2026-04-24 · 12 Min. Lesezeit

Schafft das langlebige Token ab: Ein CTO‑Playbook für Secrets im Zeitalter von Agenten

Von Diogo Hudson Dias
Engineering lead in a São Paulo office using a security key while viewing an access broker dashboard on a dual-monitor setup.

Ihre Secrets sind nur eine Paketinstallation vom Diebstahl entfernt. Nach Berichten, dass eine populäre Passwortmanager‑CLI im Rahmen einer breiteren Supply‑Chain‑Kampagne ins Visier genommen wurde, und da AI‑Tools inzwischen direkte Verbindungen zu Ihrem SaaS anfordern, ist es unvertretbar geworden, Entwicklerrechnern und Agenten‑Sandboxes langlebige Tokens anzuvertrauen. Das ist kein FUD; es ist eine Architekturlücke. Die Lösung ist kein weiterer Vault; sie liegt darin, überall zu ändern, wie Anmeldeinformationen ausgestellt, eingegrenzt und verwendet werden.

Die Bedrohung hat sich verändert. Ihr Secret‑Modell wahrscheinlich nicht.

Im letzten Jahr sind drei Entwicklungen zusammengelaufen:

  • Supply‑Chain‑Angriffe sind die Stack‑Leiter hochgeklettert — von kompromittierten Registries und Typosquats zu trojanisierten CLIs und Erweiterungen. Checkmarx verfolgte eine Kampagne, die versuchte, Entwickler‑Tooling — darunter ein Bitwarden‑CLI‑Paket — über Paketmanager zu kompromittieren. Ob Sie genau dieses Paket genutzt haben oder nicht, die Quintessenz ist einfach: Ihre freundliche CLI ist jetzt Teil der Angriffsfläche.
  • AI‑Agenten fragen nach echten Schlüsseln — OpenAI und Anthropic liefern Agent‑Connectoren zu persönlichen und Enterprise‑Apps. Google hat ein offizielles Skills‑Repository für Agenten gestartet. Die Bequemlichkeit ist real — der Scope‑Sprawl auch. Ohne Broker übergeben Sie OAuth‑Refresh‑Tokens oder API‑Keys an Code, den Sie nicht geschrieben haben und der in Kontexten läuft, die Sie nicht vollständig kontrollieren.
  • Remote‑ und Nearshore‑Teams vergrößern den Blast‑Radius — jedes neue Laptop, Heimnetz und jede Region vervielfacht die Orte, an denen ein Token zwischengespeichert, abgegriffen oder exfiltriert werden kann. Auch wenn Sie mit Senior‑Engineers in Brazil augmentieren (gute Entscheidung), brauchen Sie eine einheitliche, durchsetzbare Control Plane für Secrets.

Wenn Ihr aktuelles Modell lautet: "Passwortmanager + .env + GitHub PAT + Cloud Access Key + DB‑Passwort + SSH‑Key", dann verlassen Sie sich auf Endpoint‑Hygiene und Entwicklerdisziplin. Das ist keine Strategie; das ist Wunschdenken.

Prinzip, nicht Produkt: vermittelt, kurzlebig, auditierbar

Ein modernes Secrets‑Programm hat drei Eigenschaften:

  • Vermittelt: Workflows erhalten Anmeldeinformationen von einem Policy Enforcement Point (PEP), nicht auf Endgeräten gespeichert. Identitäten erreichen Ressourcen über einen Broker, der Gerätestatus, Benutzergruppe, Tageszeit, Umgebung und Scope erzwingen kann.
  • Kurzlebig: Anmeldeinformationen laufen schnell ab. Cloud‑Rollen via STS dauern typischerweise 15–60 Minuten. SSH‑Zertifikate 1–8 Stunden. DB‑Zugriff via IAM oder kurzlebige Zertifikate. OAuth‑Tokens mit engen Scopes und kurzen TTLs. Keine langlebigen Access Keys oder PATs.
  • Auditierbar: Jede Vergabe wird geloggt und einer Benutzer‑/Workload‑Identität zuordenbar. Sie können beantworten: „Wer hat am Freitag um 14:03 UTC auf die Produktions‑DB zugegriffen?“ — ohne Shell‑Historien zu durchforsten.

Vaults sind weiterhin wichtig — aber ein Vault ist ein Speicher. Das Risiko liegt in der Nutzung. Der Broker ist der Engpass, an dem Sie Policies anwenden, Logs erzeugen und Zugriff widerrufen können.

Ein Entscheidungsrahmen für CTOs: Drei Ebenen, in dieser Reihenfolge

1) Identitätsebene: feststellen, wer/was anfragt

  • Menschenidentität: Erzwingen Sie SSO mit phishing‑resistenter MFA (WebAuthn/Passkeys). Eliminieren Sie Legacy‑MFA, wo immer möglich. Begrenzen Sie die SSO‑Sitzungsdauer auf einen Arbeitstag (8–12 Stunden) und verlangen Sie Re‑Auth bei Privileg‑Esklation.
  • Workload‑Identität: Backen Sie keine Secrets mehr in Container und VMs. Nutzen Sie SPIFFE/SPIRE oder cloud‑native Workload‑Identity‑Federation (GCP WIF, AWS STS, Azure workload identities). Ihre CI/CD sollte ein OIDC‑Token gegen eine Rolle tauschen; keine statischen Cloud‑Keys in CI‑Secrets.
  • Gerätestatus: Verknüpfen Sie Zugriff mit verifizierten, gemanagten Geräten (MDM/EDR‑Attestierung); wenn das Laptop nicht verschlüsselt, aktuell und überwacht ist, gibt es keinen Produktionszugang — Punkt.

2) Ausstellungsebene: statische Anmeldeinformationen abschaffen

  • Cloud‑Rollen: Nutzen Sie OIDC, um kurzlebige Rollenanmeldeinformationen zu erhalten. Standard: 15–60 Minuten Laufzeit. Verbieten Sie IAM‑User mit Access Keys. Erzwingen Sie Rollen‑Chaining mit External IDs für Anbieter.
  • Git‑Operationen: Ersetzen Sie klassische PATs durch SSO‑gestützte, feingranulare Tokens oder SSH‑Zertifikate mit 8‑Stunden‑TTL. Erzwingen Sie Organisations‑SSO auf GitHub oder GitLab; deaktivieren Sie passwortbasiertes Git über HTTPS.
  • Datenbanken: Nutzen Sie IAM‑Auth (AWS RDS, Cloud SQL) oder kurzlebige x509‑Zertifikate von einem Broker (z. B. Teleport DB‑Zugriff, HashiCorp Boundary oder Vault PKI). Rotieren Sie Root/Passwörter auf Break‑Glass‑Notfälle.
  • SSH: Wechseln Sie von statischen Schlüsseln zu signierten SSH‑Zertifikaten (CA stellt 4–8‑Stunden‑Zertifikate aus). Keys liegen nie auf Servern; Widerruf ist sofort möglich, indem Sie die CA stoppen.
  • OAuth zu SaaS: Wenn Sie Agenten oder CLIs mit SaaS verbinden, nutzen Sie Least‑Privilege‑Scopes und kurzlebige Access Tokens. Bevorzugen Sie Out‑of‑Band‑Broker, die im Namen des Agenten ausstellen und refreshen, sodass der Agent nie ein langlebiges Refresh Token hält.

3) Egress‑Ebene: steuern, wie Secrets verwendet werden

  • Credential‑Broker: Leiten Sie DB/SSH/Kubernetes‑Zugriff über einen Broker, der an der Ressource terminiert und bei Bedarf kurzlebige Anmeldeinformationen ausstellt (Teleport, Boundary, strongDM). Für AI‑Agenten nutzen Sie einen dedizierten Secrets‑Proxy (das HN‑Projekt Agent Vault ist ein Open‑Source‑Beispiel), sodass der Agent nie rohe Anmeldeinformationen berührt.
  • Netzwerkpolicy: Prod‑Egress sollte „Default‑Deny“ sein mit expliziten Allowlists zu den SaaS‑Endpoints, auf die Sie sich stützen. Wenn ein Agent versucht, ein Token auf eine Paste‑Site zu exfiltrieren, sollte das schnell und laut fehlschlagen.
  • Logging und Canaries: Loggen Sie jede Vergabe und Session. Platzieren Sie Canary‑Tokens an Orten, an denen sie nie genutzt werden sollten; alarmieren Sie beim ersten Zugriff.

So sieht das in der Praxis aus

Hier ist ein minimales, praxistaugliches Muster, das wir für US‑Startups implementiert haben, die ihr Engineering mit Nearshore‑Teams in Brazil skalieren:

  • Entwickler authentifizieren sich mit SSO + WebAuthn. Ihr Gerätestatus wird verifiziert (Kandji/Intune + EDR). Ob in São Paulo oder Austin — die Posture‑Gates sind identisch.
  • Für Zugriff auf AWS führt der Dev eine signierte, gepinnte CLI aus, die SSO gegen eine 45‑minütige AWS‑Rolle via STS tauscht. Keine Access Keys auf der Festplatte.
  • Um für einen 15‑minütigen Incident auf Produktions‑Postgres zu queryen, beantragt der Dev Zugriff im Broker. Die Policy genehmigt basierend auf On‑Call‑Rolle und Gerätestatus. Der Broker öffnet einen TCP‑Tunnel und stellt ein 15‑Minuten‑DB‑Zertifikat aus. Query‑Logs werden der Identität zugeordnet.
  • Zum Pushen auf GitHub nutzt der Dev SSH‑Zertifikate mit 8‑Stunden‑TTL, die beim Login ausgestellt werden. Die Organisation erzwingt SSO und verbietet klassische PATs.
  • AI‑Coding‑Agenten laufen in kurzlebigen Containern. Wenn sie interne APIs oder JIRA aufrufen müssen, fordern sie beim Agent‑Secrets‑Proxy eine Capability an. Der Proxy stellt ein enges, kurzlebiges Token mit Allowlist von Endpoints und HTTP‑Verben aus und loggt jede Nutzung.

Keine rohen Anmeldeinformationen werden auf Laptops oder in Agenten‑Sandboxes gespeichert. Wenn eine bösartige CLI versucht, ~/.aws/credentials zu lesen, findet sie nichts. Wenn sie versucht, ein Token zu exfiltrieren, ist das vermittelte Token abgelaufen oder auf eine einzelne Aktion und einen IP‑Bereich beschränkt.

Implementierung: ein 90‑Tage‑Plan

Days 0–30: Offensichtliche langlebige Tokens eliminieren

  • Inventur: Erfassen Sie Secrets, die von Menschen, CI und Services genutzt werden. Fokus auf GitHub/GitLab‑PATs, Cloud‑Access‑Keys, DB‑Passwörter und SSH‑Keys.
  • Sofortige Policy: Fordern Sie SSO + WebAuthn. Erzwingen Sie PAT‑Ablauf und Scope‑Minimierung. Deaktivieren Sie klassische PATs für Organisationszugriff. Schalten Sie passwortbasiertes Git über HTTPS aus.
  • Mit Cloud starten: Migrieren Sie CI auf OIDC‑basierte Rollenannahme (GitHub Actions OIDC zu AWS/GCP/Azure). Rotieren und löschen Sie langlebige Cloud‑Keys.
  • Endpoints schützen: Blockieren Sie die Entwickler‑Shell‑Historie für Secrets und erzwingen Sie OS‑Keychain‑Storage für alle kurzzeitigen Tokens. Aktivieren Sie Pre‑Commit‑Secret‑Scanning und org‑weites Scanning im VCS.

Days 31–60: Broker und Zertifikate einführen

  • Einen Broker wählen: Entscheiden Sie sich für Teleport, Boundary, strongDM oder ein vergleichbares Tool, das Ihr Team betreiben kann. Stellen Sie HA in Ihrer Cloud bereit.
  • Zuerst SSH und DB: Migrieren Sie SSH auf CA‑signierte Zertifikate (8‑Stunden‑TTL). Ersetzen Sie DB‑Passwörter durch broker‑ausgestellte, kurzlebige Zertifikate oder IAM‑Zugriff. Schließen Sie DB‑Superuser‑Creds hinter Break‑Glass weg.
  • Git‑Härtung: Aktivieren Sie Organisations‑SSO, feingranulare Tokens und verpflichtendes SSH‑Signing. Erzwingen Sie 7 Tage maximale TTL für Git‑Tokens, falls Ihr VCS das erlaubt; andernfalls nutzen Sie SSH‑Zertifikate.

Days 61–90: Agenten und SaaS in den Scope bringen

  • Agent‑Secrets‑Proxy: Führen Sie einen minimalen Proxy‑Service für AI‑Agenten ein. Er sollte enge, zeitlich begrenzte Capability‑Tokens pro Tool ausstellen (z. B. nur JIRA‑Issue‑Create) und Refresh Tokens serverseitig halten.
  • Netzwerk und Canaries: Ziehen Sie Prod‑Egress‑Allowlists an. Platzieren Sie Canary‑Tokens in wahrscheinlichen Exfil‑Pfade (Dotfiles, Build‑Logs) und alarmieren Sie bei erster Nutzung.
  • Drills: Führen Sie eine Purple‑Team‑Übung durch: Legen Sie ein gefälschtes, trojanisiertes CLI‑Binary in eine Sandbox und messen Sie Time‑to‑Detection, Blast‑Radius und Widerrufsgeschwindigkeit.

Tool‑Hinweise und konkrete Zahlen

  • STS und Token‑Lebensdauern: AWS‑STS‑Rollensessions sind üblicherweise 15–60 Minuten; setzen Sie 45 Minuten als guten Mittelwert. GCP WIF stellt 1‑Stunden‑Tokens aus. SSH‑Zertifikate von 4–8 Stunden passen zu Arbeitsblöcken. DB‑Zertifikate mit 15 Minuten fördern gutes Verhalten.
  • Broker: Teleports DB/SSH/K8s‑Zugriff zentralisiert Policy und liefert Ihnen Sitzungsaufzeichnungen pro Session. Boundary ist solide, wenn Sie ohnehin auf HashiCorp setzen. Wenn Sie für Agenten selbst bauen müssen, kopieren Sie die Prinzipien: kurzlebige Credentials, Policy am Edge, vollständige Audit‑Logs.
  • Supply‑Chain‑Härtung: Pinnen und verifizieren Sie CLIs mit Sigstore/cosign‑Signaturen. Setzen Sie npm auf ignore-scripts=true für sensitive Umgebungen. Nutzen Sie pipx oder isolierte Umgebungen für Python‑Tooling. Pflegen Sie einen internen, signierten Tap für Homebrew‑Formeln.

Welche Trade‑offs Sie eingehen

  • Reibung vs. Risiko: Kurze TTLs verursachen gelegentlichen Re‑Auth‑Pain. Nehmen Sie ihn in Kauf. Die Alternative ist ein zwischengespeichertes 90‑Tage‑Token, das in einer Shell‑Historie auf einem gestohlenen Laptop liegt.
  • Legacy‑Tool‑Lücken: Manche Dritttools unterstützen OIDC oder Zertifikate nicht. Umschließen Sie sie mit dem Broker oder isolieren Sie sie auf Non‑Prod, bis sie es tun.
  • Risiko durch Zentralisierung: Ein Broker liegt auf dem kritischen Pfad. Betreiben Sie ihn HA über Zonen hinweg, testen Sie Failover und halten Sie einen Break‑Glass‑Plan vor, der nicht zu langlebigen Secrets zurückfällt.

Kosten und ROI, realistisch betrachtet

  • Engineering‑Aufwand: Rechnen Sie mit 2–3 Senior‑Engineers für 8–10 Wochen, um die Kernänderungen in einer Organisation mit 50–150 Engineers zu landen. Inklusive Cloud, VCS, DB, SSH und initialem Agent‑Proxy.
  • Lizenzen: Teleport/strongDM/Broker‑Tools liegen typischerweise bei 20–40 $ pro Nutzer und Monat. Boundary und Vault sind Open Source, aber Sie zahlen in Ops. Das amortisiert sich durch einen einzigen vermiedenen Vorfall oder durch gesparte Audit‑Vorbereitungsstunden.
  • Reduzierter Blast‑Radius: Der Wechsel von 90‑Tage‑PATs und unbefristeten DB‑Passwörtern zu 45‑Minuten‑Rollencreds und 15‑Minuten‑DB‑Zertifikaten lässt gestohlene Tokens vor Ort verfallen. Die meisten Exfil‑Versuche werden laut und nutzlos.

Nearshore‑Teams: gleiche Control Plane, andere Ergonomie

Engineers in Brazil mit 6–8 Stunden Überschneidung mit US‑Teams sollten identische Posture‑Gates und vermittelte Pfade haben. Die einzigen Anpassungen, die wir empfehlen:

  • Latenzbewusste Broker: Platzieren Sie einen Broker‑Edge nahe São Paulo (AWS sa‑east‑1, GCP southamerica‑east1), um DB‑Tunnel flott zu halten. Terminieren Sie nahe den Ressourcen.
  • Datenjurisdiktion: Wenn Sie Daten aus Latenzgründen nach Brazil spiegeln, stellen Sie sicher, dass Ihr Broker Ressource‑Level‑Policies erzwingt, damit PII dort bleibt, wo sie muss. Halten Sie Audit‑Logs zentral in den USA für Compliance.
  • Konnektivitäts‑Hygiene: Fordern Sie Split DNS und VPN mit Gerätestatus für sensitive Ressourcen; verlassen Sie sich nicht auf das öffentliche Internet für Produktions‑DB‑Zugriff, selbst mit Zertifikaten.

Warten Sie nicht auf die nächste Schlagzeile

Der Bitwarden‑CLI‑Newscycle wird verpuffen. Die Agent‑Integrationen werden glänzender. Die nächste CLI wird kompromittiert. Ihre Aufgabe ist es, diese Ereignisse für Ihre Organisation uninteressant zu machen. Das gelingt, indem Sie langlebige Secrets eliminieren, Zugriff am Rand broker‑gesteuert bereitstellen und die Befugnis und Lebensdauer jedes Tokens so weit verkleinern, bis es für einen Angreifer kaum noch nützlich ist.

Sie brauchen dafür kein 12‑Monats‑Zero‑Trust‑Programm. In 90 Tagen — mit fokussiertem Einsatz und den richtigen Brokern — können Sie das nächste kompromittierte Paket oder einen über‑gescopten Agent‑Connector zum Nicht‑Ereignis machen.

Wichtigste Erkenntnisse

  • Speichern Sie keine mächtigen, langlebigen Secrets auf Entwicklerrechnern und in Agenten‑Sandboxes; das Risikoprofil hat sich verändert.
  • Übernehmen Sie ein vermitteltes, kurzlebiges, auditierbares Modell: kurzlebige Credentials via STS/OIDC, SSH‑Zertifikate, IAM‑DB‑Auth und einen Policy‑durchsetzenden Access‑Broker.
  • Kontrollieren Sie Egress und Scope für AI‑Agenten mit einem Secrets‑Proxy; geben Sie Agenten keine Refresh Tokens.
  • Umsetzung in 90 Tagen: langlebige Tokens eliminieren, Broker aufbauen, SSH/DB auf Zertifikate umstellen und Agenten sowie SaaS in den Scope bringen.
  • Rechnen Sie mit etwas Reibung und Tool‑Lücken; die Reduktion des Blast‑Radius und die Auditierbarkeit lohnen sich.
  • Nearshore‑Teams in Brazil fügen sich nahtlos in dieses Modell ein; platzieren Sie Broker‑Edges regional und halten Sie Policies identisch.

Ready to scale your engineering team?

Tell us about your project and we'll get back to you within 24 hours.

Start a conversation