Security

Kryptografische Inventarisierung für Quantum Readiness

3 Min. Lesezeit

Zusammenfassung

Microsoft fordert Unternehmen auf, die kryptografische Inventarisierung als ersten praktischen Schritt in Richtung Post-Quantum-Readiness zu behandeln. Das Unternehmen beschreibt einen kontinuierlichen Lifecycle für Cryptography Posture Management, der Security-Teams dabei hilft, kryptografische Risiken in Code, Netzwerken, Runtime und Storage zu erkennen, zu bewerten, zu priorisieren und zu beheben.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Post-Quantum-Kryptografie rückt näher, doch laut Microsoft besteht die größte Herausforderung für die meisten Organisationen nicht in der Auswahl neuer Algorithmen. Sie liegt darin zu verstehen, wo Kryptografie bereits in Anwendungen, Infrastruktur, Geräten und Services eingesetzt wird. Ohne diese Transparenz können Security-Teams Risiken nicht bewerten, Migrationen nicht planen und nicht schnell auf neue Schwachstellen oder Compliance-Vorgaben reagieren.

Was Microsoft empfiehlt

Microsofts neue Leitlinien konzentrieren sich auf den Aufbau eines kryptografischen Inventars: eines lebendigen Verzeichnisses von Zertifikaten, Schlüsseln, Protokollen, Bibliotheken, Algorithmen, Secrets, HSMs und verschlüsselten Sessions in der gesamten Umgebung.

Das Unternehmen beschreibt dies als Grundlage für Cryptography Posture Management (CPM), also einen fortlaufenden Lifecycle statt eines einmaligen Discovery-Projekts.

Der sechsstufige CPM-Lifecycle

  • Discover kryptografische Signale in Code, Runtime, Netzwerkverkehr und Storage
  • Normalize Daten in ein konsistentes Inventarschema
  • Assess risk anhand von Richtlinien, Standards und bekannten Schwachstellen
  • Prioritize Erkenntnisse nach Exposition, Kritikalität der Assets und Compliance-Auswirkungen
  • Remediate durch Schlüsselrotation, Bibliotheks-Updates, Protokolländerungen und Algorithmusersatz
  • Continuously monitor auf neue Deployments, Drift, Erneuerungen und neu entstehende Bedrohungen

Die vier abzudeckenden Bereiche

Microsoft empfiehlt, Inventarisierungsmaßnahmen auf folgende Bereiche abzubilden:

  • Code: kryptografische Bibliotheken und Primitive im Quellcode
  • Storage: Zertifikate, Schlüssel, Secrets und Vault-Inhalte
  • Network: TLS, SSH, Cipher-Suite-Aushandlungen und verschlüsselte Sessions
  • Runtime: aktive kryptografische Operationen und In-Memory-Schlüsselnutzung

Warum das für IT- und Security-Teams wichtig ist

Diese Leitlinien sind nicht nur für die künftige Planung von Quantum-Migrationen relevant. Microsoft weist darauf hin, dass die kryptografische Inventarisierung zunehmend mit Governance- und regulatorischen Anforderungen verknüpft ist, darunter DORA, OMB M-23-02 und PCI DSS 4.0.

Für Administratoren verbessert ein vollständiges Inventar:

  • Compliance-Readiness, indem identifiziert wird, wo regulierte kryptografische Kontrollen eingesetzt werden
  • Risikopriorisierung, indem Schwachstellen mit hoher Exposition von internen Assets mit geringerem Risiko getrennt werden
  • Crypto-Agility, indem betroffene Systeme leichter gefunden und aktualisiert werden können, wenn sich Algorithmen oder Bibliotheken ändern

Eine zentrale Botschaft von Microsoft lautet, dass Cryptography Posture Management klare Verantwortlichkeiten und wiederholbare Prozesse erfordert. Ein einmaliger Scan hält nicht mit sich ändernden Zertifikaten, neuem Code oder sich weiterentwickelnden Policy-Baselines Schritt.

Nächste Schritte

Organisationen, die bereits Microsoft Security- und Azure-Tools nutzen, verfügen möglicherweise bereits über einen Großteil der erforderlichen Telemetrie. Der empfohlene nächste Schritt besteht darin, diese Signale in einem normalisierten Inventar zusammenzuführen und die Transparenz dann mit Partnerlösungen zu erweitern, wo eine tiefere Abdeckung erforderlich ist.

Security-Verantwortliche sollten damit beginnen, den Umfang des Inventars zu definieren, Verantwortlichkeiten teamübergreifend zuzuweisen und die wertvollsten Assets zu identifizieren, die zuerst bewertet werden sollen. Diese operative Grundlage wird sowohl für die Post-Quantum-Planung als auch für die tägliche kryptografische Hygiene entscheidend sein.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Aviram Shemesh and Jennifer Rutzer lesen
post-quantum cryptographycryptographic inventorycryptography posture managementMicrosoft Securityquantum readiness

Verwandte Beiträge

Security

Sapphire Sleet macOS-Angriff: Defender-Erkenntnisse

Microsoft Threat Intelligence hat eine auf macOS ausgerichtete Kampagne von Sapphire Sleet beschrieben, die Social Engineering und gefälschte Software-Updates statt der Ausnutzung von Schwachstellen nutzt. Die Angriffskette basiert auf von Nutzern initiierten AppleScript- und Terminal-Ausführungen, um native macOS-Schutzmechanismen zu umgehen. Dadurch werden mehrschichtige Abwehr, Benutzeraufklärung und Endpoint Detection besonders wichtig.

Security

KI-Incident-Response: Was Security-Teams ändern müssen

Microsoft erklärt, dass traditionelle Prinzipien der Incident Response auch für AI-Systeme weiter gelten, Teams jedoch nicht-deterministisches Verhalten, schnelleren Schaden im großen Maßstab und neue Risikokategorien berücksichtigen müssen. Das Unternehmen betont den Bedarf an besserer AI-Telemetrie, funktionsübergreifenden Reaktionsplänen und einer stufenweisen Behebung, um Probleme schnell einzudämmen, während langfristige Lösungen entwickelt werden.

Security

Agentic SOC von Microsoft: Zukunft der SecOps

Microsoft skizziert ein Modell des „agentic SOC“, das autonome Bedrohungsabwehr mit AI agents kombiniert, um Untersuchungen zu beschleunigen und Alert-Müdigkeit zu reduzieren. Der Ansatz soll Security Operations von reaktiver Incident Response hin zu schnellerer, anpassungsfähigerer Verteidigung verlagern und SOC-Teams mehr Zeit für strategische Risikoreduzierung und Governance geben.

Security

Storm-2755 Gehaltsangriffe auf kanadische Mitarbeiter

Microsoft hat eine finanziell motivierte Storm-2755-Kampagne beschrieben, die kanadische Mitarbeiter mit Angriffen zur Umleitung von Gehaltszahlungen ins Visier nimmt. Der Threat Actor nutzte SEO poisoning, Malvertising und Adversary-in-the-Middle-Techniken, um Sessions zu stehlen, Legacy-MFA zu umgehen und Direct-Deposit-Daten zu ändern – wodurch phishing-resistente MFA und Session-Monitoring zu entscheidenden Schutzmaßnahmen werden.

Security

EngageSDK Android-Sicherheitslücke gefährdete Wallets

Microsoft hat eine schwerwiegende Intent-Redirection-Sicherheitslücke im Drittanbieter-EngageSDK für Android offengelegt, durch die Millionen von Nutzern von Crypto-Wallets potenziell dem Risiko von Datenoffenlegung und Privilegienausweitung ausgesetzt waren. Das Problem wurde in EngageSDK Version 5.2.1 behoben und unterstreicht das wachsende Sicherheitsrisiko intransparenter Abhängigkeiten in der Mobile-App-Lieferkette.

Security

SOHO-Router DNS-Hijacking: Microsoft warnt

Microsoft Threat Intelligence berichtet, dass Forest Blizzard anfällige Heim- und Kleinbüro-Router kompromittiert hat, um DNS-Datenverkehr umzuleiten und in einigen Fällen Adversary-in-the-Middle-Angriffe auf gezielte Verbindungen zu ermöglichen. Die Kampagne ist für IT-Teams relevant, weil nicht verwaltete SOHO-Geräte von Remote- und Hybrid-Mitarbeitenden den Zugriff auf Cloud-Dienste und sensible Daten gefährden können, selbst wenn Unternehmensumgebungen abgesichert bleiben.