- Was ist der Unterschied zwischen einem HSM und einem TPM?
- Ein TPM (Trusted Platform Module) ist ein auf der Hauptplatine fast aller moderner professioneller Computer gelöteter Chip – er dient zum Versiegeln des Starts, zur Verschlüsselung der Festplatte (BitLocker) und zur eindeutigen Identifizierung einer Maschine. Ein HSM (Hardware Security Module) ist ein eigenständiges Gehäuse, das der Verwaltung von Unternehmens-Kryptografieschlüsseln gewidmet ist – es dient zum Signieren von Dokumenten auf qualifizierter eIDAS-Ebene, zum Hosten der Wurzel einer Zertifizierungsstelle oder zum Schutz von Bankenverschlüsselungsschlüsseln. Ein TPM kostet ein paar Euro pro Maschine; ein HSM kostet mehrere tausend bis zehntausend Euro und macht nur auf der Ebene einer Organisation Sinn.
- Ist HSM-Verschlüsselung wirklich unknackbar?
- Kein Schutz ist absolut, aber HSM-Verschlüsselung ist heute das höchste verfügbare Niveau des Hardwareschutzes. HSMs, die nach FIPS 140-3 Level 3 oder Common Criteria EAL4+ zertifiziert sind, widerstehen Side-Channel-Angriffen (Stromverbrauchsanalyse, elektromagnetische Abstrahlungen), Fault-Injection-Angriffen (Spannungs- oder Temperaturschwankungen) und lösen eine automatische Schlüssellöschung aus, falls das Gehäuse physisch geöffnet wird (Tamper Response). Keine öffentlich dokumentierte Kompromittierung eines korrekt betriebenen HSM in einer Produktionsumgebung in den letzten 10 Jahren ist bekannt.
- Muss man ein HSM kaufen, um qualifizierte elektronische Signaturen zu nutzen?
- Nein, es sei denn, Sie sind selbst ein Anbieter von Vertrauensdiensten. Um mit QES zu signieren, werden Ihre privaten Schlüssel im HSM eines qualifizierten QTSP gehostet (Universign, Certinomis, LuxTrust und deren Partner wie Certyneo), die auf der europäischen eIDAS Trusted List stehen. Sie sehen das HSM nie direkt — Sie interagieren damit über starke Authentifizierung (Smartcard oder Remote QES über MFA + Biometrie seit eIDAS 2.0).
- Was ist der Unterschied zwischen HSM und KMS?
- Ein KMS (Key Management Service) ist ein Softwareservice, der den Lebenszyklus kryptografischer Schlüssel orchestriert — Generierung, Rotation, Archivierung, Audit. Ein HSM ist die Hardwarekomponente, die die kryptografischen Operationen auf diesen Schlüsseln physisch ausführt. Die beiden sind nicht konkurrierend: Ein seriöser KMS stützt sich im Hintergrund auf ein HSM (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Ein rein softwaregestützter KMS (ohne HSM) reicht für unkritische interne Anwendungen aus, deckt aber nicht die regulatorischen Anforderungen von PCI-DSS, eIDAS QES oder HIPAA HSM ab.
- Wer sind die wichtigsten HSM-Hersteller 2026?
- Der HSM-Markt wird von fünf Herstellern dominiert: Thales (Luna- und payShield-Produktlinien, historischer Marktführer), Utimaco (CryptoServer, Lieferant vieler europäischer QTSPs), Atos Eviden (Trustway Proteccio, ANSSI-Qualifizierung Renforcée), Marvell LiquidSecurity (Cloud-natives HSM für AWS und Azure) und Entrust nShield. Die Hyperscaler bieten ihre eigenen mandantengestützten Angebote: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Für qualifizierte eIDAS-Signaturen ist das entscheidende Kriterium die Common Criteria EAL4+ Zertifizierung mit dem Schutzprofil EN 419 221-5.
- Kann man ein HSM in der Cloud mieten statt es zu kaufen?
- Ja. AWS CloudHSM, Azure Dedicated HSM und Google Cloud HSM mieten dedizierte, nach FIPS 140-2 Level 3 zertifizierte HSMs (typischerweise zwischen 1 und 3 €/Stunde). Für qualifizierte eIDAS-Signaturen reichen diese Angebote allein nicht aus — man benötigt einen qualifizierten QTSP, der sein eigenes HSM betreibt und auf der europäischen Trusted List eingetragen ist. Der Vorteil von Cloud-HSM ist die Elastizität (keine CAPEX, keine physische Wartung), zum Preis einer Abhängigkeit von einem oft amerikanischen Hyperscaler (ein sensibles Thema im Hinblick auf den Cloud Act und europäische digitale Souveränität).
- Wie kann man überprüfen, ob ein Signaturanbieter wirklich ein zertifiziertes HSM nutzt?
- Der Anbieter muss auf der europäischen eIDAS Trusted List (https://eidas.ec.europa.eu/) als QTSP (Qualified Trust Service Provider) eingetragen sein. Diese Registrierung wird nur nach einer Prüfung durch eine akkreditierte Stelle (in Frankreich LSTI/COFRAC, in Deutschland TÜV) erteilt, die unter anderem die Conformité des verwendeten HSM mit den Normen EN 419 221-5 und EN 419 241-2 (Remote QES seit eIDAS 2.0) überprüft. Zusätzlich fragen Sie den Anbieter nach der Common Criteria Zertifizierungsnummer seiner HSMs — ein seriöser QTSP veröffentlicht dies in seiner technischen Dokumentation.