AWK will Audit-Prozesse effizienter gestalten
Die IT-Beratungsfirma AWK spannt mit dem Zürcher Hersteller von Hardware-Security-Modulen Securosys zusammen. Ziel ist es, bestimmte Audit-Prozesse zu automatisieren.
Die AWK Group will schlankere Audit-Mandate ermöglichen. Wie das Unternehmen mitteilt, arbeitet es zu diesem Zweck mit dem Zürcher Hersteller von Hardware-Security-Modulen Securosys zusammen. AWK nutze bei Prüfmandaten hardwaregenerierte Evidenzen von Securosys und verzichte somit auf die physische Präsenz von Auditoren während der sogenannten Key Ceremonies - das heisst bei der Schlüsselgenerierung für Public-Key- und Blockchain-Infrastrukturen.
Bislang musste dieser Prozess gemäss Mitteilung vor Ort von Auditoren in den Rechenzentren der zu prüfenden Firma begleitet und beglaubigt werden. Dies betrifft insbesondere die Prüfung der Hardware-Security-Module (HSM).
Mit einem neuen Verfahren verspricht die AWK-Gruppe Effizienzgewinne auf Kundenseite: Für die Prüfung dieser Prozesse verwendet man von Securosys signierte HSM-Dateien als Prozessnachweise - so könne die Key Ceremony vollzogen werden, ohne dass Prüfer physisch vor Ort sein müssten. Dies gestalte den Audit-Prozess für eine ISAE-3000-Zertifizierung effizienter und spare Zeit und Ressourcen, teilt AWK mit.
Automatisierte Attestierung
Ermöglicht werde diese Vereinfachung durch Key und Device Attestation Features von Securosys. Bei der Key Attestation findet eine kryptografische Überprüfung des Schlüssels und seiner Attribute mit einer vom Root-Zertifikat ausgehenden Vertrauenskette statt. Dies ermögliche es, den Prüfprozess der Key Ceremony zu automatisieren und vertrauenswürdige digitale Identitätsschlüssel in praktisch unbegrenztem Umfang auszustellen.
Das Device Attestation Feature erlaubt es zusätzlich, vom HSM attestierte Informationen wie Hardware- und Software-Versionen, Clustergrösse, Anzahl Security Officers sowie die zugrundeliegenden Konfigurationen auszulesen. Vom HSM signierte Dokumente mit einer überprüfbaren Zertifikatskette können verwendet werden, um Prozesse automatisch und technisch nachvollziehen zu können, ganz ohne menschliche Interaktion.
Übrigens: Seit dem 1. September hat AWK mit Adrian Wägli einen neuen Managing Partner. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Customize erweitert Geschäftsleitung
Der wahrscheinlich kleinste QR-Code der Welt
Bundesrat will teure IT-Alleingänge der Verwaltung stoppen
Falsche Banker und Polizisten machen Jagd auf Kontodaten
Mobilezone steigert Gewinn trotz tieferem Vertragsvolumen
Finanzbranche übt Reaktion auf systemischen Cyberangriff
KI-Angriffe setzen auf Masse statt Klasse
Unispital Zürich setzt KI-Überwachung für vulnerable Patienten ein
Worauf es bei der Wahl eines ERP-Systems wirklich ankommt
