SecretOps & Sicherheit: Warum wir .env-Dateien verbannt haben und auf Infisical setzen

Warum ich .env-Dateien in produktionsnahen Umgebungen nicht mehr akzeptiere

.env-Dateien sind schnell erstellt, lokal bequem und in Docker-Setups weit verbreitet. Genau deshalb sind sie in der Praxis auch eine der häufigsten Ursachen für Security- und Compliance-Probleme. In realen Projekten sehe ich immer wieder dieselben Muster: Secrets landen in Repositories, tauchen in Backups auf, werden über Chats weitergegeben oder erscheinen als Artefakte in CI/CD-Pipelines.

Meine klare Haltung nach mehreren Audits, Migrationen und Incident-Analysen: .env-Dateien sind kein Secret-Management. Sie bieten keine Zugriffskontrolle, keine Auditierbarkeit, keine Rotation und keine saubere Trennung von Verantwortlichkeiten.

Deshalb setze ich in produktionsnahen Setups nicht mehr auf .env-Dateien als Quelle für Secrets, sondern auf einen zentralen Secret-Manager. Mein Standard dafür ist Infisical.

Wichtig dabei: Umgebungsvariablen selbst sind kein Problem. Das Problem ist die Datei (.env) als Speicher- und Verteilermechanismus für sensible Daten.

Was ist Infisical?

ist ein Open-Source-Secret-Manager zur zentralen Verwaltung sensibler Konfigurationswerte wie API-Keys, Tokens, Passwörter oder Zertifikate.

Statt Secrets in Dateien oder Repositories abzulegen, werden sie zur Laufzeit sicher aus einem zentralen Store bezogen. Infisical unterstützt mehrere Umgebungen wie Development, Staging und Production, bietet feingranulare Zugriffskontrollen, Audit-Logs sowie eine CLI und Integrationen für lokale Entwicklung, CI/CD und Container-Setups.

Kurz gesagt: Infisical ersetzt die klassische .env-Datei durch einen professionellen, auditierbaren und automatisierbaren SecretOps-Ansatz.

Bedrohungsmodell: Was bei .env-Dateien typischerweise schiefgeht

• Git-Leaks: .env wird versehentlich committet oder taucht in Pull-Requests auf und bleibt in der Git-Historie erhalten.
• Unkontrollierte Verteilung: Dateien werden per Mail, Chat oder Ticket-System geteilt, ohne Überblick über Versionen oder Empfänger.
• Fehlende Rotation: Tokens und Passwörter werden selten oder gar nicht erneuert.
• Keine Auditierbarkeit: Änderungen an Secrets sind im Nachhinein nicht nachvollziehbar.
• Umgebungsdrift: Development, Staging und Production unterscheiden sich unkontrolliert.
• Backups und Artefakte: .env-Dateien landen in Server-Backups, Container-Images oder Support-Zips.

Mein Zielbild: SecretOps statt implizitem Vertrauen in Dateien

Secrets behandle ich wie kritische Infrastruktur. Sie gehören nicht in Repositories, nicht in Backups und nicht in Artefakte. Ein funktionierender SecretOps-Ansatz bedeutet für mich:

• eine zentrale Quelle der Wahrheit für Secrets pro Projekt und Umgebung
• minimale Zugriffsrechte nach dem Least-Privilege-Prinzip
• vollständige Nachvollziehbarkeit aller Änderungen
• automatisierte Laufzeit-Injektion statt manuellem Kopieren
• klare Trennung von Development, Staging und Production

.env-Dateien erfüllen diese Anforderungen nicht zuverlässig.

Warum ich Infisical einsetze

Infisical ist für mich der pragmatische Mittelweg zwischen schwergewichtigen Enterprise-Lösungen und einfachen, aber unsicheren Workarounds. Es lässt sich schnell in bestehende Projekte integrieren und passt gut zu modernen Web-Stacks und CI/CD-Prozessen.

Entscheidend ist nicht das Tool selbst, sondern das Betriebsmodell: Secrets werden nicht mehr als Datei verteilt, sondern dynamisch zur Laufzeit bezogen.

Schritt-für-Schritt: Migration von .env zu Infisical

1. Inventur und Klassifizierung der Secrets

Vor der Migration erstelle ich eine vollständige Liste aller Secrets und ordne sie ein, zum Beispiel in App-Secrets, Datenbank-Zugänge, Third-Party-Keys oder Infrastruktur-Zugänge.

Dabei trenne ich echte Secrets von normaler Konfiguration wie Ports oder Log-Level, die nicht in einen Secret-Store gehören.

2. Umgebungen und Konventionen definieren

Ich arbeite mindestens mit Development, Staging und Production. Variablennamen bleiben konsistent, damit der Anwendungscode unverändert bleiben kann. Jedes Secret existiert pro Umgebung genau einmal und ist dokumentiert.

3. Infisical CLI nutzen

Für lokale Workflows nutze ich die Infisical CLI mit nutzerbasierter Authentifizierung:

infisical login

4. Secrets strukturiert anlegen

Secrets werden pro Umgebung angelegt. Production-Secrets werden nicht aus Development kopiert, sondern separat erzeugt oder aus einem bestehenden sicheren Speicher übernommen.

5. .env-Dateien entfernen

Ab diesem Punkt sind .env-Dateien keine Quelle für Secrets mehr. Sie werden aus Repositories entfernt, ignoriert und nicht mehr in produktionsnahen Umgebungen verwendet.

6. Laufzeit-Injektion der Secrets

Für lokale Entwicklung starte ich Anwendungen ohne persistente Secret-Dateien:

infisical run --env=development -- npm run dev

7. CI/CD sauber absichern

Pipelines erhalten eine eigene Identität mit minimalen Rechten und Zugriff nur auf die benötigte Umgebung. Secrets werden nur zur Laufzeit geladen und niemals in Logs ausgegeben.

8. Anwendungscode unverändert lassen

Solange Anwendungen Umgebungsvariablen nutzen, bleibt der Code unverändert. Die Umstellung erfolgt ausschließlich im Deployment- und Runtime-Prozess.

9. Rotation und Incident-Playbooks

Für jedes Secret definiere ich ein Rotation-Intervall, eine verantwortliche Rolle sowie ein klares Vorgehen für Leaks oder Fehlkonfigurationen.

Typische Stolperfallen

.env nur für Docker

Auch Docker-Compose mit env_file löst das Problem nicht, sondern verschiebt es nur. Dateien bleiben ein Risiko und sollten höchstens temporär im Run-Schritt existieren.

Zu breite Zugriffsrechte

Wenn jeder Zugriff auf Production-Secrets hat, ist kein Sicherheitsgewinn erreicht. Rollen und Umgebungsgrenzen sind entscheidend.

Leaks über Logs

Viele Leaks entstehen nicht über Git, sondern über Logs. Debug-Ausgaben von Umgebungsvariablen sind in produktionsnahen Setups tabu.

Fazit: .env war bequem, Infisical ist professionell

.env-Dateien sind ein historisch gewachsener Standard, funktionieren lokal oft gut, passen aber schlecht zu modernen Anforderungen an Security, Teamarbeit und automatisierte Deployments.

Mit Infisical setze ich auf einen klaren SecretOps-Workflow mit zentraler Verwaltung, kontrolliertem Zugriff, Audit-Trails und sauberer Laufzeit-Injektion. Das reduziert Risiken, vereinfacht Deployments und sorgt für nachvollziehbare, wartbare Konfigurationen.