Schluessel-Management-Modelle in Cloud-Umgebungen: BYOK bedeutet, der Kunde bringt seinen eigenen Schluessel in den Cloud-KMS ein. HYOK bedeutet, der Schluessel verlaesst nie die Kunden-Infrastruktur, nur die Operationen werden bei Bedarf an den KMS delegiert.

BYOK ist der haeufigere Modus: der Kunde generiert einen Master-Schluessel im eigenen HSM, importiert ihn in den Cloud-KMS (Azure Key Vault, AWS KMS, GCP KMS) und hat die Kontrolle ueber Lifecycle (Rotation, Revocation).

HYOK ist strikter: der Schluessel verlaesst die Kunden-Infrastruktur nie. Stattdessen exportiert die Cloud die zu verschluesselnden Daten an einen externen KMS-Dienst des Kunden, dort werden Operationen ausgefuehrt. Latenz und Verfuegbarkeit sind kritisch.

Fuer Sovereign-Cloud-Entscheidungen ist die Tiefe von BYOK/HYOK ein Dealbreaker. EU Data Boundary plus BYOK ist Standard fuer regulierte Workloads; HYOK ist Pflicht fuer hoechstvertrauliche Workloads, wenn Cloud-Personal selbst nicht entschluesseln darf.

BYOK / HYOK (Bring/Hold Your Own Key)

Related terms