutung. Ein System zur automatischen Erkennung und Unkenntlichmachung von Gesichtern und Kfz-Kennzeichen nutzt in der Regel zahlreiche technische Secrets. Dazu können Schlüssel zur Verschlüsselung von Datenträgern, Zugangsdaten für Repositories von KI-Modellen, TLS-Zertifikate für das Administrationspanel, Zugangsdaten zu Job-Queue-Diensten, Container-Registries, Backups oder Identitätsmanagementsystemen gehören. Wird ein Secret offengelegt, betrifft das Risiko nicht nur die Infrastruktur. Es umfasst auch den unbefugten Zugriff auf Quellmaterial mit Abbildungen von Personen und Kennzeichen, also auf personenbezogene Daten, die vor der Anonymisierung verarbeitet werden.
Für Datenschutzbeauftragte ist wesentlich, dass Secrets Management kein bloßer administrativer Zusatz ist, sondern eine Sicherheitsmaßnahme, die gemäß Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 DSGVO umgesetzt wird. In der Praxis entscheidet es darüber, ob die Anonymisierung von Fotos und Videos in einer kontrollierten Umgebung mit minimalen Berechtigungen und begrenzten Auswirkungen eines Sicherheitsvorfalls erfolgt.
Die Rolle von Secrets Management bei der Anonymisierung von Fotos und Videoaufnahmen
In Systemen zur Bild- und Videoverarbeitung ist ein Secret kein Selbstzweck. Es ist ein Mittel zur Absicherung der einzelnen Schritte bei der Arbeit mit Dateien, KI-Modellen und Anonymisierungsergebnissen. Das gilt sowohl für On-Premise-Installationen als auch für hybride Umgebungen. Im Fall von Gallio PRO ist das besonders relevant, weil die Software im Bereich Datenschutz eingesetzt wird und das Unkenntlichmachen von Gesichtern sowie Kfz-Kennzeichen automatisiert.
In einer typischen Verarbeitungskette kann ein Medium den Dateiimport, die Frame-Dekodierung, die Erkennung von Gesichtern und Kennzeichen, die Durchführung der Unschärfe, die Speicherung der Ergebnisversion sowie die Löschung der Daten nach Ablauf der Aufbewahrungsfrist durchlaufen. In mehreren Phasen kommen dabei Secrets zum Einsatz.
- Secrets für den Zugriff auf Dateispeicher mit Quell- und Ergebnisdaten,
- Schlüssel für die Verschlüsselung ruhender und übertragener Daten,
- Zugangsdaten von Servicekonten, die die Verarbeitungspipeline ausführen,
- Zertifikate zur Authentifizierung interner Dienste,
- Secrets zum Signieren von Session-Tokens für Operatoren und Administratoren,
- Zugangsdaten für Backup-Systeme und Modell-Repositories.
Ist die Verwaltung von Geheimnissen fehlerhaft, kann ein Betreiber unter Umständen nicht nachweisen, wer wann und auf welcher Grundlage Zugriff auf das Quellmaterial erhalten hat. In der Praxis untergräbt das die Rechenschaftspflicht. Das ist besonders dann relevant, wenn das Material vor der Anonymisierung personenbezogene Daten enthält und die Unkenntlichmachung von Gesichtern oder Kennzeichen im Batch-Verfahren und nicht in Echtzeit erfolgt.
Technologien im Secrets Management
Secrets Management kann auf mehreren Ebenen umgesetzt werden. Die Grundlage bildet ein dedizierter Secret Store mit Zugriffskontrolle, Nutzungs-Audit und Rotation. In Umgebungen mit erhöhten Anforderungen kommen zusätzlich Hardware-Sicherheitsmodule und KMS-Systeme zum Einsatz. Ihre Aufgabe besteht darin, Schlüsselmaterial zu schützen und den direkten Zugriff von Administratoren auf Master Keys zu begrenzen.
In der Praxis sind folgende technische Ansätze verbreitet:
- Vault oder zentraler Secret Store - speichert Secrets, gibt sie nach erfolgreicher Authentifizierung an Prozesse aus und erzwingt Zugriffsrichtlinien.
- KMS - Key Management Service - verwaltet kryptografische Schlüssel, häufig mit Unterstützung für Envelope Encryption.
- HSM - Hardware Security Module - schützt Schlüssel in einem manipulationssicheren Gerät. Die Sicherheitsanforderungen für kryptografische Module werden in FIPS 140-3 beschrieben, veröffentlicht vom NIST im Jahr 2019.
- PKI und X.509-Zertifikate - dienen der Authentifizierung von Diensten und der Verschlüsselung von Verbindungen.
- Just-in-Time Credentials - kurzlebige Zugangsdaten, die nur für die Dauer einer Aufgabe ausgestellt werden, statt dauerhaft gültiger Passwörter.
- Secret Injection - Bereitstellung eines Secrets an einen Prozess zur Laufzeit, ohne Speicherung im Quellcode oder Container-Image.
In KI-Systemen zur Bildverarbeitung sollten Secrets nicht in Modellen, Konfigurationsdateien des Repositories oder Batch-Skripten eingebettet sein. Das gilt auch für Pipelines, die Deep-Learning-Modelle zur Gesichtserkennung verwenden. Deep Learning ist für die Entwicklung und Ausführung von Modellen zur Objekterkennung im Bild erforderlich, aber die Sicherheit des Modells und die Sicherheit der Secrets sind zwei getrennte Bereiche. Das Modell ist für die Erkennungsqualität verantwortlich, Secrets Management dagegen für die Zugriffskontrolle auf Daten und Infrastruktur.
Zentrale Parameter und Kennzahlen im Secrets Management
Die Bewertung des Reifegrads im Secrets Management erfordert messbare Parameter. Für Umgebungen zur Anonymisierung von Fotos und Videos sind vor allem Kennzahlen relevant, die mit Datenexposition, Reaktionszeit und Berechtigungskontrolle zusammenhängen. Ein Teil dieser Indikatoren ist organisatorischer Natur, ein anderer streng technisch.
Parameter | Bedeutung | Beispiel für die Interpretation
|
|---|---|---|
TTL des Secrets | Lebensdauer eines Secrets | Je kürzer die TTL für aufgabenbezogene Zugangsdaten, desto geringer die Folgen eines Lecks |
MTTR der Rotation | Zeit, die zum Austausch eines kompromittierten Secrets benötigt wird | Eine niedrige MTTR verkleinert das Missbrauchsfenster nach einem Sicherheitsvorfall |
Abdeckung durch Rotation | Anteil der Secrets, die einer automatischen Rotation unterliegen | 100 % bei Servicekonten ist ein reiferes Ziel als manuelle Rotation |
Granularität der Berechtigungen | Grad der Präzision bei der Vergabe von Zugriffsrechten | Getrennte Secrets für Dateiimport, Verarbeitung und Export der Ergebnisse |
Latenz beim Abruf eines Secrets | Zeit, die ein Dienst benötigt, um ein Secret zu erhalten | Zu hohe Latenz kann die Batch-Verarbeitung von Videos verlangsamen |
Auditierbarkeit | Möglichkeit, die Nutzung eines Secrets einer Identität und einem Ereignis zuzuordnen | Wichtig für Rechenschaftspflicht und Vorfallanalyse |
Für die Risikoanalyse kann folgende einfache Hilfsbeziehung verwendet werden:
Exposition eines Secrets = Gültigkeitsdauer x Umfang der Berechtigungen x Anzahl der Ressourcen, auf die mit dem Secret zugegriffen werden kann
Dies ist keine normative Formel, aber eine nützliche Vergleichsmethode. In der Praxis sind langlebige Secrets mit weitreichenden Berechtigungen und Zugriff auf zahlreiche Repositories mit Quellmaterial am kritischsten.
Herausforderungen und Grenzen von Secrets Management
Wirksames Secrets Management beseitigt nicht alle Bedrohungen. Es reduziert jedoch deren Ausmaß und erleichtert die Reaktion. In Umgebungen zur Bildverarbeitung ist die Verteilung der Komponenten häufig ein Problem: Operator-Arbeitsplätze, Verarbeitungsserver, Dateirepositories, Backups und Administrationswerkzeuge. Jedes dieser Elemente kann ein eigenes Zugriffsmodell erfordern.
Zu den häufigsten Problemen gehören:
- Secrets, die in Skripten, Konfigurationsdateien oder der Befehlshistorie gespeichert sind,
- fehlende Trennung zwischen Test- und Produktionsumgebung,
- übermäßige Berechtigungen von Servicekonten,
- fehlende Rotation nach Personalwechseln oder nach einem Sicherheitsvorfall,
- unzureichendes Audit der Secret-Nutzung,
- Integrationsschwierigkeiten mit Altsystemen.
Im Zusammenhang mit der Anonymisierung visueller Inhalte ist außerdem wichtig, Secrets von personenbezogenen Daten zu unterscheiden. Ein Secret ist an sich kein personenbezogenes Datum, seine Offenlegung kann jedoch den Zugriff auf Fotos und Aufnahmen mit Gesichtern oder Kfz-Kennzeichen ermöglichen. Deshalb sollte die Risikoanalyse sowohl die kryptografische Ebene als auch den eigentlichen Bildverarbeitungsprozess umfassen.
Normative Verweise und Compliance-Praxis
Secrets Management sollte mit konkreten Sicherheitsanforderungen verknüpft werden und nicht nur als gute administrative Praxis gelten. In Umgebungen, in denen Fotos und Aufnahmen zum Zweck der Anonymisierung verarbeitet werden, sind insbesondere Standards zu Zugriffskontrolle, Kryptografie, Ereignisprotokollierung und Schwachstellenmanagement relevant.
- DSGVO - Verordnung (EU) 2016/679, insbesondere Art. 25 und Art. 32 - Datenschutz durch Technikgestaltung sowie Sicherheit der Verarbeitung.
- ISO/IEC 27001:2022 - Informationssicherheits-Managementsystem.
- ISO/IEC 27002:2022 - Leitlinien zu Sicherheitsmaßnahmen, einschließlich Zugriffskontrolle und Einsatz von Kryptografie.
- NIST SP 800-57 Part 1 Rev. 5, 2020 - Empfehlungen für das Management kryptografischer Schlüssel.
- NIST SP 800-63B, 2020 - Anforderungen an Authentifizierung und Authentifizierungsgeheimnisse.
- FIPS 140-3, 2019 - Sicherheitsanforderungen an kryptografische Module.
- OWASP Secrets Management Cheat Sheet - praxisorientiertes, nicht normatives Dokument, das jedoch häufig als Referenz für die Implementierung genutzt wird.
In der Compliance-Praxis ist zudem wichtig, dass ein Anonymisierungssystem keine übermäßigen Logs mit personenbezogenen Daten sammelt. Wenn eine Lösung keine Logs zur Erkennung von Gesichtern und Kfz-Kennzeichen speichert und auch in administrativen Logs keine personenbezogenen Daten festhält, verringert dies den Umfang zusätzlicher Daten, die ebenfalls geschützt und aufbewahrt werden müssten.