Wie wir bei Stars Media IT Zugangsdaten sicher verwalten — und warum das auch für Ihr Unternehmen relevant ist.

Das Problem kennt jeder

Hand aufs Herz: Wo liegen Ihre Passwörter, API-Keys und Zugangsdaten?

• In .env-Dateien auf dem Server?
• Im Klartext in Deploy-Skripten?
• In geteilten Notizen oder Excel-Listen?
• Kopiert von Entwickler zu Entwickler per Chat?

Das ist kein Vorwurf — so arbeiten die meisten. Aber es ist ein Sicherheitsrisiko:

• Keine Kontrolle, wer welche Passwörter sieht
• Kein Audit-Log, wer wann auf welche Zugangsdaten zugegriffen hat
• Keine Rotation — Passwörter werden einmal gesetzt und nie geändert
• Kein Scoping — wer das .env-File hat, sieht alles

Die Lösung: Ein zentraler Tresor für alle Secrets

Wir setzen auf Infisical — eine Open-Source-Plattform für Secret Management, die wir selbst hosten. Das Prinzip ist einfach:

Zugangsdaten raus aus den Dateien, rein in den zentralen Tresor.

Statt:

# deploy.sh — Datenbankpasswort im Klartext (unsicher!)
mysql -u app_user -pMeinGeheimesPasswort123! -h db.server.com app_db

Wird daraus:

# deploy.sh — kein Passwort im Code (sicher!)
DB_PASS=$(infisical secrets get DB_PASS --path=/db/produktion --plain)
mysql -u app_user -p"${DB_PASS}" -h db.server.com app_db

Das Gleiche gilt für API-Keys, SMTP-Zugangsdaten, Webhook-Secrets und alle anderen sensiblen Werte — überall dort, wo kein Key-Pair-Verfahren verfügbar ist.

Das Besondere: Jeder sieht nur seine Secrets

Der eigentliche Mehrwert liegt im Scoping. Jeder Mitarbeiter, jedes Skript, jeder automatisierte Prozess bekommt nur Zugriff auf genau die Secrets, die er braucht — nicht mehr, nicht weniger.

Ein Beispiel:

• Deploy-Agent Projekt A → sieht NUR /db/projekt-a
• Deploy-Agent Projekt B → sieht NUR /db/projekt-b
• Admin → sieht alles, aber jeder Zugriff wird geloggt

Was bringt das konkret?

1. Sicherheit

• Zugangsdaten liegen nicht mehr im Dateisystem
• Jeder Zugriff wird protokolliert (wer, was, wann)
• Bei einem Sicherheitsvorfall: sofort alle Tokens widerrufen

2. Compliance

• Audit-Trail für jede Zugangsdaten-Nutzung
• Nachweisbar, wer wann auf welche Systeme zugreifen konnte
• Automatische Rotation möglich

3. Effizienz

• Neue Mitarbeiter bekommen gezielt Zugriff — ohne ganze Passwortlisten
• Passwort-Rotation an einer Stelle, wirkt überall
• Kein "Wo ist nochmal das Passwort für Server X?"

4. Skalierung

• Funktioniert für 2 Server genauso wie für 200
• API und CLI für Automation
• SDKs für Node.js, Python, Go, Docker

Für wen ist das relevant?

• Agenturen mit mehreren Kunden-Servern und Deployment-Prozessen
• Unternehmen mit mehreren Umgebungen (Dev, Staging, Production)
• Teams, bei denen mehrere Personen auf Server/APIs zugreifen
• DevOps-Teams, die CI/CD-Pipelines absichern wollen

Wie wir es einsetzen

Bei Stars Media verwalten wir damit die Zugangsdaten unserer gesamten Server-Infrastruktur:

• SSH-Zugänge für alle Kunden-Server (via SSH-Keys + zentrales Key-Management)
• API-Keys für Drittanbieter (Cloudflare, AWS, Stripe)
• Datenbank-Passwörter
• SMTP-Zugangsdaten

Jeder automatisierte Prozess — ob Deployment, Backup oder Monitoring — bekommt eine eigene Machine Identity mit exakt den Berechtigungen, die er braucht. Nicht mehr, nicht weniger.

Self-Hosted: Ihre Daten bleiben bei Ihnen

Infisical ist Open Source und läuft auf unserem eigenen Server in einem deutschen Rechenzentrum (Hetzner). Keine Daten fließen an Dritte. Das ist besonders relevant für:

• DSGVO-Konformität
• Branchenspezifische Compliance-Anforderungen
• Unternehmen, die Cloud-Dienste für sensible Daten vermeiden

Interesse?

Wir helfen Ihnen gerne beim Aufsetzen einer sicheren Secret-Management-Lösung — ob als Self-Hosted-Variante auf Ihrer eigenen Infrastruktur oder als Managed Service durch uns.

Kontakt: [email protected]

Stars Media IT GmbH — Digital-Agentur für WordPress, SEO & sichere Infrastruktur