PKI: Verstaubte Technologie oder hilfreiches Tool?

PKI steht für Public Key Infrastruktur. Zahlreiche IT-Fach- und Führungskräfte sind überzeugt, dass die Zeiten der PKI endgültig vorbei sind. Es handle sich um eine veraltete Technologie, über die wir bereits hinausgewachsen seien. Dem ist jedoch keineswegs so! Die PKI wird immer wichtiger werden in Zeiten von Clouds, DevOps, IoT und Blockchain.

Die PKI ist eine Sicherheitsinfrastruktur, die dazu dient, Services für den sicheren Datenaustausch zwischen den Kommunikationspartnern bereitzustellen. Durch die PKI lassen sich digitale Zertifikate ausstellen, verteilen sowie prüfen. Weiter lässt sich die Zugehörigkeit von Public Keys sowie die Echtheit der Zertifikate zuverlässig prüfen. Die Public-Key-Infrastruktur liefert darüber hinaus Verzeichnisse, um Zertifikate oder Zertifikatsperrlisten zu speichern.

Irrtümer zur PKI

Es ranken sich leider zahlreiche Irrtümer um die PKI, die der Sicherheit heute mehr denn je dienlich sein kann. Sehen wir uns das etwas genauer an:

PKI ist veraltet, Cloud-Dienste sind viel relevanter

Gerade weil Unternehmen immer häufiger auf Cloud- oder DevOps-Infrastrukturen setzen, steigt die Relevanz der PKI. Denn beide Technologien setzen die Verwendung vieler Zertifikate voraus, die lediglich für kurze Zeiträume nutzbar sind. Es existiert einfach keine Alternative zur PKI, die effektiv authentifiziert und prüft, dass Daten nicht verändert wurden, dabei aber nur wenig kostet. Es gibt keinen geeigneten Ersatz, die Public-Key-Infrastruktur ist einfach zu implementieren und kostengünstig.

PKI ist nicht besonders leistungsfähig

Die PKI mag oftmals kompliziert erscheinen, ist es jedoch nicht. Wer nämlich tiefer gräbt, erkennt, dass es nicht an der PKI-Technologie liegt. Vielmehr ist das Verwalten der PKI-Assets, -Schlüssel und -Zertifikate der komplizierte Faktor. Das Gros der Unternehmen verwaltet diese kritischen Sicherheitsressourcen einfach nicht. Ergeben sich aus der mangelnden Kontrolle dann Probleme mit den Zertifikaten, werden die Dinge schwierig. Man kann die Public-Key-Infrastruktur jedoch erheblich vereinfachen. Dafür werden Verwaltung und Workflows von Zertifikaten einfach automatisiert. Damit hat man eine Lösung an der Hand, die bei weitem nicht so kompliziert erscheint, wie sich das Verantwortliche oftmals vorstellen.

PKI ist als Back Office-Technologie anzusehen

PKI wurde zu bestimmten Zwecken erstellt. Sie werkelte unauffällig im Hintergrund und niemand hat großartig darüber nachgedacht. Jedoch änderte sich diese Entwicklung vor einigen Jahren. Zertifikate wurden plötzlich auf Chipkarten oder anderen Geräten verwendet, um Menschen oder andere Maschinen zu identifizieren. Heute haben wir etliche IoT-, Cloud-, virtuelle und DevOps-Maschinen. Jede von ihnen benötigt eine einzigartige Identität. Jede Maschine muss sich gegenüber einer anderen authentifizieren. Nur so ist eine sichere Kommunikation möglich. Um dieses Chaos kontrollieren zu können, ist die PKI nach wie vor die einzige Möglichkeit.

PKI ist nicht als Sicherheitstechnologie anzusehen

Die Kosten für die PKI werden von Führungskräften oft als unangenehm wahrgenommen. Es sind jedoch kleine Kosten, verglichen mit denen, die entstehen, wenn das Nichtverfolgen der Maschinenidentitäten das gesamte Geschäft lahmlegt. Werden Maschinenidentitäten nicht verwaltet, kann sich das in zwei Varianten aufs Unternehmen auswirken:

Unerwartete Vorfälle können zum Unterbrechen der Geschäftsprozesse führen, da sie aus Sicht eines unerfahrenen Benutzers nach einem ernsthaften Sicherheitsvorfall aussehen können. Oder es entstehen tatsächliche Gefährdungen, die wirklich ernst sind. Werden Zertifikat und die dazugehörigen Schlüssel gestohlen, so können Angreifer sie dafür ausnutzen, vertrauenswürdig zu wirken. So können sie sich völlig unbemerkt inmitten des Netzwerks der betroffenen Firma bewegen und alle möglichen und unmöglichen Dinge tun. Die vorherrschenden Sicherheitskontrollen werden die Angreifer in aller Regel nicht erkennen. Wird die Public-Key-Infrastruktur effektiv gemanaged, können solche Risiken deutlich abgeschwächt werden.

Fazit: Wir brauchen die PKI!

Die Public Key Infrastruktur ist noch lang nicht tot – sie lebt aufgrund der neuen Technologien gerade erst auf. Und wir brauchen sie, um Sicherheit zu schaffen. Nichtsdestotrotz gibt es Unternehmen, denen die PKI zu viel Aufwand verursacht. Ihnen möchten wir die Managed PKI (MPKI) vorstellen. Kosten und Komplexität werden deutlich reduziert, die MPKI hilft dabei, Verwaltungsaufgaben zu eliminieren, und Sie bleiben äußerst flexibel. Weitere Informationen dazu finden Sie auf unserer Website.

Das PKI-Management ist ein sehr wichtiger Bestandteil eines jeden Sicherheitsprogramms – die Relevanz wird nur noch steigen. An vorderster Front stehen PKI und SSL-Zertifikate als sehr relevanter Baustein der Sicherheitsinfrastruktur. Darüber hinaus sorgt auch die explosionsartige Zunahme von Maschinen in externen Umgebungen dafür, dass eine gigantische Zahl von Schlüsseln und Zertifikaten herumschwirren. Sicherheitsverantwortliche müssen wissen, wo diese genau sind, sie müssen diesen Ort bestätigen und absichern, dass sie in keinster Weise kompromittiert wurden. Die PKI aktiv zu verwalten, gehört zu den Dingen, die Unternehmen ausführen müssen, um Sicherheitsvorfälle und Gefährdungen zu vermeiden.