Die meisten Unternehmen stützen sich nach wie vor auf veraltetePKI-Implementierungen (Public Key Infrastructure), die in einer einfacheren Zeit für eine Handvoll Anwendungsfälle entwickelt wurden. Systeme wie Microsoft Active Directory Certificate Services (AD CS) wurden zur Unterstützung interner Anwendungen konzipiert – nicht für die explosionsartige Zunahme von Cloud-Workloads, IoT , DevOps-Pipelines und Maschinenidentitäten, die die heutige Unternehmens-IT prägen.
Die PKI-Modernisierung ist der Prozess, bei dem veraltete PKI-Infrastrukturen ersetzt oder aktualisiert werden, um den aktuellen und zukünftigen Anforderungen an digitales Vertrauen, Skalierbarkeit und Automatisierung gerecht zu werden. Es handelt sich dabei nicht um eine vollständige Erneuerung. Vielmehr ist es eine strategische Neuausrichtung hin zu einer flexiblen, skalierbaren und automatisierten Zertifikatsverwaltung, die mit den tatsächlichen Abläufen in Unternehmen heute Schritt hält.
In diesem Beitrag werden fünf Gründe dargelegt, warum die Modernisierung der PKI einen Platz in Ihrer Sicherheits-Roadmap verdient, sowie Warnzeichen aufgezeigt, die darauf hindeuten, dass Ihre derzeitige Infrastruktur möglicherweise bereits den Anschluss verliert.
Anzeichen dafür, dass Ihre PKI aktualisiert werden muss
Bevor wir uns mit den Gründen für eine Modernisierung befassen, ist es hilfreich, die Anzeichen einer PKI-Implementierung zu erkennen, die über ihr ursprüngliches Konzept hinausgewachsen ist. Dabei treten drei Muster immer wieder auf.
Veraltete Infrastruktur, die nicht mehr mithalten kann
PKI-Implementierungen, die ursprünglich für ein oder zwei interne Anwendungen eingerichtet wurden, müssen heute weitaus mehr Nutzer, Geräte und Umgebungen abdecken, als ursprünglich vorgesehen war. Systemen wie Microsoft CA die Integration in moderne Tools, sie bieten nur begrenzte Automatisierungsmöglichkeiten und sind aufgrund ihrer langen Lebensdauer anfällig für Konfigurationsfehler. Wenn ein Root-CA-Zertifikat eine Laufzeit von bis zu 25 Jahren hat, wird die technologische Landschaft um das System herum dieses unweigerlich überholen.
Zertifikatswucher und Schatten-PKI
Wenn eine zentralisierte PKI mit der Nachfrage nicht Schritt halten kann, richten einzelne Teams ihre eigenen Zertifizierungsstellen ein, ohne sich mit anderen Teams abzustimmen – ganz zu schweigen von der IT- oder Sicherheitsabteilung. Die Folge sind nicht nachverfolgbare Zertifikate, uneinheitliche Sicherheitsrichtlinien und unerwartete Ausfälle, die bei Audits zutage treten. Laut dem Bericht „State of Machine Identity Management 2023“ verfügen nur 47 % der Unternehmen über genügend Personal, das sich ausschließlich um ihre PKI kümmert. Diese Personallücke verschärft das Problem der unkontrollierten Ausbreitung, da Teams ihre unmittelbaren Anforderungen lösen, ohne über das Fachwissen zu verfügen, um langfristige Auswirkungen zu berücksichtigen.
Qualifikationslücken und unklare Zuständigkeiten
PKI-Systeme werden häufig zwischen Teams weitergegeben, ohne dass eine klare Zuständigkeit festgelegt ist. Das für die Verwaltung erforderliche Fachwissen ist schwer zu finden und noch schwerer zu halten, insbesondere wenn die PKI-Infrastruktur über Jahrzehnte hinweg gewartet werden muss. Den meisten Organisationen fehlt es an spezialisiertem Personal, das den gesamten Lebenszyklus einer Stammzertifizierungsstelle verwalten kann – von der Erstbereitstellung über die Erneuerung von Zertifikaten und die Aktualisierung von Richtlinien bis hin zur späteren Außerbetriebnahme.
Grund 1: Flexible Bereitstellungsoptionen für Hybrid- und Multi-Cloud-Umgebungen
Wenn es um PKI geht, gibt es keine Einheitslösung. Veraltete Implementierungen binden Unternehmen an starre, lokale Architekturen, die sich nicht flexibel an Hybrid- und Multi-Cloud-Betriebsmodelle anpassen lassen. Da sich Workloads zwischen verschiedenen Umgebungen verlagern, wird eine PKI-Plattform, die nur auf einem einzigen lokalen Server läuft, eher zu einem Engpass als zu einer tragenden Grundlage.
Moderne PKI-Lösungen bieten eine Flexibilität bei der Bereitstellung, die sich an die tatsächlichen Abläufe in Unternehmen anpasst. Ganz gleich, ob Sie eine cloudbasierte PKI (SaaS oder PKI as a Service), lokale Appliances oder Hybridkonfigurationen benötigen, die beides kombinieren – die richtige Plattform passt sich Ihrer Infrastruktur an, anstatt dass sich Ihre Infrastruktur an sie anpassen muss.
Diese Flexibilität ist in verschiedenen Szenarien von entscheidender Bedeutung. Cloud-Migrationen erfordern eine PKI, die nativ in AWS-, Azure- oder Multi-Cloud-Umgebungen funktioniert. Durch Fusionen und Übernahmen entstehen neue CA-Infrastrukturen, die schnell integriert werden müssen. Teams mit unterschiedlichen regulatorischen oder sicherheitstechnischen Anforderungen benötigen unter Umständen isolierte Zertifizierungsstellen (CAs), die dennoch in eine zentralisierte Governance eingebunden sind.
EJBCA, die PKI-Plattform Keyfactor, unterstützt diese Bandbreite an Bereitstellungsmodellen und ist als SaaS, Cloud,Appliance,Appliance oder Managed PKI as a Service verfügbar. Die 48 % der Unternehmen, die cloudbasierte Dienste als Treiber für die PKI-Bereitstellung nennen (2023 State of Machine Identity Management), benötigen eine Plattform, die speziell für diese Anforderungen entwickelt wurde.
Grund 2: Unterstützung moderner Anwendungsfälle in den Bereichen IoT, DevOps und Cloud
Die heutigen IT-Landschaften gehen weit über die traditionelle Microsoft-Infrastruktur hinaus. Entwickler erwarten Zertifikate, die über eine API genutzt werden können. Hersteller benötigen Zertifikate, die direkt in die Fertigungsumgebung eingebettet sind.IoT erfordern eine sichere Authentifizierungin großem Maßstab, containerisierte Workloads erfordern kurzlebige Zertifikate, die automatisch ausgestellt und rotiert werden, und Cloud-native Anwendungen erfordern eine PKI, die sich in Orchestrierungsplattformen und CI/CD-Pipelines integrieren lässt.
Eine moderne PKI muss so anpassungsfähig und erweiterbar sein, dass sie Tausende von Zertifikatsvorgängen pro Sekunde in diesen unterschiedlichen Umgebungen bewältigen kann. Das bedeutet, dass Protokolle wie SCEP, ACME, EST und CMP unterstützt werden müssen, ebenso wie robuste REST-APIs, die es Entwicklungsteams ermöglichen, die Zertifikatsausstellung direkt in ihre Arbeitsabläufe zu integrieren.
Ältere PKI-Systeme wurden nicht für eine derart breite Palette von Anwendungsfällen konzipiert. Sie unterstützen in der Regel nur eine begrenzte Anzahl von Protokollen, verfügen nicht über API-first-Architekturen und erfordern manuelle Eingriffe für Vorgänge, die in modernen Umgebungen automatisch ablaufen sollten. Die Modernisierung Ihrer PKI bedeutet, Anwendungsfälle dort abzudecken, wo sie auftreten, anstatt jedes Team zu zwingen, innerhalb der Grenzen eines Systems zu arbeiten, das für eine andere Ära konzipiert wurde.
Unternehmen, die Microsoft CA einer modernen PKI-Plattform betreiben, können schrittweise migrieren. Dieses Koexistenzmodell ermöglicht es den Teams, neue Anwendungsfälle mit modernen Tools zu unterstützen und gleichzeitig die bestehenden Arbeitsabläufe während der Umstellung beizubehalten. Dadurch werden Risiken minimiert und der Zeitplan für die Migration kann an die Bereitschaft des Unternehmens angepasst werden, anstatt an einen festgelegten Umstellungstermin gebunden zu sein.
Grund 3: Skalierbarkeit, die mit Ihrem Unternehmen mitwächst
Veraltete PKI-Architekturen schränken die Skalierbarkeit erheblich ein. Systeme wie Microsoft CA so konzipiert, dass pro Server nur eine Zertifizierungsstelle (CA) betrieben werden kann, und bieten keine integrierte Unterstützung für Mandantenfähigkeit oder Hochverfügbarkeit. Mit steigendem Zertifikatsaufkommen und neuen Anwendungsfällen wird diese Architektur immer komplexer und ihre Wartung immer kostspieliger.
Moderne PKI-Lösungen beseitigen diese Einschränkungen. Unternehmen können innerhalb weniger Minuten neue Zertifizierungsstellen einrichten, PKI-Komponenten für hohe Verfügbarkeit in Clustern zusammenfassen und die Lösung so skalieren, dass sie Millionen oder sogar Milliarden von Zertifikaten unterstützt. Ganz gleich, ob als SaaS, Managed Services oder selbst gehostete Infrastruktur bereitgestellt – eine moderne Plattform wächst mit dem Unternehmen mit, anstatt es einzuschränken.
Die Kosteneinsparungen sind messbar. Eine„Total Economic Impact“-Studie von Forresterergab, dass Keyfactor durch die Konsolidierung von Altsystemen auf einer modernen Plattform eine Senkung der PKI-Infrastrukturkosten um 95 % erzielten. Diese Einsparung ergibt sich nicht nur aus dem Wegfall redundanter hardware Lizenzen, sondern auch aus der gewonnenen betrieblichen Effizienz, da für die PKI-Verwaltung keine dedizierten Teams mehr erforderlich sind, die eine fragmentierte Infrastruktur verwalten.
Grund 4: Vereinfachte, konsolidierte CA-Infrastruktur
PKI-Umgebungen in Unternehmen neigen dazu, sich im Laufe der Zeit immer weiter auszubreiten. Da verschiedene Teams für unterschiedliche Anwendungsfälle Einzellösungen einsetzen, entsteht eine fragmentierte Landschaft aus uneinheitlichen Zertifizierungsstellen, inkonsistenten Richtlinien und steigenden Kosten. Laut Keyfactor müssen große Unternehmen häufig neun oder mehr verschiedene PKI-Infrastrukturen verwalten, von denen jede ihren eigenen Verwaltungsaufwand, ihr eigenes Richtlinien-Framework und ihr eigenes Risikoprofil mit sich bringt.
Die Verwaltung einer PKI in großem Maßstaberfordert eine Konsolidierung. Die Modernisierung der PKI bedeutet, diese unterschiedlichen Tools in einer zentralen Plattform zusammenzuführen, die eine einheitliche Steuerung und Kontrolle gewährleistet, die Gesamtbetriebskosten senkt und einen einheitlichen Überblick über die gesamte Zertifikatslandschaft bietet.
Viele Unternehmen formalisieren diese Konsolidierung durch ein „Crypto Center of Excellence“ (CCoE) – ein funktionsübergreifendes Team, das PKI-Standards festlegt, Entscheidungen zur Bereitstellung koordiniert und sicherstellt, dass die Verfahren zur Zertifikatsverwaltung mit der übergeordneten Sicherheitsrichtlinie im Einklang stehen. Eine moderne PKI-Plattform unterstützt dieses Modell, indem sie die zentralisierte Transparenz und die Durchsetzung von Richtlinien bietet, die ein CCoE für einen effektiven Betrieb benötigt.
Grund 5: Automatisierung und Krypto-Agilität für die Zukunft
Die manuelle Verwaltung von Zertifikaten mithilfe von Tabellenkalkulationen und Kalendererinnerungen ist auf Dauer nicht tragbar. Die Lebenszyklen von Zertifikaten werden immer kürzer, die Anzahl nimmt zu, und die Folgen eines abgelaufenen oder falsch konfigurierten Zertifikats (Dienstausfälle, nicht bestandene Audits, Sicherheitsverletzungen) sind zu gravierend, um sie manuellen Prozessen zu überlassen.
Moderne PKI-Lösungen verbinden die Zertifikatsausstellung mit der Automatisierung des Lebenszyklus: Erfassung, Verlängerung, Bereitstellung und Sperrung über alle Zertifizierungsstellen in der Umgebung hinweg. Die Ebene zur Automatisierung des Zertifikatslebenszyklus bietet Unternehmen eine zentrale Plattform zur Erfassung, Verwaltung und Automatisierung von Zertifikaten, unabhängig von der ausstellenden Zertifizierungsstelle.
Ebenso wichtig ist die „Krypto-Agilität“ – die Fähigkeit, bei sich ändernden Anforderungen Zertifizierungsstellen (CA) hinzuzufügen oder zu wechseln sowie neue kryptografische Standards zu übernehmen, ohne die Infrastruktur neu aufbauen zu müssen. Krypto-Agilität ist kein rein theoretisches Thema. Der Übergang zur postquanten Kryptografie (PQC) ist bereits im Gange, und das NIST ist dabei, seine erste Reihe von postquanten Algorithmen fertigzustellen. Unternehmen, die ihre PKI heute modernisieren, schaffen sich damit die Flexibilität, auf quantenresistente Algorithmen umzusteigen, sobald die Standards ausgereift sind, anstatt später eine kostspielige und unter Zeitdruck stehende Umstellung vornehmen zu müssen.
Wie Keyfactor helfen Keyfactor
Keyfactor ein weltweit führender Anbieter im Bereich digitales Vertrauen und quantensichere Sicherheit und bietet eine einheitliche Plattform für PKI und die Automatisierung des Zertifikatslebenszyklus. Ganz gleich, ob Unternehmen PKI in der Cloud, vor Ort oder als Hybridarchitektur bereitstellen möchten, EJBCA bietet die Flexibilität, Skalierbarkeit und Protokollunterstützung, die für eine unterbrechungsfreie Modernisierung erforderlich sind.
In Kombination mit Keyfactor Command für das Zertifikatslebenszyklusmanagement erhalten Unternehmen eine zentrale Plattform zur Ausstellung, Verwaltung und Automatisierung von Zertifikaten in ihrer gesamten Umgebung. Die Lösungen Keyfactorgenießen das Vertrauen von Unternehmen weltweit und entsprechen Branchenstandards wie ISO 27001, ISO 9001, Common Criteria und SOC 2 Typ II.
Die wichtigsten Erkenntnisse
- Veraltete PKI-Systeme sind ein Risiko.
Systeme, die ursprünglich für eine Handvoll interner Anwendungsfälle konzipiert wurden, sind nicht in der Lage, das heutige Zertifikatsaufkommen, die Cloud-Workloads und das Tempo von DevOps zu bewältigen. - Eine flexible Bereitstellung ist unverzichtbar.
Eine moderne PKI muss ohne architektonische Einschränkungen in Cloud-, On-Premises- und Hybridumgebungen funktionieren. - Moderne Anwendungsfälle erfordern moderne Protokolle.
IoT, DevOps und Cloud-native Anwendungen erfordern eine API-first-PKI mit Unterstützung für ACME, EST, SCEP und CMP. - Skalierbarkeit senkt Kosten und Komplexität.
Die Konsolidierung einer fragmentierten CA-Infrastruktur auf einer modernen Plattform führt zu messbaren Einsparungen (bis zu 95 % Reduzierung der PKI-Infrastrukturkosten). - Automatisierung und Krypto-Agilität machen Sie fit für die Zukunft.
Die Automatisierung des Zertifikatslebenszyklus beseitigt manuelle Risiken, während Krypto-Agilität Unternehmen auf den Übergang zur postquantenkryptografischen Kryptografie vorbereitet.
Die Modernisierung der PKI ist nicht nur eine technologische Aufrüstung. Sie ist eine strategische Investition in digitales Vertrauen, betriebliche Effizienz und langfristige Widerstandsfähigkeit. Die Unternehmen, die heute modernisieren, werden am besten auf alles vorbereitet sein, was die Zukunft bringt.
Haben Sie Fragen zur PKI-Modernisierung? Wir haben die Antworten.
F: Was versteht man unter PKI-Modernisierung?
Unter PKI-Modernisierung versteht man den Prozess, bei dem veraltete Public-Key-Infrastrukturen ersetzt oder aktualisiert werden, um den aktuellen Anforderungen an Skalierbarkeit, Automatisierung, Cloud-Fähigkeit und Krypto-Agilität gerecht zu werden. In der Regel umfasst dies die Migration von veralteten CA-Lösungen wie Microsoft AD CS auf eine flexible, moderne PKI-Plattform.
F: Warum sollte mein Unternehmen seine PKI modernisieren?
Veraltete PKI-Systeme verfügen nicht über die Skalierbarkeit, Integrationsmöglichkeiten und Automatisierungsfunktionen, die für heutige Cloud-Workloads, IoT und DevOps-Pipelines erforderlich sind. Eine Modernisierung reduziert die Komplexität, senkt die Kosten und stärkt die Sicherheitslage im gesamten Unternehmen.
F: Kann ich meine PKI modernisieren, ohne den laufenden Betrieb zu beeinträchtigen?
Ja. Moderne PKI-Lösungen sind so konzipiert, dass sie parallel zu Altsystemen wie Microsoft CA laufen, sodass Unternehmen schrittweise migrieren können. Sie können neue Anwendungsfälle mit einer modernen Plattform unterstützen und gleichzeitig die bestehenden Arbeitsabläufe während der Umstellung beibehalten.
F: Was ist der Unterschied zwischen einer PKI-Modernisierung und „PKI as a Service“?
Die PKI-Modernisierung ist eine umfassendere Initiative zur Aktualisierung Ihrer PKI-Infrastruktur. „PKI as a Service“ (PKIaaS) ist eine Bereitstellungsoption im Rahmen dieser Initiative, bei der ein vertrauenswürdiger Anbieter Ihre PKI in Ihrem Auftrag verwaltet und betreibt, wodurch sich der interne Aufwand für Wartung und Fachwissen verringert.
F: Inwiefern hängt die Modernisierung der PKI mit der Post-Quanten-Kryptografie zusammen?
Durch die Modernisierung Ihrer PKI gewinnen Sie „Krypto-Agilität“ – also die Fähigkeit, sich schnell an neue kryptografische Standards anzupassen. Dadurch ist Ihr Unternehmen in der Lage, auf Post-Quanten-Algorithmen umzusteigen, sobald diese ausgereift sind, ohne dass Sie Ihre Infrastruktur von Grund auf neu aufbauen müssen.
F: Worauf sollte ich bei einer modernen PKI-Lösung achten?
Zu den wichtigsten Kriterien zählen flexible Bereitstellungsoptionen (Cloud, lokal, hybrid), umfassende Protokollunterstützung (ACME, EST, SCEP, CMP), Skalierbarkeit für große Zertifikatsmengen, Automatisierung des Zertifikatslebenszyklus sowie die Einhaltung von Branchenstandards wie ISO 27001 und SOC 2.
F: Wie lange dauert die Modernisierung einer PKI?
Der Zeitrahmen hängt von der Größe und Komplexität der Organisation ab. Einige Organisationen erzielen bereits innerhalb weniger Wochen erste Ergebnisse, wenn sie SaaS- oder Managed-PKI-Lösungen nutzen. Eine vollständige Modernisierung, einschließlich der Migration von Altsystemen und der Einführung von Automatisierungsmaßnahmen, kann mehrere Monate dauern, lässt sich jedoch schrittweise umsetzen.
F: Wie viel kostet die Modernisierung der PKI?
Die Kosten hängen vom Bereitstellungsmodell und vom Umfang ab. Eine „Total Economic Impact“-Studie von Forrester ergab, dass Keyfactor ihre Kosten für die PKI-Infrastruktur um 95 % senken konnten. SaaS- und Managed-Lösungen ersparen im Vergleich zum internen Betrieb von Altsystemen erhebliche hardware Personalkosten.
