14.2 Zugangsdaten in Automatisierungsprozessen sicher schützen

Zugangsdaten gehören zu den sensibelsten Bestandteilen jeder Netzwerkautomatisierung, weil sie den direkten Zugriff auf Router, Switches, Firewalls, Controller und Management-Plattformen ermöglichen. Sobald Automatisierungsprozesse produktiv eingesetzt werden, verwalten sie nicht nur Geräteinformationen oder Konfigurationsdaten, sondern arbeiten mit hochprivilegierten Konten, API-Tokens, SSH-Schlüsseln oder Zertifikaten. Genau diese Informationen entscheiden darüber, ob ein Skript nur einen harmlosen Read-Only-Check ausführt oder Konfigurationen auf hunderten Geräten ändern kann. Für Network Engineers ist deshalb klar: Wer Zugangsdaten in Automatisierungsprozessen nicht sauber schützt, gefährdet nicht nur einzelne Skripte, sondern das gesamte Betriebsmodell der Netzwerkautomation. Sichere Automatisierung beginnt daher immer mit dem sicheren Umgang mit Secrets.

Warum Zugangsdaten in der Netzwerkautomation besonders kritisch sind

Automatisierung arbeitet mit privilegierten Zugängen

Netzwerkautomation benötigt fast immer einen authentifizierten Zugriff auf produktive Systeme. Das gilt unabhängig davon, ob ein Prozess per SSH, NETCONF, RESTCONF, REST-API oder Controller-Schnittstelle arbeitet. Selbst scheinbar harmlose Read-Only-Jobs können sensible Netzwerkinformationen auslesen, während Write-Prozesse direkt in den produktiven Betrieb eingreifen.

• SSH-Zugänge ermöglichen CLI-basierte Änderungen oder Auswertungen.
• NETCONF- und RESTCONF-Konten erlauben strukturierte Konfigurationszugriffe.
• API-Tokens öffnen oft den Weg zu zentralen Managementplattformen.
• Service-Accounts können auf viele Geräte gleichzeitig wirken.

Ein kompromittiertes Automatisierungskonto ist deshalb häufig kritischer als der Verlust eines normalen Einzelzugangs zu einem einzelnen Gerät.

Ein einzelnes Secret kann große Reichweite haben

Im manuellen Betrieb ist der Schaden durch kompromittierte Zugangsdaten oft auf einen Benutzer und wenige Geräte begrenzt. In automatisierten Prozessen ist das anders. Hier arbeiten häufig Skripte, Playbooks oder Plattformen mit zentralen Zugangsdaten, die netzweit gültig sind oder zumindest auf viele Geräte wirken.

• Ein einziges Passwort kann Zugriff auf viele Switches geben.
• Ein API-Token kann mehrere Controller-Funktionen freischalten.
• Ein SSH-Schlüssel kann automatisierte Konfigurationsänderungen ermöglichen.
• Ein kompromittierter Vault-Zugang kann viele weitere Secrets offenlegen.

Genau deshalb ist Secret-Schutz in der Netzwerkautomation keine Detailfrage, sondern ein Kernthema der Betriebssicherheit.

Welche Arten von Zugangsdaten in Automatisierungsprozessen vorkommen

Benutzername und Passwort

Der klassische Fall ist die Kombination aus Benutzername und Passwort. Sie wird besonders häufig in SSH-basierten Skripten, API-Zugriffen oder einfachen Automatisierungsjobs genutzt. Gerade weil dieser Ansatz vertraut wirkt, wird er oft auch unsicher umgesetzt.

• Lokale Geräteaccounts
• AAA-gebundene Benutzer
• Service-Accounts für Skripte
• API-Logins mit Benutzername und Passwort

Ein typischer CLI-Bezug auf Geräten wäre beispielsweise:

username automation privilege 15 secret StrongPassword123

Solche Accounts dürfen nicht mit informellen, schlecht gepflegten oder teamweit geteilten Passwörtern betrieben werden.

SSH-Schlüssel

Viele Teams setzen in der Automation statt Passwörtern auf SSH-Schlüssel. Das ist grundsätzlich sinnvoll, wenn Schlüssel sauber verwaltet, geschützt und regelmäßig geprüft werden. Unsicher werden SSH-Schlüssel dann, wenn sie ungeschützt verteilt, unkontrolliert kopiert oder dauerhaft ohne Inventarisierung genutzt werden.

• Private Schlüssel für Skriptzugriffe
• Schlüsselpaare für Jump Hosts oder Runner
• Schlüsselbasierte Authentifizierung für Service-Accounts

Der Vorteil liegt in stärker kontrollierbarer und oft sichererer Authentifizierung. Der Nachteil: Ein schlecht geschützter privater Schlüssel ist genauso kritisch wie ein kompromittiertes Passwort.

API-Tokens und Session-Secrets

Mit der Verbreitung von REST-APIs, Controllern und Cloud-nahen Netzwerkplattformen spielen API-Tokens eine immer größere Rolle. Diese Tokens wirken häufig wie Passwörter, werden aber oft noch weniger sorgfältig behandelt.

• Bearer Tokens
• Session Tokens
• Controller-spezifische API-Secrets
• Langzeit-Tokens für Plattformintegrationen

Gerade weil Tokens leicht kopiert und in Skripten oder Headern verwendet werden, müssen sie besonders strikt geschützt werden.

Zertifikate und Schlüsselmaterial

In modernen Automatisierungsumgebungen kommen zusätzlich Zertifikate und private Schlüssel zum Einsatz, etwa für HTTPS-basierte APIs, gegenseitige Authentifizierung oder sichere Plattformkommunikation. Diese Materialien sind besonders sensibel, weil sie oft nicht so sichtbar wie Passwörter behandelt werden, aber denselben oder sogar höheren Zugriff ermöglichen.

Warum der unsichere Umgang mit Zugangsdaten so häufig vorkommt

Bequemlichkeit in frühen Automatisierungsphasen

Viele Sicherheitsprobleme entstehen nicht aus böser Absicht, sondern aus pragmatischen Abkürzungen. Ein Engineer möchte schnell ein Skript testen, ein Playbook zum Laufen bringen oder eine API ausprobieren. Dafür wird das Passwort direkt in den Code geschrieben oder ein Token kurzfristig in einer Datei gespeichert. Aus diesem Provisorium wird dann oft unbeabsichtigt eine produktive Lösung.

• Lab-Code wandert ungeprüft in produktive Abläufe.
• Passwörter bleiben aus Zeitgründen im Skript.
• Tokens werden „vorübergehend“ lokal gespeichert.
• Einzelne Hilfsdateien wachsen zu dauerhaften Secretspeichern.

Genau diese Bequemlichkeitsmuster sind in der Praxis ein Hauptgrund für schlechte Secret-Hygiene.

Automatisierung wächst schneller als die Sicherheitsarchitektur

Ein weiterer Grund liegt darin, dass Netzwerkautomation oft klein beginnt. Anfangs ist nur ein einzelnes Skript im Einsatz, später kommen weitere Geräte, neue Rollen, Controller-Zugriffe und CI/CD-Prozesse hinzu. Wenn die Secret-Verwaltung dabei nicht mitwächst, entstehen schnell unsichere Strukturen.

• Mehr Geräte, aber dieselben gemeinsamen Konten
• Mehr Skripte, aber kein zentrales Secret-Management
• Mehr Teammitglieder, aber keine Rollentrennung
• Mehr Plattformen, aber unkoordinierte Token-Nutzung

Welche Risiken durch schlecht geschützte Zugangsdaten entstehen

Unbefugter Gerätezugriff

Das naheliegendste Risiko ist der direkte unbefugte Zugriff auf Netzwerkgeräte oder Managementplattformen. Sobald ein Angreifer oder ein unautorisierter interner Nutzer Zugangsdaten erhält, kann er sich mit denselben Rechten wie der Automatisierungsprozess bewegen.

• Konfigurationen auslesen
• Änderungen an Interfaces oder Routing vornehmen
• Management-ACLs manipulieren
• Logs, Benutzer oder Sicherheitsparameter verändern

Gerade bei weitreichenden Service-Accounts sind die Folgen besonders kritisch.

Verlust von Nachvollziehbarkeit

Unsicher geteilte oder gemeinsam genutzte Zugangsdaten machen nicht nur Zugriffe riskanter, sondern zerstören auch Auditierbarkeit. Wenn mehrere Personen oder Systeme mit demselben Konto arbeiten, ist im Nachhinein oft nicht mehr eindeutig erkennbar, wer welche Aktion ausgelöst hat.

• Keine personenscharfe Zuordnung
• Schwächere Incident-Analyse
• Schwierigeres Change-Review
• Höheres internes Missbrauchsrisiko

Für produktionsnahe Netzwerkautomation ist das ein gravierendes Problem.

Ausbreitung über viele Geräte und Systeme

Anders als ein einzelner kompromittierter Admin-Login betrifft ein kompromittiertes Automatisierungs-Secret oft viele Ziele gleichzeitig. Ein einziges ungeschütztes Passwort kann zum Einstieg in ein ganzes Gerätecluster oder eine Controller-Domäne werden.

• Breite Auswirkung über viele Access-Switches
• Manipulation zentraler Standards wie NTP oder AAA
• Veränderung von Logging und Monitoring
• Gefährdung von Core- oder WAN-Infrastruktur

Unsichere Muster, die unbedingt vermieden werden sollten

Passwörter direkt im Python-Code

Das häufigste Anti-Pattern ist das direkte Eintragen von Zugangsdaten im Quellcode. Für Lab-Demos mag das kurzfristig bequem sein, für produktive Prozesse ist es nicht akzeptabel.

Ein unsicheres Beispiel:

device = {
    "host": "192.0.2.10",
    "username": "admin",
    "password": "SuperSecret123"
}

Solcher Code ist problematisch, weil Passwörter dadurch in Dateien, Editor-Historien, Screenshots oder Git-Repositories auftauchen können.

Secrets in Git-Repositories

Ein weiterer schwerer Fehler ist das Committen von Passwörtern, Tokens oder Schlüsseln in Versionsverwaltung. Selbst wenn der Zugriff auf das Repository eingeschränkt ist, bleibt das Risiko hoch.

• Historische Commits bewahren alte Secrets.
• Forks oder lokale Klone enthalten sensible Daten.
• Secrets können in CI-Logs oder Review-Prozessen sichtbar werden.

Ein einmal in Git gespeichertes Secret gilt im Zweifel als kompromittiert und sollte rotiert werden.

Gemeinsame Teamkonten

Gemeinsame Accounts wirken auf den ersten Blick praktisch, sind aber aus Sicherheits- und Audit-Sicht problematisch. Besonders kritisch wird es, wenn solche Konten auch noch mit Vollrechten ausgestattet sind.

• Keine personenscharfe Nachvollziehbarkeit
• Schwierige Rotation bei Teamwechseln
• Erhöhtes internes Risiko
• Verbreitung von Zugangsdaten über viele Kanäle

Tokens oder Schlüssel unverschlüsselt in Dateien

Auch ausgelagerte Secrets sind nicht automatisch sicher. Eine Textdatei mit API-Tokens im Home-Verzeichnis oder ein ungeschützter privater SSH-Key auf einem Runner ist kein professioneller Schutz, sondern nur ein anderer Speicherort für dasselbe Problem.

Grundprinzipien für sicheren Secret-Schutz

Secrets vom Code trennen

Ein Grundprinzip jeder sicheren Netzwerkautomation lautet: Zugangsdaten gehören nicht in den Anwendungslogik-Code. Sie müssen getrennt, kontrolliert und möglichst zentral verwaltet werden.

• Code enthält Logik, keine Passwörter.
• Secrets werden zur Laufzeit eingebunden.
• Rotation und Austausch werden erleichtert.
• Review-Prozesse werden sicherer.

Diese Trennung ist die Basis für nahezu alle weiteren Schutzmechanismen.

Least Privilege konsequent anwenden

Auch bei Zugangsdaten gilt das Prinzip minimaler Rechte. Ein Backup-Job braucht keine Write-Rechte. Ein Inventarisierungsskript benötigt keine Admin-Rolle auf allen Geräten. Je enger Rechte auf die tatsächliche Aufgabe zugeschnitten sind, desto geringer das Schadenspotenzial bei Missbrauch.

• Read-Only für Status- und Inventarjobs
• Getrennte Write-Konten für Standardänderungen
• Besondere Restriktionen für Core- und WAN-Systeme
• Keine unnötig breit gültigen Tokens

Sichere Methoden zur Secret-Verwaltung

Interaktive Eingabe für einfache Einzelläufe

Für kleine, manuell gestartete Skripte ist die interaktive Passwortabfrage ein einfacher und deutlich sichererer Schritt als das Hinterlegen im Code. In Python ist das mit getpass leicht umsetzbar.

Ein einfaches Beispiel:

from getpass import getpass

password = getpass("Passwort eingeben: ")

Dieser Ansatz ist für regelmäßige Automatisierung nur begrenzt skalierbar, aber für erste produktionsnahe Skripte deutlich besser als hartkodierte Secrets.

Umgebungsvariablen

Ein weiterer gängiger Weg ist die Nutzung von Umgebungsvariablen. Dabei werden Zugangsdaten nicht im Skript hinterlegt, sondern vom Betriebssystem oder Runner zur Laufzeit bereitgestellt.

• Trennung von Code und Secret
• Gut nutzbar für einfache Automatisierungsjobs
• Praktisch in CI/CD- oder Runner-Umgebungen

Wichtig ist dabei, dass auch Umgebungsvariablen selbst sicher gesetzt, protokollarm behandelt und nicht unbeabsichtigt ausgegeben werden.

Vault- und Secret-Management-Systeme

Für produktive und skalierende Automatisierung sind zentrale Secret-Management-Systeme meist die beste Lösung. Sie erlauben kontrollierte Ablage, Berechtigungsvergabe, Rotation und Auditierung von Zugangsdaten.

• Zentrale Speicherung von Passwörtern und Tokens
• Gezielte Freigabe an autorisierte Prozesse
• Bessere Rotation und Ablaufkontrolle
• Auditierbare Nutzung von Secrets

Gerade wenn mehrere Teams, viele Geräte oder produktive Change-Prozesse beteiligt sind, wird ein solcher Ansatz fast unverzichtbar.

SSH-Schlüssel mit sauberem Lifecycle

Wenn SSH-Schlüssel verwendet werden, müssen auch sie wie Secrets behandelt werden. Das bedeutet:

• Private Schlüssel geschützt speichern
• Passphrase oder gesicherten Zugriff nutzen
• Schlüssel regelmäßig inventarisieren
• Nicht mehr benötigte Schlüssel entfernen

Ein ungeschützter privater Schlüssel ist aus Sicht des Risikos kaum besser als ein Passwort im Klartext.

Produktionsnahe Beispiele für sichere Prozesse

Read-Only-Job für Konfigurationsbackups

Ein Backup-Skript, das nur show running-config ausführt, sollte mit einem dedizierten Read-Only-Konto arbeiten. Dieses Konto benötigt keine Rechte für Konfigurationsänderungen. Selbst wenn es kompromittiert würde, bliebe das Schadenspotenzial geringer als bei einem Volladmin-Account.

Typische CLI-Auslese:

show running-config
show startup-config
show version

Die eigentliche Sicherheitsqualität entsteht hier nicht durch den Befehl, sondern durch die bewusst eingeschränkte Rolle des Kontos.

Write-Prozess für Standardänderungen

Ein Prozess, der NTP- oder Syslog-Parameter ändert, benötigt mehr Rechte. Genau deshalb sollte dieses Konto separat geführt, enger überwacht und idealerweise nur in geregelten Change-Prozessen nutzbar sein.

Typischer CLI-Block:

conf t
ntp server 10.10.10.10
logging host 10.20.20.20
end
write memory

Die Sicherheitsfrage lautet hier: Muss derselbe Account wirklich auch andere Konfigurationsbereiche ändern können? In vielen Fällen lautet die Antwort klar nein.

Secret-Schutz und Automatisierungsplattformen

Ansible, CI/CD und zentrale Runner

Sobald Automatisierung nicht mehr lokal auf dem Notebook eines Engineers läuft, sondern über Ansible, zentrale Runner oder CI/CD-Pipelines, steigt die Bedeutung sauberer Secret-Verwaltung noch einmal deutlich. Secrets dürfen dann nicht unkontrolliert zwischen Jobs, Logs und Build-Prozessen sichtbar werden.

• Secrets nicht in Playbooks oder Inventardateien hinterlegen
• CI/CD-Variablen geschützt verwalten
• Logs und Debug-Ausgaben prüfen
• Runner-Zugriffe und Rollen trennen

Gerade hier zeigt sich, dass Secret-Schutz nicht isoliert auf Skript-Ebene endet, sondern die gesamte Ausführungsumgebung umfasst.

Controller und API-Plattformen

Auch zentrale Controller oder Plattformen, die Netzwerkgeräte verwalten, benötigen eigene Schutzmechanismen. API-Tokens, OAuth-Zugänge oder Plattform-Accounts müssen ebenso sorgfältig behandelt werden wie SSH- oder Gerätepasswörter.

• Tokens zeitlich begrenzen, wenn möglich
• Nur benötigte Scopes vergeben
• Zertifikatsprüfung nicht deaktivieren
• Plattform- und Gerätezugänge sauber trennen

Rotation, Ablauf und Entzug von Zugangsdaten

Secrets dürfen nicht ewig unverändert bleiben

Ein sicheres Secret-Management endet nicht mit der Ablage. Zugangsdaten müssen regelmäßig geprüft, rotiert und im Bedarfsfall schnell entzogen werden können. Gerade bei Teamwechseln, Vorfällen oder Projektübergängen ist das essenziell.

• Passwörter regelmäßig ändern
• API-Tokens auf Ablauf und Erneuerung prüfen
• Nicht mehr benötigte Konten deaktivieren
• Alte SSH-Schlüssel konsequent entfernen

Wenn ein Secret jahrelang unverändert bleibt, steigt das Risiko durch schleichende Verbreitung oder unbekannte Altverwendungen.

Offboarding und Projektende mitdenken

Automatisierungszugänge sollten nicht nur beim Aufbau, sondern auch beim Ende eines Projekts sauber verwaltet werden. Viele Sicherheitsprobleme entstehen durch Altlasten: vergessene Tokens, nie entfernte Service-Accounts oder verwaiste Schlüssel.

• Nicht genutzte Service-Accounts deaktivieren
• Projektbezogene Secrets entfernen
• Alt-Runner oder Testumgebungen bereinigen
• Dokumentation und Inventar aktuell halten

Typische Fehler im Umgang mit Secrets vermeiden

„Nur kurz zum Test“ wird schnell dauerhaft

Einer der gefährlichsten Denkfehler ist die Annahme, ein unsicherer Umgang sei nur vorübergehend. In der Praxis werden provisorische Lösungen oft nie wieder bereinigt. Gerade deshalb sollten auch kleine Testprojekte möglichst früh mit guten Gewohnheiten starten.

Zu viel Vertrauen in interne Umgebungen

Oft wird argumentiert, ein Secret sei nur intern gespeichert und deshalb ausreichend geschützt. Das greift zu kurz. Interne Lecks, versehentliche Weitergabe, Fehlkonfigurationen oder kompromittierte interne Systeme sind reale Risiken.

Zu breite Rollen aus Bequemlichkeit

Wenn jedes Skript denselben Volladmin-Account nutzt, sinkt der operative Aufwand kurzfristig, das Risiko steigt jedoch massiv. Bequemlichkeit ist in Secret-Fragen fast nie ein gutes Sicherheitsargument.

Best Practices für den sicheren Schutz von Zugangsdaten in Automatisierungsprozessen

• Zugangsdaten niemals direkt im Code, in Playbooks oder in Repositories speichern.
• Secrets immer konsequent von Logik und Konfigurationscode trennen.
• Für einfache Einzelläufe mindestens auf interaktive Eingabe oder Umgebungsvariablen setzen.
• Für produktive Prozesse zentrale Secret-Management- oder Vault-Lösungen bevorzugen.
• Read-Only- und Write-Konten strikt trennen und nach Least Privilege gestalten.
• Gemeinsame Volladmin-Konten in Teams vermeiden.
• SSH-Schlüssel, Tokens und Zertifikate mit demselben Schutzgrad wie Passwörter behandeln.
• Debug-Ausgaben, Logs und CI/CD-Prozesse darauf prüfen, ob Secrets unbeabsichtigt sichtbar werden.
• Secrets regelmäßig rotieren und nicht mehr benötigte Konten oder Schlüssel konsequent entfernen.
• Secret-Schutz nicht als Einzelmaßnahme, sondern als festen Teil der gesamten Netzwerkautomationsarchitektur behandeln.

Damit wird deutlich, warum Zugangsdaten in Automatisierungsprozessen besonders sorgfältig geschützt werden müssen: Sie sind der operative Schlüssel zur gesamten automatisierten Netzwerkinfrastruktur. Wer sie sauber verwaltet, trennt, protokolliert und begrenzt, schützt nicht nur einzelne Skripte oder Plattformen, sondern das Vertrauen in die Netzwerkautomation als Ganzes.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.