In den meisten Unternehmen werden Zertifikate nach wie vor auf die gleiche Weise verwaltet wie schon immer: Team für Team, Tool für Tool, Anfrage für Anfrage. Erfahrene Techniker verbringen ihre Tage damit, CSR-Anfragen zu erstellen, Genehmigungsworkflows zu durchlaufen, Zertifikate auf Servern zu installieren und Fehler bei der Bereitstellung zu beheben. Das funktioniert – bis es nicht mehr funktioniert.
Das Problem ist nicht, dass es diesen Ingenieuren an Kompetenz mangelt. Das Problem ist vielmehr, dass die Arbeit selbst keinen strategischen Nutzen bietet. Aussagen wie „Es bringt uns keinen geschäftlichen Nutzen, wenn sich unsere Ingenieure auf die manuelle Bereitstellung und Verwaltung von Zertifikaten in unserer gesamten Umgebung konzentrieren“ und „Meine besten Mitarbeiter fungierten im Grunde genommen als Systemadministratoren“ zeichnen ein aufschlussreiches Bild der Situation: Die Mitarbeiter verbringen zu viel Zeit mit Routineaufgaben, anstatt sich auf wertschöpfende Tätigkeiten zu konzentrieren.
In diesem Beitrag wird untersucht, woher der manuelle Aufwand stammt, wie viel Zeit er tatsächlich in den einzelnen Phasen des Zertifikatslebenszyklus in Anspruch nimmt und was sich ändert, wenn durch Automatisierung sich wiederholende, fehleranfällige Prozesse durch skalierbare, richtliniengesteuerte Arbeitsabläufe ersetzt werden.
Der Lebenszyklus manueller Zertifikate in Zahlen
Jedes Zertifikat durchläuft einen Lebenszyklus: Bereitstellung, Erneuerung und Einsatz. Jede Phase ist mit einem gewissen manuellen Aufwand verbunden, und wenn man diesen Aufwand auf Tausende von Zertifikaten hochrechnet, ergibt sich ein erheblicher kumulativer Produktivitätsverlust.
Die folgenden Vergleichswerte stammen aus einer unabhängigen „Total Economic Impact“-Studie von Forrester, in der Unternehmen untersucht wurden, die etwa 400.000 Zertifikate verwalten. Die Zahlen geben den Zeitaufwand pro Zertifikat vor und nach der Automatisierung wieder.
Bereitstellung: 90 Minuten pro Zertifikat
Die Bereitstellung ist der Ausgangspunkt jedes Zertifikats – und zugleich der Beginn der Ineffizienz. Ein einzelner manueller Bereitstellungsprozess umfasst die Erstellung einer Zertifikatssignierungsanforderung, die Kommunikation mit einer Zertifizierungsstelle, das Durchlaufen der Genehmigungsstufen und den Abruf des ausgestellten Zertifikats. Im Durchschnitt dauert dieser Vorgang 90 Minuten.
Dank der Automatisierung dauert derselbe Vorgang 2 Minuten.
Für ein Unternehmen, das jährlich Tausende von Zertifikaten bereitstellt, sind die Auswirkungen auf die Produktivität enorm. Über einen Zeitraum von drei Jahren werden durch die Automatisierung allein bei der Bereitstellung mehr als 12.000 Ingenieursstunden eingespart. Um zu verstehen, wie hoch die Kosten für die manuelle Bereitstellung in Dollar sind, lesen Sie den ersten Beitrag dieser Reihe.
Ein im Rahmen der Studie befragtes Telekommunikationsunternehmen äußerte sich wie folgt: „Mit Keyfactor sparen wir bei der Bereitstellung privater Zertifikatsdienste exponentiell viele Arbeitsstunden ein. Derzeit verwalten wir doppelt so viele Zertifikate mit nur der Hälfte der Ressourcen.“
Verlängerung: von 25 Minuten auf 1 Minute
Die Verlängerung ist der Vorgang mit dem höchsten Aufkommen im Lebenszyklus von Zertifikaten. Da Zertifikate nach festen Zeitplänen ablaufen und viele Organisationen Zertifikate mit sich überschneidenden Laufzeiten nutzen, müssen jährlich etwa 105 % des aktiven Bestands verlängert werden.
Ja, das entspricht in etwa der Größe der Sammlung aller Zertifikate – und noch ein bisschen mehr.
Manuell dauert jede Verlängerung etwa 25 Minuten: Überprüfung der Ablaufdaten, Neuerstellung von Zertifikaten, erneute Validierung der Konfigurationen und Abstimmung mit den Anwendungsteams. Durch die automatisierte Verlängerung lässt sich dieser Zeitaufwand auf 1 Minute reduzieren.
Die Berechnung der Produktivitätssteigerung ist ganz einfach: Für ein Unternehmen, das 400.000 Zertifikate verwaltet, spart die automatisierte Verlängerung allein im ersten Jahr mehr als 25.200 Ingenieursstunden ein.
„Keyfactor hat es uns definitiv ermöglicht, die Zertifikatsprozesse für interne Kunden zu optimieren.“
Das ist das Ergebnis einer gut durchdachten Automatisierung.
Bereitstellung: der mühsamste Schritt
Bei der Bereitstellung treten die Schwachstellen manueller Prozesse am deutlichsten zutage. Die Installation eines Zertifikats, dessen Zuordnung zu den richtigen Diensten und die Überprüfung, ob alles ordnungsgemäß funktioniert, dauert bei einer neuen Bereitstellung durchschnittlich 70 Minuten und bei einer Erneuerung 15 Minuten.
Durch die Automatisierung verkürzt sich die Dauer neuer Bereitstellungen auf 15 Minuten und die von Erneuerungsbereitstellungen auf 1 Minute. Über einen Zeitraum von drei Jahren werden dadurch mehr als 6.000 Entwicklungsstunden eingespart.
Die Kosten einer manuellen Bereitstellung lassen sich jedoch nicht allein in Stunden bemessen. Fehlerhafte Installationen sind eine der Hauptursachen für Ausfälle im Zusammenhang mit Zertifikaten. Es ist keine Seltenheit, dass Mitarbeiter am Wochenende arbeiten müssen, um fehlgeschlagene Bereitstellungen zu beheben. Ein Telekommunikationsunternehmen berichtete, dass Techniker selbst bei der manuellen Erneuerung von Zertifikaten diese häufig nicht korrekt installierten und dabei eine Abhängigkeit oder einen Konfigurationsschritt übersahen, was einen Ausfall auslöste. Weitere Informationen dazu, wie fehlerhafte Bereitstellungen zu Ausfällen führen, finden Sie im zweiten Beitrag dieser Reihe.
Ein leitender Mitarbeiter eines Bankinstituts beschrieb die Erleichterung, die die Automatisierung mit sich bringt:Keyfactor vielen Anwendungsteams neue Hoffnung gegeben, da sie Zertifikate nun nicht mehr [manuell] verwalten müssen, wie sie es zuvor so lange getan haben.“
Was passiert, wenn man das Unternehmen um das Zehnfache vergrößert, ohne das Team entsprechend zu vergrößern?
Die Einsparungen in den einzelnen Phasen sind beträchtlich. Das wirklich bahnbrechende Ergebnis zeigt sich jedoch erst dann, wenn ein Unternehmen seinen Zertifikatsbestand drastisch ausweitet, ohne das Team, das diesen verwaltet, entsprechend zu vergrößern.
Vom Silo zum Kompetenzzentrum
Vor der Automatisierung sieht die Zertifikatsverwaltung in den meisten großen Unternehmen gleich aus: Jedes Team wickelt seine Prozesse eigenständig ab. Verschiedene Abteilungen nutzen unterschiedliche Tools, unterschiedliche Zertifizierungsstellen und unterschiedliche Arbeitsabläufe. Das Wissen ist in Silos gebunden und die Transparenz ist lückenhaft.
Nach der Konsolidierung auf einer einzigen Plattform berichten Unternehmen durchweg von einer Verlagerung weg von einer dezentralen, ad-hoc-basierten Zertifikatsverwaltung hin zu einem „Center-of-Excellence“-Modell. Ein kleines, spezialisiertes Team verwaltet die Plattform, während der Rest des Unternehmens Zertifikate über standardisierte, automatisierte Workflows nutzt.
Ein führender Sicherheitsverantwortlicher im Einzelhandel erklärte, dass trotz einer Verzehnfachung der Zertifikatsausstellung „… sich mittlerweile weniger als fünf interne Mitarbeiter mit Aufgaben im Zusammenhang mit Zertifikaten befassen, was weniger sind als vor der Einführung von Keyfactor.“
Ein software kam zu ähnlichen Ergebnissen: „Wir haben Zertifikate system- und teamübergreifend verwaltet. Durch die Konsolidierung auf einer einzigen Plattform hat sich der manuelle Aufwand definitiv verringert.“
Selbstbedienung bei der Zertifikatsverwaltung
Die Konsolidierung allein beseitigt den Engpass nicht. Der zweite Schritt besteht darin, Self-Service zu ermöglichen. Anstatt jede Zertifikatsanforderung über ein zentrales Team zu leiten, stellen Anwendungs- und Infrastrukturteams ihre eigenen Zertifikate über eine regulierte, automatisierte Schnittstelle bereit und erneuern sie.
Das Einzelhandelsunternehmen bezeichnete die Selbstbedienung als eine zentrale operative Verbesserung. Das software ging noch einen Schritt weiter und beschrieb eine „definierte Pipeline“, in der Zertifikatsvorgänge direkt in die Entwicklungsabläufe eingebettet sind.
Verlängerungen mit einem Klick, die automatisierte Durchsetzung von Richtlinien und integrierte Genehmigungsworkflows ersetzen den E-Mail- und Ticket-Austausch, der früher den Zertifikatsbetrieb geprägt hat.
Ingenieure wieder in strategischen Funktionen tätig
Die kumulative Wirkung von Automatisierung und Selbstbedienung beschränkt sich nicht nur auf Effizienz. Es handelt sich um einen Wandel in der Arbeitswelt.
Ingenieure, die zuvor ihre Zeit mit Zertifizierungsaufgaben verbracht haben, können sich nun auf die Sicherheitsarchitektur, Compliance-Programme und die Geschäftsintegration konzentrieren. Der Schwerpunkt ihrer Arbeit verlagert sich von reaktiver Wartung hin zu proaktiver Strategie.
Der im Rahmen der Studie befragte Senior Vice President aus dem Bankensektor beschrieb dieses Ergebnis wie folgt: „Nun konzentrieren sich diese Ingenieure auf Sicherheit und Compliance und arbeiten gemeinsam mit unseren Geschäftspartnern daran, den Zertifikatslebenszyklus wirklich zu automatisieren.“
Ein Einzelhandelsunternehmen äußerte sich ähnlich zu dem Ergebnis: „Jetzt verbringen [die internen Zertifikatsingenieure] nicht mehr den ganzen Tag mit einfachen betrieblichen Aufgaben. Sie können anspruchsvollere, wachstumsorientierte Aufgaben übernehmen, die für mehr Arbeitszufriedenheit sorgen.“
Vorbereitung auf die unvermeidliche Automatisierung
Automatisierung ist keine Optimierung, auf die man gerne verzichten könnte. Sie entwickelt sich zu einer strukturellen Notwendigkeit. Zwei sich verstärkende Faktoren machen die manuelle Zertifikatsverwaltung in jedem Umfang unhaltbar.
TLS mit einer Gültigkeitsdauer von 47 Tagen erhöhen den manuellen Aufwand
Das CA/Browser Forum hat eine schrittweise Verkürzung der Gültigkeitsdauer TLS beschlossen, die bis 2029 auf 47 Tage sinken soll. Für Unternehmen, die ihre Zertifikate noch manuell verwalten, bedeutet diese Änderung einen etwa achtfachen Anstieg des Arbeitsaufwands für die Erneuerung und Bereitstellung, ohne dass dafür zusätzliches Personal oder Budget zur Verfügung steht.
Die Mathematik kennt keine Gnade, und dieser Faktor 8 wird auf der anderen Seite der Gleichung wieder auftauchen. Das heißt, jede in diesem Beitrag dokumentierte manuelle Minute wird mit der erhöhten Verlängerungshäufigkeit multipliziert, die das Achtfache der bisherigen Verlängerungshäufigkeit beträgt. Unternehmen, die noch nicht automatisiert haben, werden mit einer Kapazitätskrise konfrontiert sein.
Im Hinblick auf diese Veränderung äußerte sich ein führender Sicherheitsverantwortlicher im Einzelhandel wie folgt: „Die gesamte durch Keyfactor ermöglichte Automatisierung Keyfactor uns dabei helfen, die Transparenz und Automatisierung zu erreichen, die wir benötigen, um diesen Veränderungen in der Branche gerecht zu werden.“
Ein software stellte einen Zusammenhang zwischen der Automatisierung der Zertifikatsverwaltung und einer umfassenderen kryptografischen Bereitschaft her und wies darauf hin, dass dieselben Plattformfunktionen, die für kurzlebige Zertifikate genutzt werden, das Unternehmen auch für den Übergang zu postquanten-sicheren Zertifikaten rüsten.
Das Zertifikatsvolumen steigt rasant an
Unabhängig von Änderungen der Lebensdauer steigt die Anzahl der von Unternehmen verwalteten Zertifikate jährlich um 8 % bis 12 %. Zu einer modernen Infrastruktur gehören mittlerweile Workloads, Microservices, KI-Agenten, IoT , temporäre Cloud-Infrastrukturen und vieles mehr – allesamt erfordern sie Maschinenidentitäten. Jede neue Identität bedeutet ein weiteres Zertifikat, das verwaltet, d. h. bereitgestellt, erneuert, bereitgestellt und nachverfolgt werden muss.
Ein Einzelhandelsunternehmen hat diesen Synergieeffekt in folgender Aussage auf den Punkt gebracht: „Der beste Beweis für den Nutzen, den wir aus Keyfactor gezogen haben, Keyfactor die Möglichkeit, die Zertifikatsnutzung heute mit derselben Anzahl an Ressourcen wie vor fünf Jahren um das Zehnfache zu steigern.“
Ohne Automatisierung bedeutet eine Steigerung des Zertifikatsvolumens eine Aufstockung des Personalbestands. Mit Automatisierung bedeutet dies hingegen eine Skalierung der Plattform. Einen praktischen Leitfaden zur Einführung der Zertifikatsautomatisierung innerhalb von Monaten statt Jahren finden Sie im nächsten Beitrag dieser Reihe.
Wie Keyfactor helfen Keyfactor
Die Plattform Keyfactorzur Automatisierung des Zertifikatslebenszyklus wurde speziell für die in diesem Beitrag beschriebenen Herausforderungen entwickelt.
- Automatisieren Sie die Bereitstellung in großem Maßstab.
Reduzieren Sie die Bereitstellungszeit von 90 Minuten auf 2 Minuten pro Zertifikat. Ermöglichen Sie die Selbstausstellung, damit Anwendungsteams Zertifikate ohne Umweg über ein zentrales Team bereitstellen können, während die Sicherheitsabteilung weiterhin die Kontrolle über die Richtlinien behält. - Verlängerungen mit einem Klick und ohne manuellen Aufwand.
Eliminieren Sie den aufwendigsten manuellen Arbeitsschritt im Zertifikatslebenszyklus. Automatisierte Verlängerungsworkflows übernehmen die Neuerstellung, Validierung und Verteilung von Zertifikaten ohne menschliches Eingreifen. - Durchgängige Automatisierung der Bereitstellung.
Automatisieren Sie die Installation, Zuordnung und Validierung von Zertifikaten auf Servern, in Anwendungen und in Cloud-Umgebungen. Reduzieren Sie Bereitstellungsfehler, die zu Ausfällen und Reparaturarbeiten am Wochenende führen. - Alles auf einer Plattform bündeln.
Verwalten Sie Zertifikate von beliebigen Zertifizierungsstellen und in beliebigen Umgebungen über eine einzige Steuerungsebene. Verzehnfachen Sie das Zertifikatsvolumen, ohne Ihr Team entsprechend vergrößern zu müssen.
Möchten Sie die vollständigen Daten einsehen?Laden Sie die Forrester-Studie „Total Economic Impact“ herunter, um die vollständige ROI-Analyse hinter diesen Ergebnissen zu erkunden.
Haben Sie Fragen zu CLA? Wir haben die Antworten.
Was ist die Automatisierung des Zertifikatslebenszyklus (CLA)?
Die Automatisierung des Zertifikatslebenszyklus bezeichnet den Einsatz von software Verwaltung aller Phasen der Lebensdauer eines digitalen Zertifikats – von der Bereitstellung über die Verlängerung bis hin zur Bereitstellung und Sperrung – ohne manuelle Eingriffe. Sie ersetzt die Nachverfolgung in Tabellenkalkulationen, die manuelle Erstellung von CSR-Anfragen und die Ad-hoc-Bereitstellung durch richtliniengesteuerte Arbeitsabläufe, die sich an Ihre Umgebung anpassen lassen.
Wie viel Zeit nimmt die manuelle Zertifikatsverwaltung tatsächlich in Anspruch?
Laut einer Studie von Forrester dauert die manuelle Bereitstellung eines einzelnen Zertifikats etwa 90 Minuten, die Verlängerung 25 Minuten und die Bereitstellung bei Neuinstallationen 70 Minuten. Für ein Unternehmen, das Hunderttausende von Zertifikaten verwaltet, summieren sich diese Minuten zu Zehntausenden von Ingenieursstunden pro Jahr.
Um wie viel verkürzt die Automatisierung diese Zeit?
Die automatisierte Bereitstellung dauert etwa 2 Minuten, die Verlängerung 1 Minute und eine neue Bereitstellung 15 Minuten. Bei Verlängerungen verkürzt sich die Dauer auf 1 Minute. Die Nettozeitersparnis beträgt über den gesamten Lebenszyklus des Zertifikats hinweg 95 % oder mehr.
Wie wirken sich kürzere Gültigkeitsdauern TLS auf die manuelle Verwaltung aus?
Das CA/Browser Forum führt schrittweise kürzere Gültigkeitsdauern TLS ein, die bis 2029 47 Tage betragen werden. Diese etwa achtfache Erhöhung der Erneuerungshäufigkeit bedeutet, dass Unternehmen, die ihre Zertifikate noch manuell verwalten, mit einem proportionalen Anstieg des Arbeitsaufwands konfrontiert sein werden, ohne dass die Teamgröße entsprechend aufgestockt wird.
Kann die Automatisierung mit Zertifikaten verschiedener Zertifizierungsstellen funktionieren?
Ja. Moderne Plattformen zur Automatisierung des Zertifikatslebenszyklus sind CA-unabhängig, das heißt, sie können Zertifikate unabhängig davon, von welcher Zertifizierungsstelle sie ausgestellt wurden, erkennen, verwalten und automatisieren. Dies ist für Unternehmen von entscheidender Bedeutung, die mehrere Zertifizierungsstellen in verschiedenen Umgebungen und Anwendungsfällen einsetzen.
Was ist ein Kompetenzzentrum für Zertifikatsmanagement?
Ein „Center of Excellence“ ist ein Betriebsmodell, bei dem ein kleines, spezialisiertes Team die Plattform zur Zertifikatsautomatisierung und die entsprechenden Richtlinien verwaltet, während der Rest des Unternehmens Zertifikate über Self-Service-Workflows bezieht. Dies ersetzt den fragmentierten, teambezogenen Ansatz, der zu Silos und Transparenzlücken führt.
Wie schnell kann ein Unternehmen die Automatisierung der Zertifikatsverwaltung einführen?
Die Zeitpläne für die Einführung variieren je nach Komplexität der Umgebung, doch die Unternehmen in der Forrester-Studie erzielten bereits innerhalb von sechs Monaten nach der Einführung einen messbaren ROI. Der nächste Beitrag dieser Reihe befasst sich mit praktischen Ansätzen zur Einführung der Zertifikatsautomatisierung im Unternehmensmaßstab.
Wie hoch ist der ROI der Automatisierung des Zertifikatslebenszyklus?
Die „Total Economic Impact“-Studie von Forrester ergab einen risikobereinigten ROI von 356 % über einen Zeitraum von drei Jahren bei einer Amortisationszeit von weniger als sechs Monaten. Zu den Vorteilen zählten Personalkosteneinsparungen in Höhe von 7,5 Millionen US-Dollar, vermiedene Ausfallkosten in Höhe von 3,6 Millionen US-Dollar sowie Einsparungen durch die Konsolidierung der Infrastruktur in Höhe von 1,4 Millionen US-Dollar.
