Logo
  • Blog
  • Azure Key Vault Sicherheitsupdate

Azure Key Vault wird sicherer – Was Sie über die Umstellung auf RBAC wissen müssen

Was ändert sich?

Der Azure Key Vault ist das Herzstück Verwaltung von Schlüsseln, Zertifikaten, Geheimnissen und Verbindungszeichenfolgen. Praktisch jede produktive Azure-Umgebung nutzt mindestens einen Key Vault. Jetzt hat Microsoft Änderungen für 2026 und 2027 angekündigt.

Mit der neuen API-Version 2026-02-01 wird Azure Role-Based Access Control (RBAC) zum Standard-Zugriffskontrollmodell für alle neu erstellten Key Vaults. Das bisherige Modell – die sogenannten Access Policies – bleibt zwar vorerst nutzbar, wird aber nicht mehr der Standard sein. Gleichzeitig werden alle älteren API-Versionen am 27. Februar 2027 endgültig abgeschaltet.

Was das für Ihre Azure-Umgebung bedeutet und welche Optionen Sie haben, erklären wir in diesem Artikel.

Das bisherige Modell: Access Policies

Bisher konnten Sie den Zugriff auf Key Vaults über Access Policies steuern. Diese Berechtigungen werden direkt am jeweiligen Vault konfiguriert und regeln, welche Identitäten auf Schlüssel, Geheimnisse oder Zertifikate zugreifen dürfen.

Das Modell funktioniert, hat aber Grenzen: Access Policies erlauben keine granulare Kontrolle auf der Ebene einzelner Geheimnisse oder Schlüssel. Außerdem stehen sie isoliert neben dem Azure-weiten Berechtigungssystem. Die Zugriffsverwaltung läuft hier anders als bei praktisch allen anderen Azure-Ressourcen.

Der neue Standard: Azure RBAC

Mit Azure RBAC wird die Zugriffskontrolle für Key Vaults in das zentrale Azure-Berechtigungssystem (IAM) integriert. Anstatt Berechtigungen direkt am Vault zu pflegen, weisen Sie Rollen zu – genauso wie bei Storage Accounts, Datenbanken oder anderen Azure-Ressourcen.

Das ermöglicht unter anderem dedizierte Rollen wie „Key Vault Secrets User“ oder „Key Vault Crypto Officer“, eine zentrale Übersicht aller Berechtigungen über Azure IAM und eine bessere Nachvollziehbarkeit für Audits und Compliance-Anforderungen.

Die Fristen im Überblick

  • Februar 2026

    API-Version 2026-02-01 wird veröffentlicht.

    Alle neu erstellten Key Vaults verwenden ab dieser Version standardmäßig Azure RBAC.

  • 27.02.2027

    Alle älteren API-Versionen werden abgeschaltet.

    Ab diesem Stichtag muss die API-Version 2026-02-01 oder neuer verwendet werden.

Wen betrifft das?

Jedes Unternehmen, das Azure Key Vault nutzt. Im Detail sind vor allem folgende Szenarien relevant:

  • Automatisierte Deployments: Wenn Sie Key Vaults per ARM-Template, Bicep, Terraform, CLI, PowerShell oder REST API erstellen, ändert sich der Default bei der Erstellung. Bestehende Skripte und Pipelines müssen geprüft werden.
  • Azure Cloud Shell-Nutzer: Cloud Shell verwendet automatisch die neueste API-Version. Sobald 2026-02-01 verfügbar ist, ändert sich das Verhalten dort sofort, ohne dass Sie aktiv aktualisieren.
  • Bestehende Key Vaults: Diese behalten ihr aktuelles Zugriffsmodell. Handlungsbedarf entsteht hier vor allem durch die API-Abschaltung im Februar 2027 und durch die Empfehlung, auf das zukunftssichere RBAC-Modell zu wechseln.

Was passiert, wenn Sie nicht handeln?

Ohne Anpassung an Ihren Deployments und Skripten drohen ab dem Wechsel zur neuen API-Version folgende Probleme:

  • HTTP 403-Fehler: Neue Key Vaults werden automatisch mit RBAC als Zugriffsmodell erstellt. Fehlen die entsprechenden Rollenzuweisungen, scheitern alle Zugriffsversuche mit „403 Forbidden“.
  • Ausfälle in CI/CD-Pipelines: Deployment-Skripte, die Key Vaults erstellen, können unerwartet fehlschlagen, wenn das neue Standardverhalten nicht berücksichtigt wird.
  • API-Abschaltung: Ab dem 27. Februar 2027 funktionieren ältere API-Versionen nicht mehr. Wer bis dahin nicht umgestellt hat, verliert den Zugriff über veraltete Schnittstellen vollständig.

Microsoft bietet zwei Wege, um mit der Änderung umzugehen. Beide erfordern aktives Handeln – ein „Weiter wie bisher“ ohne Anpassung ist keine Option.

Migration vs. explizite Konfiguration

Option A: Migration auf Azure RBAC (empfohlen)

Der von Microsoft empfohlene Weg: Stellen Sie sowohl bestehende als auch neue Key Vaults auf Azure RBAC um. Damit nutzen Sie das zukunftssichere, granulare Berechtigungsmodell und profitieren von einer einheitlichen Zugriffsverwaltung über Ihre gesamte Azure-Landschaft hinweg.

Option B: Access Policies bewusst beibehalten

Wer vorerst beim bisherigen Modell bleiben möchte, muss dies in allen Deployment-Vorlagen und Skripten explizit konfigurieren. Das bedeutet: In jedem CLI-Befehl, jeder ARM-Vorlage, jedem Bicep- oder Terraform-Template muss das Access-Policy-Modell aktiv gesetzt werden. Ohne diese Anpassung werden neue Vaults automatisch mit RBAC erstellt.

Wichtig: Diese Option erhöht langfristig den Wartungsaufwand, da Sie gegen den neuen Standard arbeiten.

Warum RBAC die bessere Wahl ist

Unabhängig vom Zeitdruck durch die API-Änderung gibt es gute Gründe, die Migration auf Azure RBAC aktiv anzugehen:

  • Einheitliches Berechtigungsmodell: Key Vaults fügen sich nahtlos in die Azure-IAM-Struktur ein, die Sie bereits für andere Ressourcen nutzen.
  • Granulare Kontrolle: Berechtigungen lassen sich auf Ebene einzelner Schlüssel, Geheimnisse und Zertifikate vergeben – nicht nur auf Vault-Ebene.
  • Bessere Auditierbarkeit: Alle Berechtigungen sind zentral einsehbar. Das vereinfacht Compliance-Nachweise und Sicherheitsüberprüfungen erheblich.
  • Konsistenz mit dem Azure-Portal: Das Azure-Portal setzt bereits heute auf RBAC als Standard. Mit der Migration gleichen Sie Ihre Skripte und Templates an das Portalverhalten an.
  • Zukunftssicherheit: Microsoft empfiehlt RBAC ausdrücklich als Best Practice. Wer jetzt umstellt, spart sich spätere Nacharbeiten.

Handeln Sie jetzt – mit Unterstützung von HSO

Die Fristen stehen fest und die Änderung betrifft praktisch jede Azure-Umgebung, die Key Vault nutzt. Je früher Sie sich mit der Umstellung befassen, desto reibungsloser verläuft der Übergang. Ob Sie auf Azure RBAC migrieren oder Access Policies bewusst beibehalten möchten – die konkrete Umsetzung hängt von Ihrer individuellen Umgebung ab: von der Anzahl Ihrer Key Vaults, Ihren Deployment-Prozessen und Ihren Compliance-Anforderungen.

Wir beraten Sie gerne persönlich. Füllen Sie einfach das Kontaktformular aus und wir melden uns zeitnah bei Ihnen. Gemeinsam prüfen wir, welche Ihrer Key Vaults betroffen sind, und begleiten Sie durch die Umstellung – individuell abgestimmt auf Ihre Umgebung.

Nehmen Sie Kontakt auf lassen Sie sich zur Azure Key Vault Umstellung beraten!

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung der von Ihnen angegebenen Daten gemäß unserer Private Policy einverstanden. Sie können sich jederzeit von den gesendeten Nachrichten abmelden. Bitte lesen Sie unsere Datenschutzerklärung, um weitere Informationen darüber zu erhalten, wie Sie sich abmelden können, wie wir mit dem Datenschutz verfahren und wie wir uns für den Schutz und die Wahrung Ihrer Privatsphäre einsetzen.

Diese Website verwendet Cookies

Wir und Dritte verwenden Cookies auf unserer Website. Wir verwenden Cookies, um Statistiken zu führen, Ihre Präferenzen zu speichern, aber auch für Marketingzwecke (z. B. maßgeschneiderte Werbung). Durch Klicken auf „Einstellungen“ können Sie mehr über unsere Cookies erfahren und Ihre Präferenzen anpassen. Indem Sie auf „Alle akzeptieren“ klicken, stimmen Sie der Verwendung aller Cookies zu, wie in unserer Privacy und Cookie policy beschrieben.

Erforderlich
Statistiken
Marketing