Wir leben vernetzt – der Weg ins Internet bzw. in Heim- und Unternehmensnetze ist nicht weit. Die Geräte, die uns dies ermöglichen, sind überall.1 Die Grenze zwischen privatem und beruflichem Surfen verschwimmt.2 Immer mehr Menschen sind immer länger online.3 Und die digitale Transformation nimmt weiter Fahrt auf; an immer mehr Stellen sind Unternehmen, Menschen und Technologie miteinander vernetzt.4
Vor diesem Hintergrund spielt digitales Vertrauen eine zentrale Rolle. Ohne es könnten wir unsere vernetzte Welt nicht ausbauen und mit Leben füllen. Wir brauchen es für die beruhigende Gewissheit, dass unsere Online-Aktivitäten – egal ob der Austausch mit anderen, Transaktionen oder geschäftliche Vorgänge – sicher sind.
Die rasante Zunahme an Konnektivität erfordert ein hohes Maß an digitalem Vertrauen und der entsprechenden Vertrauenswürdigkeit. Die IT-Infrastrukturen, die wir tagtäglich nutzen, werden dadurch zwar komplexer, aber auch sicherer. Cloud-Services, Hybrid-Workloads und IT/OT-Konvergenz haben grundlegend geändert, was vernetzt ist und was nicht. DevOps und CI/CD-Pipelines lassen die Grenze zwischen herkömmlichem IT-Betrieb und Software-Entwicklung verschwimmen. Der Trend zur Arbeit im Homeoffice, den die Pandemie noch verstärkt hat, rückt in Unternehmen die Bereitstellung von IT-Ressourcen und den Zugriff darauf in den Fokus. Dabei bringen es Netzwerkarchitekturen, in denen grundsätzlich nichts und niemandem vertraut wird (Zero Trust), mit sich, dass immer mehr Geräte und Identitäten authentifiziert und geschützt werden müssen.
Die Zunahme dieser Vernetzungspunkte könnte man auch als Auflösung der bisher üblichen Grenzen in und um Unternehmen beschreiben. Angesichts dieses Trends müssen Unternehmen das Thema digitales Vertrauen zur IT-Chefsache machen. Unternehmen sind nicht nur für das interne digitale Vertrauen im Hinblick auf ihre Mitarbeiter und internen Abläufe verantwortlich, sondern auch für ihre Vertrauenswürdigkeit bei Kunden, Partnern und Kommunikationskanälen.
Digitales Vertrauen kann nur entstehen, wenn die folgenden drei Voraussetzungen erfüllt sind:
Das Vorhandensein aller drei Elemente signalisiert uns, dass eine E-Mail tatsächlich vom angegebenen Absender stammt, eine Website sicher, ein Dokument ordnungsgemäß signiert, Software nicht manipuliert, ein cloudbasiertes Software-Image gültig und eine Person die ist, als die sie sich ausgibt. Diese drei Elemente sind in digitalen Zertifikaten vereint, die öffentliche mit privaten Schlüsseln koppeln und an eine Identität binden. Unternehmen nutzen eine solche Public Key Infrastructure (PKI), um vertrauenswürdige Identitäten zu schaffen und die Datenintegrität und Verschlüsselung zwischen Menschen, Systemen und Objekten zu ermöglichen.
Eine PKI ist allerdings nur der Anfang. Digitales Vertrauen wird erst durch mehrere Bausteine vervollständigt, auf die wir im nächsten Abschnitt eingehen.
Vier Elemente schaffen digitales Vertrauen: Normen und Standards, Compliance und Betrieb, Trust Management und vernetztes Vertrauen.
Normen und Standards: Was für einzelne Technologien und Branchen als Vertrauen und vertrauenswürdig gilt, ist in Normen und Standards definiert. Das CA/Browser Forum wurde 2005 als Zusammenschluss von diversen Zertifizierungsstellen (CAs), Browser-Herstellern und Bereitstellern anderer Anwendungen gegründet, die digitale X.509 v.3-Zertifikate für TLS/SSL, Code Signing und S/MIME nutzen.5 Es legt fest, was Zertifizierungsstellen beachten und umsetzen müssen, um als vertrauenswürdig zu gelten. Andere Foren und Konsortien wie NIST, IETF, CableLabs, CI+ und Matter legen die Rahmen- und Zertifizierungsbedingungen anderer Technologien und Branchen fest.
Compliance und Betrieb: Vertrauen entsteht durch die Einhaltung von Vorgaben (Compliance) und ordnungsgemäße Abläufe (Betrieb). Unter Compliance sind alle Richtlinien und Audits zusammengefasst, die die fraglichen Abläufe nach den Vorgaben einer Aufsichtsstelle regeln. Im Betrieb – hier am wichtigsten: Rechenzentren – wird der Zertifikatsstatus per OCSP oder anderen Protokollen verifiziert.
Trust Management: Immer mehr Unternehmen verwalten ihre digitalen Zertifikate über den gesamten Lebenszyklus hinweg und nutzen dafür spezielle Software. Dadurch können sie Betriebsunterbrechungen aufgrund abgelaufener Zertifikate, die Nichteinhaltung interner Sicherheitsrichtlinien und administrativen Aufwand vermeiden. Dafür sorgen automatisierte Geschäftsprozesse zur Verwaltung des Zertifikatslebenszyklus und anderer geschäftlicher Identitäten.
Vernetztes Vertrauen: Unternehmen mit komplexen Lieferketten und Partnernetzwerken müssen auch dort Vertrauen schaffen, beispielsweise über den Lebenszyklus bestimmter Geräte hinweg, entlang der Lieferkette für Software-Entwicklung oder durch den digitalen Nachweis geistigen Eigentums in Content-Communitys.
Die vier Bausteine, mit PKI als Fundament, ermöglichen ein Maß an Vertrauen, ohne das unser digitales Leben so nicht möglich wäre.
Die strategische Bedeutung digitalen Vertrauens geht über das Erstellen und Verwalten digitaler Zertifikate hinaus. Es ist aus dem Sicherheits- und Risikomanagement nicht wegzudenken, schützt es Unternehmen doch vor Bedrohungen der Cybersicherheit. Es unterstützt die digitale Transformation, indem es Unternehmen in die Lage versetzt, kritische Prozesse online zu erledigen und neue organisationsübergreifende Verbindungen aufzubauen. Außerdem ist es essenziell für unsere vernetzte Zukunft. Unternehmen, die digitales Vertrauen strategisch betrachten und auch so darin investieren, werden eine sichere, vernetzte Welt maßgeblich mitbestimmen.
DigiCert unterstützt führende Unternehmen rund um den Globus in puncto digitales Vertrauen.
Über DigiCert, Inc.
Als einer der weltweit führenden Anbieter digitaler Vertrauenslösungen sorgt DigiCert dafür, dass Unternehmen und Einzelpersonen digitalen Interaktionen in dem Wissen vertrauen können, dass ihre digitale Infrastruktur und ihre Anbindung an eine Welt voller Online-Transaktionen sicher und geschützt sind. DigiCert® ONE, die Plattform für digitale Vertrauensdienste, bietet Unternehmen eine zentrale Anlaufstelle für Einblicke und die Kontrolle über eine Vielzahl von öffentlichen und privaten Anwendungsbereichen, in der das Vertrauen eine wichtige Rolle spielt. Dazu gehören der sichere Zugriff auf Unternehmenssysteme, sichere Business-Kommunikation sowie der Schutz von Websites, Software, Identitäten, Inhalten und Geräten. DigiCert bietet nicht nur preisgekrönte Softwarelösungen an, sondern hat sich nicht zuletzt auch durch seine branchenweite Führungsrolle bei Standards, Support und Betrieb als bevorzugter Anbieter digitaler Vertrauenslösungen bei Unternehmen auf der ganzen Welt einen Namen gemacht. Weitere Informationen finden Sie unter digicert.com/de oder auf Twitter unter @digicert.
Im Rahmen der Digitalisierung werden immer mehr Punkte miteinander verbunden. Da fällt es schwer, die Übersicht zu behalten. In unserem neuen Webinar erfahren Sie, wie Sie Ihre wachsende Sicherheitsinfrastruktur vereinheitlichen und vereinfachen können. Jetzt anmelden.