PKI steht f\u00fcr Public Key Infrastruktur. Zahlreiche IT-Fach- und F\u00fchrungskr\u00e4fte sind \u00fcberzeugt, dass die Zeiten der PKI endg\u00fcltig vorbei sind. Es handle sich um eine veraltete Technologie, \u00fcber die wir bereits hinausgewachsen seien. Dem ist jedoch keineswegs so! Die PKI wird immer wichtiger werden in Zeiten von Clouds, DevOps, IoT und Blockchain.<\/p>\n
Die PKI ist eine Sicherheitsinfrastruktur, die dazu dient, Services f\u00fcr den sicheren Datenaustausch zwischen den Kommunikationspartnern bereitzustellen. Durch die PKI lassen sich digitale Zertifikate ausstellen, verteilen sowie pr\u00fcfen. Weiter l\u00e4sst sich die Zugeh\u00f6rigkeit von Public Keys sowie die Echtheit der Zertifikate zuverl\u00e4ssig pr\u00fcfen. Die Public-Key-Infrastruktur liefert dar\u00fcber hinaus Verzeichnisse, um Zertifikate oder Zertifikatsperrlisten zu speichern.<\/p>\n
<\/p>\n
Es ranken sich leider zahlreiche Irrt\u00fcmer um die PKI, die der Sicherheit heute mehr denn je dienlich sein kann. Sehen wir uns das etwas genauer an:<\/p>\n
Gerade weil Unternehmen immer h\u00e4ufiger auf Cloud- oder DevOps-Infrastrukturen setzen, steigt die Relevanz der PKI. Denn beide Technologien setzen die Verwendung vieler Zertifikate voraus, die lediglich f\u00fcr kurze Zeitr\u00e4ume nutzbar sind. Es existiert einfach keine Alternative zur PKI, die effektiv authentifiziert und pr\u00fcft, dass Daten nicht ver\u00e4ndert wurden, dabei aber nur wenig kostet. Es gibt keinen geeigneten Ersatz, die Public-Key-Infrastruktur ist einfach zu implementieren und kosteng\u00fcnstig.<\/p>\n
Die PKI mag oftmals kompliziert erscheinen, ist es jedoch nicht. Wer n\u00e4mlich tiefer gr\u00e4bt, erkennt, dass es nicht an der PKI-Technologie liegt. Vielmehr ist das Verwalten der PKI-Assets, -Schl\u00fcssel und -Zertifikate der komplizierte Faktor. Das Gros der Unternehmen verwaltet diese kritischen Sicherheitsressourcen einfach nicht. Ergeben sich aus der mangelnden Kontrolle dann Probleme mit den Zertifikaten, werden die Dinge schwierig. Man kann die Public-Key-Infrastruktur jedoch erheblich vereinfachen. Daf\u00fcr werden Verwaltung und Workflows von Zertifikaten einfach automatisiert. Damit hat man eine L\u00f6sung an der Hand, die bei weitem nicht so kompliziert erscheint, wie sich das Verantwortliche oftmals vorstellen.<\/p>\n
PKI wurde zu bestimmten Zwecken erstellt. Sie werkelte unauff\u00e4llig im Hintergrund und niemand hat gro\u00dfartig dar\u00fcber nachgedacht. Jedoch \u00e4nderte sich diese Entwicklung vor einigen Jahren. Zertifikate wurden pl\u00f6tzlich auf Chipkarten oder anderen Ger\u00e4ten verwendet, um Menschen oder andere Maschinen zu identifizieren. Heute haben wir etliche IoT-, Cloud-, virtuelle und DevOps-Maschinen. Jede von ihnen ben\u00f6tigt eine einzigartige Identit\u00e4t. Jede Maschine muss sich gegen\u00fcber einer anderen authentifizieren. Nur so ist eine sichere Kommunikation m\u00f6glich. Um dieses Chaos kontrollieren zu k\u00f6nnen, ist die PKI nach wie vor die einzige M\u00f6glichkeit.<\/p>\n
Die Kosten f\u00fcr die PKI werden von F\u00fchrungskr\u00e4ften oft als unangenehm wahrgenommen. Es sind jedoch kleine Kosten, verglichen mit denen, die entstehen, wenn das Nichtverfolgen der Maschinenidentit\u00e4ten das gesamte Gesch\u00e4ft lahmlegt. Werden Maschinenidentit\u00e4ten nicht verwaltet, kann sich das in zwei Varianten aufs Unternehmen auswirken:<\/p>\n
Unerwartete Vorf\u00e4lle k\u00f6nnen zum Unterbrechen der Gesch\u00e4ftsprozesse f\u00fchren, da sie aus Sicht eines unerfahrenen Benutzers nach einem ernsthaften Sicherheitsvorfall aussehen k\u00f6nnen. Oder es entstehen tats\u00e4chliche Gef\u00e4hrdungen, die wirklich ernst sind. Werden Zertifikat und die dazugeh\u00f6rigen Schl\u00fcssel gestohlen, so k\u00f6nnen Angreifer sie daf\u00fcr ausnutzen, vertrauensw\u00fcrdig zu wirken. So k\u00f6nnen sie sich v\u00f6llig unbemerkt inmitten des Netzwerks der betroffenen Firma bewegen und alle m\u00f6glichen und unm\u00f6glichen Dinge tun. Die vorherrschenden Sicherheitskontrollen werden die Angreifer in aller Regel nicht erkennen. Wird die Public-Key-Infrastruktur effektiv gemanaged, k\u00f6nnen solche Risiken deutlich abgeschw\u00e4cht werden.<\/p>\n
<\/p>\n
Die Public Key Infrastruktur ist noch lang nicht tot \u2013 sie lebt aufgrund der neuen Technologien gerade erst auf. Und wir brauchen sie, um Sicherheit zu schaffen. Nichtsdestotrotz gibt es Unternehmen, denen die PKI zu viel Aufwand verursacht. Ihnen m\u00f6chten wir die Managed PKI<\/a> (MPKI) vorstellen. Kosten und Komplexit\u00e4t werden deutlich reduziert, die MPKI hilft dabei, Verwaltungsaufgaben zu eliminieren, und Sie bleiben \u00e4u\u00dferst flexibel. Weitere Informationen dazu finden Sie auf unserer Website.<\/p>\n Das PKI-Management ist ein sehr wichtiger Bestandteil eines jeden Sicherheitsprogramms \u2013 die Relevanz wird nur noch steigen. An vorderster Front stehen PKI und SSL-Zertifikate<\/a> als sehr relevanter Baustein der Sicherheitsinfrastruktur. Dar\u00fcber hinaus sorgt auch die explosionsartige Zunahme von Maschinen in externen Umgebungen daf\u00fcr, dass eine gigantische Zahl von Schl\u00fcsseln und Zertifikaten herumschwirren. Sicherheitsverantwortliche m\u00fcssen wissen, wo diese genau sind, sie m\u00fcssen diesen Ort best\u00e4tigen und absichern, dass sie in keinster Weise kompromittiert wurden. Die PKI aktiv zu verwalten, geh\u00f6rt zu den Dingen, die Unternehmen ausf\u00fchren m\u00fcssen, um Sicherheitsvorf\u00e4lle und Gef\u00e4hrdungen zu vermeiden.<\/p>\n