PKI-Management: Wenn Zertifikatsverwaltung zum Kostentreiber wird

Unternehmen verwalten im Schnitt über 114.000 interne Zertifikate – betreut von gerade einmal vier Vollzeitmitarbeitern. Wie Kevin Bocek, Senior Vice President of Innovation bei CyberArk, berichtet, zeigt eine aktuelle Studie des Ponemon Institute, dass die Public Key Infrastructure längst nicht mehr nur ein technisches Randthema ist, sondern erhebliche finanzielle und sicherheitsrelevante Auswirkungen hat.

Unterschätzte Infrastruktur mit wachsender Bedeutung

Jahrelang galt die Public Key Infrastructure in vielen Organisationen als selbstverständliche Basiskomponente, die im Hintergrund für sichere Zugriffe auf Systeme und Geräte sorgt. Aufmerksamkeit erhielt das Thema meist erst bei Störungen. Die globale Untersuchung „Trends in PKI Security: A Global Study of Trends, Challenges & Business Impact“, auf die sich Kevin Bocek, Senior Vice President of Innovation bei CyberArk, bezieht, zeichnet nun ein anderes Bild.

Die Zahlen verdeutlichen das Missverhältnis: Während das durchschnittliche Zertifikatsvolumen bei mehr als 114.000 internen Zertifikaten liegt, stehen dafür lediglich vier Vollzeitmitarbeiter zur Verfügung. Parallel dazu werden die Gültigkeitszeiträume öffentlicher Zertifikate kürzer, kryptografische Anforderungen komplexer und die Erwartungen an Vertrauenswürdigkeit höher.

In der Studie bezieht sich PKI auf intern vergebene Zertifikate und private Zertifizierungsstellen, die Unternehmensanwendungen, Workloads, Geräte und Maschine-zu-Maschine-Kommunikation in On-Premise-, Cloud- und Hybrid-Infrastrukturen absichern – dort, wo mittlerweile das größte Zertifikatsaufkommen und der höchste Verwaltungsaufwand anfallen.

Kostenfaktor jenseits der Infrastrukturausgaben

Wenn IT-Verantwortliche über PKI-Ausgaben sprechen, denken sie üblicherweise an Infrastrukturkosten: Software für Zertifizierungsstellen, Hardware-Sicherheitsmodule, Wartungsverträge. Die Ponemon-Daten zeigen jedoch zusätzliche Kostentreiber.

Mehr als ein Drittel der befragten Organisationen nennt Kosten und Risiken veralteter PKI-Systeme als größte Hürde bei der Zertifikatssicherung. Gleichzeitig nutzt über die Hälfte weiterhin manuelle oder provisorische Werkzeuge zur PKI-Statusprüfung. Die Folge: überlastete Teams, knappes Fachwissen und steigender Verwaltungsaufwand bei wachsendem Zertifikatsbestand. 63 Prozent der Unternehmen beauftragen deshalb Managed Service Provider.

Die tatsächlichen Kosten entstehen durch manuelle Abläufe, die hochqualifizierte Sicherheitsfachkräfte binden. Budgets fließen statt in strategische Projekte in kontinuierliche Wartung und reaktive Kriseninterventionen. Hinzu kommen Projektverzögerungen, fragile Prozesse und zunehmende Abhängigkeit von externen Dienstleistern.

Von operativen Schwachstellen zu Sicherheitslücken

Viele Entscheider gehen davon aus, dass PKI-Probleme sich hauptsächlich in Systemausfällen manifestieren. Diese Sichtweise unterschätzt die eigentlichen Risiken.

Die Ponemon-Studie zeigt konkrete Bedrohungsszenarien auf:

• 60 Prozent erlebten kryptografische Angriffe im Zusammenhang mit schwachen oder mangelhaft verwalteten Schlüsseln
• 58 Prozent waren von Kompromittierungen externer Zertifizierungsstellen betroffen
• 43 Prozent verzeichneten Diebstahl privater Server-Schlüssel

Diese Vorfälle sind keine nebensächlichen Betriebsstörungen, sondern direkte Angriffsvektoren für Identitätsdiebstahl, Datenabfang und unbefugte Systemzugriffe.

Das Vertrauen der Unternehmen in ihre eigenen Systeme bleibt gering. Weniger als die Hälfte der Befragten ist überzeugt, dass ihre PKI wirksamen Schutz vor Angriffen bietet oder Compliance-Vorgaben erfüllt. Fehlende Transparenz spielt dabei eine zentrale Rolle: Nur 47 Prozent haben einen praktikablen Überblick über Anzahl und Einsatzorte ihrer Zertifikate. Ohne diese Sichtbarkeit bleiben Fehlkonfigurationen unerkannt, schwache Verschlüsselung im Einsatz und Reaktionszeiten auf Vorfälle lang.

Für zahlreiche Organisationen funktioniert PKI als Sicherheitskontrolle nur auf dem Papier. Fehlerszenarien gleichen eher Identitätskompromittierungen als klassischen IT-Problemen.

Ausfälle als Symptom systemischer Probleme

Zertifikatsbedingte Ausfälle bleiben verbreitet. 56 Prozent der Unternehmen berichten von ungeplanten Stillständen durch abgelaufene oder fehlkonfigurierte Zertifikate, die häufig noch manuell nachverfolgt und erneuert werden. Ausfälle sind jedoch lediglich ein Spätindikator.

Hinter jedem Ausfall steht eine Infrastruktur mit zersplitterter Zuständigkeit, inkonsistenter Richtlinienumsetzung und Werkzeugen, die für heutige Dimensionen nicht konzipiert wurden. Verkürzte Zertifikatslaufzeiten und häufigere Erneuerungen verschärfen diese Schwächen. Was früher sporadische Störungen verursachte, gefährdet nun die kontinuierliche Verfügbarkeit.

Die Untersuchung zeigt einen weiteren relevanten Aspekt: Die Hälfte der Befragten ist überzeugt, dass Automatisierung und KI das Ausfallrisiko deutlich senken würden. Dennoch bleibt die Umsetzung lückenhaft. Viele Organisationen erkennen die Problematik, doch veraltete Strukturen und bereits getätigte Investitionen bremsen Veränderungen.

Modernisierung als aktuelle Notwendigkeit

Wie Bocek erläutert, betrachtet die Branche PKI-Modernisierung häufig als Vorbereitung auf künftige Entwicklungen wie Post-Quantum-Kryptografie, neue Regulierungen oder veränderte Architekturen. Die Ponemon-Daten legen jedoch nahe, dass Modernisierung bereits jetzt dringend erforderlich ist.

Die Hälfte der untersuchten Unternehmen gibt an, dass die neue 47-Tage-Gültigkeitsregel für TLS-Zertifikate Modernisierungsvorhaben beschleunigt und Führungskräfte früher als geplant zum Handeln zwingt. Andere Prioritäten sind kryptografische Flexibilität, einheitliche Transparenz und Audit-Fähigkeit.

Die Herangehensweisen unterscheiden sich: Leistungsstarke Organisationen behandeln PKI als zentrale Sicherheitskontrolle für Maschinenidentitäten. Sie setzen auf Automatisierung, durchgängige Transparenz und strukturierte Governance, um Ausfälle zu reduzieren, Compliance zu gewährleisten und Widerstandsfähigkeit zu erhöhen. 33 Prozent der Unternehmen nennen den Wechsel zu PKI-as-a-Service als ersten Schritt zur Verringerung von Komplexität und Betriebslast.

Strategische Relevanz für die Unternehmensführung

Die Studie liefert zahlreiche Erkenntnisse. Die wichtigste, so Bocek: Die Bedeutung von PKI für moderne Unternehmen hat sich grundlegend gewandelt.

PKI hat sich von einer Hintergrundinfrastruktur zu einem fundamentalen Sicherheitsdienst entwickelt, der jede digitale Interaktion trägt. Skalierbare, resiliente und sichere PKI bildet einen Kernaspekt der Maschinenidentitätssicherheit.

Unterfinanzierte, manuell betriebene oder schlecht verwaltete PKI führt zu weitreichenden Konsequenzen: höhere Kosten, gesteigerte Risiken und Vertrauensverlust auf Führungsebene.

Je länger diese verborgenen Kosten überholter PKI-Ansätze unbeachtet bleiben, desto mehr Organisationen werden feststellen, dass ihnen die Flexibilität, Belastbarkeit und das Vertrauen fehlen, um aktuelle Geschäftsanforderungen zu erfüllen.

Während sich Unternehmen auf kürzere Zertifikatslaufzeiten, fortschreitende kryptografische Standards und intensivere Regulierungsaufsicht einstellen, werden sich PKI-Strategien weiterentwickeln müssen. Erfolgreiche Organisationen werden die geschäftlichen Auswirkungen von PKI erkennen, bevor der nächste Ausfall, das nächste Audit-Versagen oder der nächste Sicherheitsvorfall sie zum Handeln zwingt.

Spannend in diesem Zusammenhang:

---