Sicherheit
Tokens sicher aufbewahren
Ein API-Token hat denselben Schutzbedarf wie ein Passwort — wer ihn besitzt, kann auf Ihren Arbeitsbereich zugreifen. Diese Seite beschreibt die Mindest-Maßnahmen für Aufbewahrung, Rotation und Reaktion.
Sicherheitshinweis
Tokens niemals in Versionskontrolle
Tokens gehören nicht in Git, Mercurial, SVN oder vergleichbare Systeme. Auch ein gelöschter Commit bleibt in der History nachvollziehbar. Nutzen Sie
.env-Dateien (mit Ignore-Regel), Vault-Lösungen oder die Secret-Verwaltung Ihrer CI-Pipeline.Aufbewahrung
- Auf der Workstation: Token in
~/.knowmind/config.jsonmit chmod 600 (Unix) oder entsprechenden ACLs (Windows). Die knowmind-CLI legt das automatisch so an. - In CI-Pipelines: als verschlüsselte Variable in GitHub Actions, GitLab CI oder vergleichbarem. Im Workflow als Umgebungsvariable übergeben:
yaml
# GitHub Actions Beispiel
env:
KNOWMIND_TOKEN: ${{ secrets.KNOWMIND_TOKEN }}- In Container-Umgebungen: als Secret-Volume oder über die Secret-Verwaltung der Orchestrierung (Kubernetes Secrets, Docker-Compose-Secrets).
- In Server-Anwendungen: aus dem Secret-Backend Ihrer Wahl (HashiCorp Vault, AWS Secrets Manager, Doppler, 1Password Secrets Automation). Nicht in Konfigurations-Dateien ablegen.
Token-Granularität
- Pro Gerät einen eigenen Token. Wenn ein Laptop verloren geht, lässt sich gezielt der Laptop-Token widerrufen.
- Pro Anwendung einen eigenen Token. So sehen Sie im Audit-Log, welche Anwendung welche Aktion ausgelöst hat.
- Minimal nötiger Scope. Wenn die Anwendung nur lesen muss, nur
read.writenur dort, wo wirklich geschrieben wird. - Optional ein Ablauf-Datum setzen. Bei kurzlebigen Setups (Demo, Test) hilft das, vergessene Tokens automatisch zu entwerten.
Rotation
- Neuen Token mit gleichem Namen-Schema und gleichem Scope erstellen (siehe API-Token erstellen).
- Klartext in das Secret-Backend einspielen oder die Konfiguration der nutzenden Anwendung aktualisieren.
- Anwendung neu starten, prüfen, dass der neue Token funktioniert.
- Alten Token im Dashboard widerrufen. Im Audit-Log erscheint der Widerruf mit Zeitstempel.
Empfehlung: alle 90 Tage rotieren. In regulierten Branchen (Finance, Health) öfter, je nach interner Policy.
Kompromittierungs-Reaktion
- Sofort den betroffenen Token im Dashboard widerrufen.
- Im Audit-Log unter Sicherheits-Protokoll die letzten Aktionen prüfen — welche Aufrufe sind mit dem Token gelaufen.
- Bei Anzeichen unerwünschter Aktionen (fremde IP, untypische Endpunkte) den Vorfall dokumentieren und nach DSGVO Art. 33 bewerten, ob eine Meldung an die Aufsichtsbehörde nötig ist.
- Bei Bedarf zusätzlich die OAuth-Verbindungen unter Dashboard → OAuth-Clients prüfen und nicht-erkannte Connectoren entfernen.
- Neuen Token mit gleichem Scope erstellen, in Anwendung einspielen, Vorgang dokumentieren.
Hinweis
Hinweis zur Speicherung bei knowmind
knowmind speichert API-Tokens niemals im Klartext. Beim Anlegen sehen Sie den vollständigen Wert einmalig — danach behalten wir nur einen scrypt-Hash mit Salt. Auch ein Datenbank-Leak gibt Ihre Tokens nicht preis. Trotzdem gilt: bei einer Kompromittierung Ihrer Workstation oder eines geleakten Backups Ihres Konfigurations-Verzeichnisses rotieren Sie umgehend.