Wie Michael Hofer im Interview betont, speichert Kubernetes Secret-Objekte standardmäßig unverschlüsselt in der etcd-Datenbank. Wer ausreichend Zugriffsrechte besitzt, kann diese sensiblen Informationen daher relativ leicht einsehen. Besonders in geteilten Clustern entstehen so gravierende Risiken – verstärkt durch den weitverbreiteten "Secrets-Sprawl" über verschiedene Systeme und Cloud-Dienste hinweg. Werden Credentials zudem in Git-Repositories, Build-Pipelines oder Konfigurationsdateien im Klartext abgelegt, erhöht sich die Angriffslast deutlich.

Abhilfe schaffen laut Hofer dedizierte Secrets-Managementplattformen wie OpenBao oder Cloud-Dienste wie AWS Secrets Manager. Sie integrieren sich über Operatoren, den Secrets Store CSI Driver oder Sidecar-Injektionen in Kubernetes, liefern automatisch rotierte Secrets aus und schaffen klare Auditierbarkeit. Allerdings lösen sie nicht alle Probleme: Ohne strikte RBAC-Regeln, sauber getrennte CI/CD-Prozesse und schnelle Reaktion im Leckfall – vom Rotieren bis zum Invalidieren von Sessions – bleibt jede Umgebung verwundbar. Warum diese Maßnahmen essenziell sind, zeigt das vollständige Interview.