Gefahren von PKI Marke Eigenbau

Sich eine eigene Public Key Infrastructure zusammenzustellen, quasi Marke Eigenbau, und diese eigenständig zu verwalten, ist für viele eine verlockende Idee. In kleineren Unternehmen oder für interne Lösungen lässt sich eine solche Eigenkonstruktion möglicherweise ganz gut handhaben. Doch je größer moderne Unternehmensnetzwerke werden und je mehr Nischentechnologien sie umfassen, desto komplizierter wird die PKI-Verwaltung.

Nur wenn klar ist, was die PKI-Verwaltung tatsächlich umfasst, ist eine fundierte Entscheidung zugunsten einer eigenen PKI-Lösung oder der Hilfe einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) möglich.

Herausforderungen durch eine PKI Marke Eigenbau

Unternehmen entscheiden sich häufig für eine eigene PKI, um Kosten zu sparen, doch unterm Strich kann die Verwaltung dieser PKI durch den Zeit- und Arbeitsaufwand teurer sein. Wird eine PKI zudem nicht effektiv verwaltet, ist sie zum größten Teil nutzlos.

Tatsächlich haben es PKI-Eigenkonstruktionen oft schwer im Umgang mit den komplexen Umgebungen, die sie eigentlich unterstützen sollen. Dies gilt besonders für immer komplexere, facettenreichere Unternehmensnetzwerke. Unternehmen stehen unter Druck, PKI in Hybrid- und Multi-Cloud-Umgebungen bereitzustellen und im Einklang mit der Anzahl der IoT- und anderen Geräte im Netzwerk zu skalieren.

Bei PKI ist große Sorgfalt geboten, da aktuelle Branchenstandards eingehalten werden müssen und sowohl Hardware als auch Software regelmäßig aufzufrischen sind. Diese Sorgfaltspflicht stellt Manager vor die Herausforderung, zu so etwas wie PKI-Experten zu werden.

Wenn Sie darüber nachdenken, selbst eine PKI aufzusetzen, fragen Sie sich:

• Kennt sich jemand bei Ihnen mit der Absicherung privater Schlüssel durch ein HSM aus?
• Verfügen Sie über einen Backup- und Wiederherstellungsplan für die PKI-Schlüssel und -Systeme?
• Die IT-Infrastruktur wird sich verändern – wird Ihre PKI dann die neuesten Geräte, Betriebssysteme und Anwendungsbereiche unterstützen können?
• Streng regulierte Branchen unterliegen gegebenenfalls Prüfkriterien für die PKI, das Personal, die Systeme und Tools. Sind Sie darauf vorbereitet?
• Ist Ihnen bewusst, was für branchenweite Interoperabilität notwendig wäre?
• Wie viele Benutzer wollen Sie für die PKI registrieren? Wie wollen Sie das bewerkstelligen, ohne die IT-Abteilung zu überfordern?
• Wie wollen Sie die Nutzung skalieren, wenn Sie wachsen?
• Wie wollen Sie Drittanbietersystemen gegenüber automatisieren?

Und Achtung: Die Tools, mit denen Unternehmen sich eine eigene PKI aufbauen können, z. B. eine Microsoft-CA, haben selbst Schwächen. Das Angebot von Microsoft hat beispielsweise immer noch Probleme mit der Bedienung, Skalierbarkeit und diversen Schwachstellen. Es in komplexe Unternehmensnetzwerke zu integrieren, ist mitunter schwer. Zudem kommt die Microsoft-CA bei mehr als 40.000 Zertifikaten ins Straucheln. Obwohl diese Zahl hochgegriffen wirkt, kann es vorkommen, dass pro Nutzer mehrere Zertifikate nötig sind, und so braucht ein großes Unternehmen leicht mehr als 40.000.

Vom Rechenzentrum in die Cloud

Unternehmen, die weg wollen vom eigenen Rechenzentrum oder von physischen Servern und stattdessen Container sowie Orchestrierungsumgebungen in der Cloud nutzen, stehen vor großen Herausforderungen.

Die statische IP-Adresse beispielsweise, mit der sich eine Kunde quasi authentifizieren konnte, gibt es in der Cloud nicht. Daher ist in dynamischen Umgebungen eine starke, hochgradig automatisierte Authentifizierung erforderlich. In solchen Umgebungen können Authentifizierungsdaten einen kurzen Moment lang, mehrere Tage oder sogar Jahre gültig sein. Die bisherige Gewohnheit, sich mit Pre-Shared Keys zu authentifizieren, ist ein Sicherheitsrisiko und in einer dynamischen IT-Umgebung äußerst schwierig zu skalieren.

Sobald Ihre Systeme in der Cloud ausgeführt werden, haben Sie mitunter auch keine Kontrolle über die Netzwerkschicht – verschlüsseln Sie daher die Datenübertragung zwischen den Systemen. Hierfür eignet sich eine PKI besonders gut, allerdings erhöht dies auch die Komplexität Ihres Verwaltungsaufwands, denn:

• Sie benötigen Automatisierung, Kontrolle und die Integration von Orchestrierungs-Tools,
• die Automatisierung des Ganzen für eine dynamische Umgebung ist sehr schwierig und
• wer verschlüsselt, bekommt Probleme bei der Unterstützung notwendiger Tools für den Netzwerkbetrieb.

Des Weiteren gehören auch die Unwiderrufbarkeit oder Integrität der betriebenen Services zum Verwaltungsumfang. Container müssen signiert werden, um zu belegen, dass die bereitgestellte Ressource, die in der Umgebung ausgeführt werden soll, auch vertrauenswürdig ist. Zum Glück gibt es ausgeklügelte PKI-Tools, mit denen Sie die Hürden einer dynamischen Umgebung nehmen können, und zwar sehr effektiv.

Die Cloud wird immer beliebter, und für einen sicheren Rechenzentrumsbetrieb ist eine PKI nun ein Muss. Wenn Ihr Unternehmen plant, eine PKI für die Benutzerauthentifizierung, DevOps, Dokumentsignierung, Maschinenidentitätsnachweise oder IoT-Anwendungen einzusetzen, empfiehlt es sich, mit der Erfassung der richtigen Informationen zu beginnen. Dann müssen Sie nicht, wie oft von uns beobachtet, nach der Hälfte des Wegs von vorn anfangen. Wir helfen Ihnen gern, diese Situation zu vermeiden.

Managed PKI: eine moderne Lösung

Unternehmen sollten eine private Zertifizierungsstelle in Betracht ziehen, die für das geforderte Maß an Automatisierung und Skalierbarkeit sorgt. Managed PKI wird wegen ihrer Einfachheit, Vielseitigkeit und Flexibilität geschätzt und mittlerweile weltweit eingesetzt. Aus einem neuen Whitepaper von IDC geht hervor, dass moderne PKI-Implementierungen mit deutlich geringerem administrativem und finanziellem Aufwand einhergehen.

Im Ergebnis verzeichnet ein Unternehmen, das seine PKI über eine cloudbasierte Plattform steuern lässt, 60 Prozent mehr Effektivität im Sicherheitsteam, 76 Prozent weniger ungeplante Ausfallzeit und nach fünf Jahren eine Investitionsrendite von 326 Prozent.

„Dank der DigiCert PKI-Plattform haben wir mehr Zeit, um uns auf das Wesentliche zu konzentrieren. Einige Mitarbeiter haben jetzt die Zeit, sich um die allgemeine Langzeitstrategie zu kümmern. Die besteht darin, die meisten unserer Systeme in die Cloud zu migrieren. Wir konnten sie auf die Implementierung der Cloudstruktur ansetzen“, äußerte sich ein Interviewpartner.

DigiCert ONE als Option

Der IoT Device Manager setzt auf DigiCert® ONE auf, einer PKI-Managementplattform, die 2020 als PKI-Lösung für moderne cloudnative Herausforderungen entwickelt und auf den Markt gebracht wurde. DigiCert ONE umfasst mehrere Managementtools und ist für alle PKI-Typen geeignet. Aufgrund ihrer Flexibilität kann sie sowohl On-Premises als auch lokal oder in der Cloud bereitgestellt werden, um strikte Vorgaben, spezifische Integrationen und Air-Gap-Anforderungen zu erfüllen. Die zuverlässige und dynamisch skalierbare Infrastruktur ermöglicht zudem eine schnelle Ausgabe großer Mengen von Zertifikaten. DigiCert ONE bietet ein umfassendes zentrales Zertifikatsmanagement für Benutzer und Geräte und damit einen modernen PKI-Ansatz. Gern können Sie sich eingehender über  DigiCert ONE informieren und schauen, ob sich die Plattform für Ihr Unternehmen eignet.