Von:
JürgenRuf,
Vorstandsvorsitzender
MTG AG, Darmstadt
Eine Public Key Infrastructure (PKI) verwaltet Zertifikate und repräsentiert den sicheren Vertrauensanker der Anwender. Insbesondere die KRITIS Betreiber stehen zunehmend vor der Herausforderung, zertifikatsbasierte Prozesse effektiv zu gestalten und zu verwalten. Diese Entwicklung wird durch gesetzliche Regelungen voran getrieben. Dazu zählt beispielweise die NIS-Direktive (Network and Information Security Directive), die erste EU-weite Regulierung zur Cybersecurity.
Diese wurde in Deutschland durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz für mehr Cybersicherheit in der kritischen Infrastruktur in Kombination mit einer Stärkung der Rolle des BSI umgesetzt. Die im November 2022 vom EU-Parlament verabschiedete Richtlinie „NIS 2“, verschärft nochmals die Anforderungen. So werden zusätzliche Branchen und auch kleinere Unternehmen verpflichtet, den sogenannten „Stand-der-Technik“ in der Cybersecurity umzusetzen.
Was Stand der Technik konkret in Deutschland bedeutet, hat beispielsweise TeleTrust dargelegt. Betroffenen Unternehmen dürfte spätestens damit bewusst werden, dass umfassende Cybersercurity Strategien rechtzeitig entwickelt und umgesetzt werden müssen.
Einsatz von PKI
Eine PKI bietet bereits zentrale Gestaltungsoptionen, um diese Regularien einzuhalten. So können Zertifikate beispielweise für Virtual Private Networks (VPNs) genutzt werden, um die Kommunikation von Behörden und Unternehmen abzusichern. So wird der Austausch von Daten und Dateien zwischen Webservern und Anwendern oder zwischen zwei Anwendern durch gesicherte Identitäten geschützt. Eines von zahlreichen Beispielen wie eine PKI sichere und datenschutzkonforme Unternehmensprozesse ermöglicht.
So sinnvoll eine PKI auch ist, so herausfordernd ist es in der Folge bei der Vielzahl an regelmäßig ausgestellten und unterschiedlich genutzten Zertifikaten den Überblick zu behalten. Das bekannteste Beispiel dürfte die Absicherung der E-Mail-Postfächer durch Zertifikate sein, deren Gültigkeit regelmäßig überwacht und sichergestellt werden muss.
Die sich ergebenden Fragen und Aufgaben gilt es dauerhaft im Blick zu behalten: Wo wurden die Zertifikate gespeichert? Wer hat Zugriffsrechte auf sie? Wann laufen einzelne Zertifikate ab und wie können sie möglichst automatisiert verlängert werden? Wie können Zertifikate fehlerfrei und gemäß den vorgegebenen Regularien ausgestellt werden?
Trend zum Certificate Lifecycle Management
Das zunehmende Bewusstsein für Probleme, die vor allem mit unbeabsichtigt abgelaufenen Zertifikaten verbunden sind, fördert die Nachfrage nach einem benutzerfreundlichen wie flexibel gestaltbaren Certificate Lifecycle Management (CLM). Die Gestaltung und der reibungslose Betrieb aller PKI-bezogenen Zertifikatsprozesse vereinfacht ein CLM erheblich, teure Ausfallzeiten durch abgelaufene Zertifikate werden vermieden.
Bei abgelaufenen Zertifikaten ist die Verbindung zwischen Behörde, Unternehmen oder EVU und dem Homeoffice oder dem Mitarbeiter im Außendienst nicht mehr möglich. Daher ist ein sorgfältig erstellter Automatisierungsprozess essenziell für die Überwachung und Verlängerung der Zertifikate. Die Automatisierung steigert die Qualität der Prozesse rund um die Zertifikate maßgeblich, reduziert zudem den manuellen Aufwand und die damit verbundenen Kosten signifikant.
Ein fein granulares Rechtemanagement, die Unterstützung des Vier-Augen-Prinzips, sowie die einfache Verwaltung beliebiger Unternehmensbereiche mit individuellen Security Policies erleichtern darüber hinaus die datenschutzkonforme Umsetzung von Compliance Richtlinien im Unternehmen.
Managed PKI für regulierte Unternehmen
Bei all diesen Vorteilen darf nicht außer Acht gelassen werden, dass Einführung und Betrieb einer PKI eine anspruchsvolle und komplexe Aufgabe ist. Insbesondere kleinere Anwender stehen bei einem selbst betriebenen System vor Hindernissen. Oftmals ist man nicht groß genug, weshalb die notwendige Infrastruktur oder das erforderliche Fach-Personal für den Betrieb einer PKI nicht vorhanden sind. Gleichzeitig stellt sich jedoch bereits ab 200 Mitarbeitern erfahrungsgemäß die Frage nach einer dedizierten Unternehmens-PKI und einem CLM.
Denn ab dieser Kennziffer sind schon so viele Zertifikate im Einsatz, dass die manuelle Verwaltung an ihre Grenzen stößt und kritische Prozesse durch unbeabsichtigt ausgelaufene Zertifikate gefährdet sein könnten. Damit wächst jedoch der Druck auf kleinere KRITIS Betreiber, sich nach einer möglichst flexiblen, kostengünstigen und effektiven Lösung umzusehen. In diesen Fällen lohnt sich der Blick auf eine Managed PKI mit einem leistungsfähigen CLM.
Anforderungen an ein Managed PKI Angebot
Eine geeignete Managed PKI sollte von einem vertrauenswürdigen Anbieter stammen und exklusiv für den Nutzer eingerichtet werden. Hierunter versteht man ein Angebot, dass die komplette Vertrauenskette von der Root-CA (Certificate Authority) über die ausstellende Sub-CA zu den ausgestellten Zertifikaten für die End User abbilden kann.
Die Lösung sollte skalierbar sein und die Schlüssel nach Stand der Technik schützen. Idealerweise sollte man auch öffentliche Zertifikate über eine angebundene Public-CA einbeziehen können, etwa für öffentliche E-Mail-Zertifikate. Eine einfache wie benutzerfreundliche Bedienung, verbunden mit einem zeitgemäßen CLM sind weitere wichtige Auswahlkriterien.
Zeit und Kostenaspekte bei der PKI-Planung
Eine dedizierte Managed PKI lässt sich mit deutlich geringerem Aufwand und kürzerer Vorbereitungszeit umsetzen als eine selbst betriebene Lösung. Die vertrauenswürdige Authentifizierung, Verifizierung, Integrität und Verschlüsselung für kritische und sensible Unternehmensprozesse und -anwendungen steht mit der Managed PKI unmittelbar bereit. Unternehmen und Organisationen konzentrieren sich schneller auf die Absicherung ihrer Unternehmensprozesse.
Eine Managed PKI entlässt die Behörden und Unternehmen auch aus der Verantwortung, die sichere Konfiguration, Backupkonzepte, Ausfallsicherheit, oder Zugangskontrollen und Zugriffsrechte zu regeln und zu gewährleisten. Die erforderliche Infrastruktur wird vom Dienstleister bereitgestellt und bietet Flexibilität bei sich ändernden Anforderungen. Der Aufbau des notwendigen Know-hows zu PKI- und IT Security inklusive des Fachpersonals entfällt, interne Schulungen sind wenn nur in geringem Maße notwendig.
Stattdessen erledigt der Dienstleister Software- und Security-Updates, sowie Anpassungen an die stetig wachsenden Verschlüsselungsvorgaben und garantiert die geschützte Umgebung. Den Umgang mit Hardware Security Modulen und das erforderliche Spezialwissen, um die sensiblen Schlüssel zu schützen, fällt ebenfalls in seinen Verantwortungsbereich.
Managed PKI als zukunftsorientierter Schritt
Mit der Verabschiedung der NIS 2-Novelle durch das EU-Parlament ist der Startschuss für eine nochmalige Anhebung der Mindeststandards beim Risikomanagement der IT-Sicherheit sowie bei Meldepflichten gefallen. Nach der endgültigen Ratifizierung haben die Mitgliedsstaaten 21 Monate Zeit, NIS 2 in nationales Recht umzusetzen. Nach Abschluss des Prozesses sollte sich im kommunalen Umfeld und vor allem in kritischen Infrastrukturen die Zahl der regulierten Unternehmen signifikant erhöhen.
Eine Managed-PKI stellt dabei einen wichtigen Baustein zur Erfüllung dieser Vorgaben dar. Für KRITIS Betreiber ist es bereits jetzt empfehlenswert, sich umfassend zur Auswahl der geeigneten Instrumente nach dem Stand der Technik zu informieren und beraten zu lassen. Mit einer Managed PKI jedenfalls wäre nicht nur ein erster Schritt auf diesem Wege erfolgt, sondern bereits jetzt das Sicherheitsniveau erheblich gesteigert und Unternehmensprozesse vereinfacht. (sg)
