Public Key Infrastructure (PKI) ist ein zentraler, aber oft übersehener Teil der Informationssicherheit, der rasant wächst und sich auf Automatisierung stützen sollte. Dies wird bislang nicht ausreichend getan. Unternehmen nutzen digitale Zertifikate, um ihre Identität nachzuweisen und sichere Authentifizierungsmethoden einzuführen, die veraltete Maßnahmen ablösen. Mit der digitalen Transformation steigt die Anzahl an digitalen Zertifikaten, die die Unternehmen verwalten müssen, exponentiell an. Um ihre Kunden und internen Informationen vor digitalen Angreifern zu schützen, benötigen Unternehmen daher die Möglichkeit, ihre Zertifikate zu verwalten.

Was Unternehmen riskieren, wenn sie ihre PKI nicht automatisieren

Unternehmen sollten es sich gut überlegen, bevor sie die Chance der Automatisierung ihrer PKI verstreichen lassen. Denn die Branche hat sich weiterentwickelt und die Gültigkeitsdauer öffentlicher Zertifikate ist kürzer geworden. Früher betrug sie drei Jahre. Jetzt sind TLS/SSL-Zertifikate nur noch ein Jahr gültig. Es gibt sogar spezielle Anwendungsbereiche, in denen digitale Zertifikate nur für 24 Stunden gültig sind. Jenseits öffentlicher TLS-Zertifikate werden für viele PKI-Anwendungsbereiche zur Verwaltung von Benutzer- und Geräteidentitäten sowie zur Authentifizierung kurzlebige Zertifikate benötigt, die regelmäßig ausgetauscht werden können. Auch im Bereich von DevOps ist mehr Flexibilität gefragt.

All diese Maßnahmen tragen zum besseren Schutz von Geschäftsgeheimnissen bei. Zugleich wird dadurch die manuelle Verwaltung digitaler Zertifikate komplizierter. Beispielsweise ist für einen IT-Administrator mit regulärer Arbeitszeit die Anzahl an Zertifikaten, die er für seinen Arbeitgeber erneuern muss, nicht mehr zu bewältigen, wenn das Unternehmen zur Absicherung seiner Infrastruktur Tausende oder sogar Millionen Zertifikate verwendet. Dies gilt selbst unter der Voraussetzung, dass der Administrator einen Überblick über die Ablaufdaten der Zertifikate hat. Hier können menschliche Fehler dazu führen, dass der Administrator zumindest einzelne Zertifikate vergisst. Böswillige Akteure könnten diese Zertifikate dann knacken oder es könnte zu einem massiven Zusammenbruch umsatzrelevanter kundenbezogener Dienste kommen.

Dabei ist auch zu bedenken, dass die Beschäftigungsdauer von IT-Administratoren begrenzt ist. Die meisten Administratoren bleiben vier bis sechs Jahre bei einem Arbeitgeber und wechseln dann in ein anderes Unternehmen. Das macht es für Unternehmen schwierig, das Inventar vorhandener Ressourcen manuell zu verwalten. PKI-Automatisierung kann bei der dynamischen Verwaltung des Inventars helfen, unabhängig von der jeweiligen Stellenbesetzung.

Auch auf Zertifikatsgefährdungen muss reagiert werden. Dies auf manuellem Wege zu tun, ist nicht einfach. Wenn ein Zertifikat angegriffen wurde, hat der Administrator nicht die Zeit, die Gefährdung manuell zu lokalisieren. Administratoren müssen die Gefährdung schnell beseitigen, ehe ein digitaler Angreifer sich darüber Zugang zu anderen Teilen der Unternehmensinfrastruktur verschafft. Das stellt ein Problem dar – insbesondere bei verteilten Netzwerken, wo sich Unternehmen auf global verteilte Rechenzentren stützen. In einem solchen Fall können Administratoren ein gefährdetes Zertifikat nicht manuell lokalisieren. Durch den Einsatz von Automatisierung können sie das Problem hingegen lösen, indem sie einen Befehl schreiben und/oder auf die Schaltflächen in der Benutzeroberfläche klicken.

Dann ist da noch das Thema Compliance. Öffentlich vertrauenswürdige Zertifikate sind ständigen Änderungen unterworfen. Als Reaktion auf die zunehmenden digitalen Bedrohungen kann die Sicherheitscommunity etwa erwarten, dass sich Zertifikate in puncto Umfang, Algorithmus oder Implementierung verändern. Administratoren müssen solchen Zertifikaten dann schnell das Vertrauen entziehen, damit das Unternehmen seinen Compliance-Verpflichtungen nachkommt. Durch Automatisierung können Administratoren Sicherheitsrichtlinien erstellen, die beim Eintreten neuer Compliance-Anforderungen automatisch neue Zertifikate anfordern und installieren.

Was Unternehmen so viele Jahre zurückgehalten hat

Ungeachtet der vorangegangenen Überlegungen sind Unternehmen dem Ruf nach Automatisierung ihrer PKI nicht nachgekommen. Das liegt zum Teil daran, dass einige kleinere Marktteilnehmer falsche Vorstellungen davon haben, wie PKI-Automatisierungslösungen funktionieren. Sie verbreiten ein negatives Bild von diesen Tools und halten dadurch Unternehmen davon ab, sich über die Möglichkeiten der PKI-Automatisierung zur Umsetzung ihrer digitalen Sicherheitsmaßnahmen zu informieren. Gleichzeitig haben sich viele Unternehmen mit ihrer bisherigen Methode der Zertifikatsverwaltung zufriedengegeben – selbst wenn diese nur in einer Excel-Tabelle bestand.

Aber die Zeiten haben sich geändert. Unternehmen sehen sich mittlerweile nach umfassenderen Lösungen um. Sie wollen zum Beispiel Integrationslösungen mit Load-Balancern und Rund-um-die-Uhr-Support für ihre Zertifikatsverwaltung. Außerdem soll die Lösung anpassungs- und somit zukunftsfähig sein.

Hindernisse bei der Automatisierung

Trotz dieser Veränderungen haben viele Unternehmen noch immer keine Automatisierung eingeführt. Bei einigen liegt das an einer unausgereiften IT. Zwar wollen die meisten Unternehmen Lösungen für die IT-Probleme der nächsten fünf bis zwanzig Jahre, nicht nur für die Probleme von morgen. Dabei ist ihnen bewusst, dass sie für diese Entwicklung vorausplanen müssen. Einigen Unternehmen fehlt aber eine so weit in die Zukunft reichende IT-Strategie. Da es Ihnen an konkretem Wissen über die Zukunft ihrer Infrastruktur mangelt, lassen sie alles beim Alten, anstatt umfassende Veränderungen anzugehen –in der Hoffnung, dass sich alles von allein regeln wird.

Aber das wird nicht geschehen. Jedenfalls nicht so, wie manche hoffen. Unternehmen müssen ihre IT-Investitionen proaktiv und strategisch angehen. Fehler entstehen häufig dadurch, dass Unternehmen nur reagieren und Entwicklungen hinterherlaufen. Dabei verdoppeln sie unnötig ihre Ressourcen, statt die Lage zu ihren Gunsten zu nutzen.

Ein weiterer Grund dafür, dass Unternehmen bei der PKI-Automatisierung zögerlich sind, ist die Angst vor den Kosten. Sie glauben, dass die Zertifikatsautomatisierung mit hohen Kosten verbunden ist. Studien und reale Anwendungsbeispiele widersprechen dieser Vorstellung jedoch. Anfangs sind die Kosten natürlich höher, aber dieser Betrag macht nur einen Bruchteil dessen aus, was Unternehmen im Falle eines Angriffs auf eine Schwachstelle ihrer digitalen Zertifikate zahlen müssten.

Best Practices für eine optimale PKI-Automatisierung im maximalen Umfang

Es wäre naiv, wenn sich ein Unternehmen ohne vorherige Zertifikatssuche für die Automatisierung entscheiden würde. Für die erfolgreiche Automatisierung der PKI ist vielmehr ein Überblick über den eigenen Bestand nötig. Das Ziel hierbei ist es, die PKI-Automatisierung möglichst auf die gesamte Infrastruktur auszuweiten. Dagegen ist es nicht im Interesse des Unternehmens, nur einen kleinen Teil der eigenen Infrastruktur zu automatisieren. In dem Fall kann es passieren, dass das Unternehmen den Rest seiner Infrastruktur vergisst. Das kommt tatsächlich vor.

Mit Hilfe einer Zertifikatssuche können sich Unternehmen einen Überblick verschaffen, was automatisiert werden kann und was nicht. Dann können sie die PKI-Automatisierung für diejenigen Ressourcen nutzen, bei denen dies möglich ist, und für die anderen neuere Modelle oder Technologien in Betracht ziehen.

Warum 2021 der richtige Zeitpunkt für die PKI-Automatisierung ist

Für Unternehmen gibt es keinen falschen Zeitpunkt, in PKI-Automatisierung zu investieren. Jeden Tag bieten sich Unternehmen neue Möglichkeiten zur Automatisierung. Das trifft umso mehr im Licht der Ereignisse des Jahres 2020 zu. Die Pandemie hat gezeigt, dass sich Unternehmen beim Thema digitale Sicherheit nicht allein auf Menschen verlassen können. Unvorhersehbare Ereignisse können dazu führen, dass Administratoren nicht an ihren Arbeitsplatz gelangen. Unternehmen müssen dazu in der Lage sein, ihre Zertifikate im Blick zu behalten –unabhängig davon, wer im Büro sitzt.

Und hier kommen die Lösungen von DigiCert ins Spiel. DigiCert hat sich mit seinen Kunden über viele verschiedene Anwendungsfälle ausgetauscht und so seine Lösungen immer weiter ausgebaut. Neue Workflows wurden anpassungsfähiger und flexibler gestaltet. Dadurch ist DigiCert jetzt sogar in der Lage, noch mehr Anwendungsbereiche als in den vergangenen Jahren abzudecken und Kunden mit Zehntausenden von Endgeräten dabei zu helfen, ihre Systeme innerhalb weniger Tage zu automatisieren.

So nehmen die Lösungen von DigiCert Unternehmen die Angst vor der PKI-Automatisierung.