AWK will Audit-Prozesse effizienter gestalten
Die IT-Beratungsfirma AWK spannt mit dem Zürcher Hersteller von Hardware-Security-Modulen Securosys zusammen. Ziel ist es, bestimmte Audit-Prozesse zu automatisieren.
Die AWK Group will schlankere Audit-Mandate ermöglichen. Wie das Unternehmen mitteilt, arbeitet es zu diesem Zweck mit dem Zürcher Hersteller von Hardware-Security-Modulen Securosys zusammen. AWK nutze bei Prüfmandaten hardwaregenerierte Evidenzen von Securosys und verzichte somit auf die physische Präsenz von Auditoren während der sogenannten Key Ceremonies - das heisst bei der Schlüsselgenerierung für Public-Key- und Blockchain-Infrastrukturen.
Bislang musste dieser Prozess gemäss Mitteilung vor Ort von Auditoren in den Rechenzentren der zu prüfenden Firma begleitet und beglaubigt werden. Dies betrifft insbesondere die Prüfung der Hardware-Security-Module (HSM).
Mit einem neuen Verfahren verspricht die AWK-Gruppe Effizienzgewinne auf Kundenseite: Für die Prüfung dieser Prozesse verwendet man von Securosys signierte HSM-Dateien als Prozessnachweise - so könne die Key Ceremony vollzogen werden, ohne dass Prüfer physisch vor Ort sein müssten. Dies gestalte den Audit-Prozess für eine ISAE-3000-Zertifizierung effizienter und spare Zeit und Ressourcen, teilt AWK mit.
Automatisierte Attestierung
Ermöglicht werde diese Vereinfachung durch Key und Device Attestation Features von Securosys. Bei der Key Attestation findet eine kryptografische Überprüfung des Schlüssels und seiner Attribute mit einer vom Root-Zertifikat ausgehenden Vertrauenskette statt. Dies ermögliche es, den Prüfprozess der Key Ceremony zu automatisieren und vertrauenswürdige digitale Identitätsschlüssel in praktisch unbegrenztem Umfang auszustellen.
Das Device Attestation Feature erlaubt es zusätzlich, vom HSM attestierte Informationen wie Hardware- und Software-Versionen, Clustergrösse, Anzahl Security Officers sowie die zugrundeliegenden Konfigurationen auszulesen. Vom HSM signierte Dokumente mit einer überprüfbaren Zertifikatskette können verwendet werden, um Prozesse automatisch und technisch nachvollziehen zu können, ganz ohne menschliche Interaktion.
Übrigens: Seit dem 1. September hat AWK mit Adrian Wägli einen neuen Managing Partner. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie bringt man eine Handvoll erfahrener Dungeon Masters auf die Palme?
Update: Private Grok-Gespräche landen im Netz
MSPs geraten ins Visier der Phisher
Der Kreislauf des Goldes
Autoknacker benutzen neuerdings Software
Digital Trust: Die Grundlage für digitale Transformation
Neon Genesis Evangelion als Live-Action-Film … oder so ähnlich
Cyberkriminelle ködern Arbeitsuchende mit Jobangeboten
KI-Angriff versteckt Befehle in Bildern
