PKI/CLM – Warum digitale Zertifikate manuell weder effektiv noch effizient gemanagt werden können

Digitale Zertifikate ermöglichen sichere Ende zu Ende-Datenübertragungen zwischen den verschiedenen Kommunikationsendpunkten eines Netzwerks. Das Management der Zertifikate – von der Beantragung, über die Erstellung, bis hin zum Widerruf oder zur Erneuerung – erfolgt in aller Regel manuell. Sehr oft steht dem zuständigen IT-Fachpersonal hierzu nur ein Excel-Sheet zur Verfügung.

Immer mehr Fachkräfte sehen sich deshalb mit der Verwaltung der in ihrem Unternehmen im Einsatz befindlichen digitalen Zertifikate überfordert. Die Anzahl der durchschnittlich in einer Public Key Infrastructure (PKI) befindlichen Zertifikate, sie wächst seit Jahren – nicht selten unkontrolliert. Vielerorts haben selbstsignierte Zertifikate geradezu zu einem ‚Zertifikatswildwuchs‘ geführt. Im Grunde verhält es sich so, als ob ein Lagerbestand manuell verwaltet wird und jeder sich – ohne Rückmeldung – einfach etwas herausnimmt oder wieder hineinlegt. Unternehmen beginnen deshalb langsam nun, in Werkzeuge zur Verwaltung und Bearbeitung der PKI und der Zertifikate zu investieren. Doch bleiben die Ergebnisse der Einführung eines solchen Systems, meist hinter den Erwartungen zurück. Die Gründe sind vielfältig:

• Der technologische Fortschritt – siehe DevOps, IoT, Cloud und Home Office – hat in den vergangenen Jahren zu einem rasanten Anstieg der im Einsatz befindlichen digitalen Zertifikate geführt.
• Gleichzeitig hat sich die Lebensdauer der Zertifikate, aufgrund stetig gestiegener Sicherheitsanforderungen, immer weiter verringert. Zertifikate, die einstmals über mehrere Jahre genutzt werden konnten, halten heute nur noch 90 Tage und weniger.
• Dann haben nicht wenige Unternehmen Probleme mit der Inventarisierung. Viele haben keinen umfassenden Überblick über ihre PKI. Selbstsignierte Zertifikate und PKI-Insellösungen sind keine Seltenheit in Unternehmen. Eine transparente Zertifikatslandschaft sieht anders aus.
• Auch der Prozess der Zertifikatserneuerung stellt für viele PKI-Teams nach wie vor ein Problem dar. Die manuelle Erneuerung von Zertifikaten ist zeitaufwändig, mühsam und fehleranfällig. Insbesondere dann, wenn sie von Mitarbeitern durchgeführt wird, die mit den Eigenheiten von PKIs nicht wirklich vertraut sind.
• Neben der Erneuerung auslaufender und der Widerrufung kompromittierter Zertifikate geht es beim Zertifikatsmanagement auch darum, PKI-Zertifikate ‚kryptoagil‘ zu machen. In unregelmäßigen Abständen müssen Algorithmen aktualisiert, muss Code überprüft, müssen Zertifikate neu ausgestellt, muss sichergestellt werden, dass sie den richtigen Protokollen und Formaten entsprechen. Schnell und unkompliziert gelingt dies nur, wenn die Zertifikate kryptoagil – eben flexibel – managebar sind. Die Anhebung der Krypto-Agilität von Zertifikaten ist aber ein komplexes Unterfangen, das manuell – auch unter Zuhilfenahme einfacher PKI-/CML-Tools – kaum ohne größere Probleme umgesetzt werden kann.
• Und schließlich übersteigt die Zahl der zu bewältigenden PKI-Aufgaben längst bei weitem die Zahl der zur Verfügung stehenden PKI-Fachleute. Als Ausgleich mögen ihnen Unternehmen nun PKI- und CLM-Tools zur Verfügung stellen. Wirklich helfen tun sie aber meist nur wenig. Denn häufig mangelt es den Teammitgliedern an Erfahrung und dem erforderlichen hochspezialisierten Fachwissen, um diese dann auch wirklich effektiv und effizient zum Einsatz bringen zu können.

Wirklich gebraucht wird etwas anderes: nämlich automatisierte PKI-/CML-Zertifikatserkennungs- und -inventarisierungstools – beispielsweise in Form einer PKI-as-a-Service-Lösung. Mit ihnen lässt sich die Zertifikatssicherheit im gesamten Unternehmen langfristig aufrechterhalten – auch bei begrenzten personellen Ressourcen. Automatisiert können sie die gesamte Zertifikatslandschaft nach aktiven und abgelaufenen Zertifikaten durchsuchen, eine einheitliche Inventarisierung bereitstellen und helfen, diese zentral zu verwalten. Der Status aller erfassten Zertifikate kann so überwacht werden, ein rascher Widerruf im Fall einer Kompromittierung einer CA, eine rechtzeitige Erneuerung im Fall eines Auslaufens zu jeder Zeit gewährleistet werden. Das Risiko zertifikatsbedingter Ausfälle des laufenden Betriebs kann so auf ein absolutes Minimum zurückgefahren werden. Darüber hinaus erleichtern automatisierte PKI-/CLM-Lösungen die Einhaltung von Compliance-Vorgaben und ermöglich das lang ersehnte Zurückdrängen des immer weiter ausufernden Zertifikatswildwuchses.

Andreas Philipp, Business Development Manager, IoT bei Keyfactor

Bild/Quelle: https://depositphotos.com/de/home.html