Wenn ein Zertifikat unerwartet abläuft, sind die Auswirkungen sofort spürbar. Anwendungen gehen offline. Kundendienste fallen aus. Die Entwicklerteams bemühen sich verzweifelt, die Ursache des Problems zu ermitteln, und verbringen oft Stunden damit, einen Ausfall auf ein einzelnes abgelaufenes oder falsch konfiguriertes Zertifikat zurückzuführen.
Diese Vorfälle sind keine Ausnahmefälle. Sie sind vorhersehbare Folgen der Art und Weise, wie die meisten Unternehmen Zertifikate heute verwalten: manuell, über fragmentierte Systeme hinweg und ohne zentrale Übersicht. Und sie sind kostspielig.
Eine unabhängige „Total Economic Impact“-Studie von Forrester (die wir in unserem ersten Beitrag dieser Reihe vorgestellt haben: „Die wahren Kosten von PKI: Was die Zertifikatsverwaltung Ihr Unternehmen tatsächlich kostet“) ergab, dass ein fiktives Unternehmen, das auf den für die Studie befragten Organisationen basiert, jährlich zwischen 18 und 22 zertifikatsbezogene Vorfälle verzeichnete, wobei jeder Vorfall durchschnittlich 100.000 US-Dollar an Produktivitätsverlusten, Beeinträchtigungen für Kunden und Umsatzeinbußen verursachte.
Die gute Nachricht: Diese Ausfälle lassen sich vermeiden. In diesem Beitrag werden die Ursachen untersucht, die finanziellen Risiken aufgeschlüsselt und aufgezeigt, wie Unternehmen durch Transparenz und Automatisierung zertifikatsbedingte Ausfallzeiten vermeiden.
Was sind die Ursachen für Ausfälle im Zusammenhang mit Zertifikaten?
Zertifikatsausfälle sind selten auf einen einzelnen Fehler zurückzuführen. Sie sind das Ergebnis sich verstärkender Mängel in den Bereichen Transparenz, Prozesse und Koordination. Drei Muster sind für den Großteil der Vorfälle verantwortlich.
Abgelaufene Zertifikate, von deren Ablauf niemand wusste
Die häufigste Ursache für einen Zertifikatsausfall ist zugleich die einfachste: Ein Zertifikat ist abgelaufen, weil niemand den Überblick darüber behalten hat. Die 18 bis 22 zertifikatsbezogenen Vorfälle pro Jahr sind in erster Linie auf Transparenzlücken in großen, verteilten Zertifikatsbeständen zurückzuführen.
Zu viele Unternehmen verfügen nicht über eine zuverlässige Bestandsaufnahme aller Zertifikate in ihrer Umgebung. Ein Webinar-Teilnehmer beschrieb dies wie folgt: „Die meisten Unternehmen wissen eigentlich gar nicht, wie viele Zertifikate sie haben, sie wissen nicht, wo sich diese befinden, und sie wissen nicht, wer dafür verantwortlich ist.“
Wenn Zertifikate über verschiedene Teams, Server, Cloud-Umgebungen und Anwendungen verstreut sind und keine zentrale Nachverfolgung stattfindet, ist es nur eine Frage der Zeit, bis Probleme aufgrund abgelaufener Zertifikate auftreten – und nicht, ob sie überhaupt auftreten.
Ein führender Sicherheitsverantwortlicher im Einzelhandel erinnerte sich an die Situation vor der Einführung der zentralisierten Verwaltung: „Vor der Einführung von Keyfactor kam es jedes Jahr zu mehreren Ausfällen, die einen hohen Aufwand an Fehlerbehebung und manueller Arbeit erforderten.“
Fehlerhafte Zertifikatsinstallation
Selbst wenn Teams ein bald ablaufendes Zertifikat rechtzeitig erkennen, birgt der Erneuerungsprozess selbst Risiken. Die manuelle Bereitstellung von Zertifikaten ist fehleranfällig, insbesondere in komplexen Umgebungen mit zahlreichen Abhängigkeiten und Bereitstellungszielen.
Ein Telekommunikationsunternehmen beschrieb das Problem sehr anschaulich: „Selbst wenn die Mitarbeiter ihre Zertifikate manuell erneuerten, wurden diese nicht korrekt installiert. Es wurde immer wieder eine Stelle oder eine [Abhängigkeit] übersehen, was zu einem Ausfall führte.“
Installationsfehler waren ein wiederkehrendes Thema in allen von Forrester untersuchten Unternehmen. Das Problem liegt nicht darin, dass es den Teams an Kompetenz mangelt, sondern darin, dass manuelle Bereitstellungen in großem Maßstab zu viele Möglichkeiten für menschliche Fehler bieten.
Schatten-IT und lückenhafte Transparenz
In vielen Organisationen erfolgt die Zertifikatsverwaltung standardmäßig dezentral. Die einzelnen Teams beschaffen und verwalten ihre eigenen Zertifikate mithilfe eigener Tools und Prozesse, ohne dass eine unternehmensweite Koordination stattfindet.
Die Forrester-Studie beschrieb dies ganz direkt: „Einige Teams verwalteten ihre eigenen Tools und Prozesse, was die Transparenz der Zertifikatslandschaft weiter einschränkte und zu einem erhöhten Sicherheitsrisiko beitrug.“
Diese Fragmentierung führt zu blinden Flecken. Zertifikate, die außerhalb einer zentralisierten Verwaltung ausgestellt werden, sind für Sicherheitsteams praktisch unsichtbar. Der Senior Vice President einer Bank erklärte, er sei „ziemlich nervös gewesen, bevor sie einen vollständigen Überblick über ihre Zertifikatsumgebung hatten und wussten, welche Zertifikate dort vorhanden waren, von denen sie nichts wussten“.
„Shadow-Zertifikate“ stellen die risikoreichste Kategorie von zertifikatsbedingten Ausfällen dar, da sie per Definition von niemandem überwacht werden.
Was Zertifikatsausfälle tatsächlich kosten
Ausfälle von Zertifikaten verursachen Kosten, die weit über die Zeit hinausgehen, die für die Wiederherstellung des Dienstes benötigt wird. Das finanzielle Risiko ist erheblich und messbar.
100.000 Dollar pro Vorfall (und das ist der Durchschnittswert)
Die Forrester-Studie bezifferte die durchschnittlichen Kosten eines zertifikatsbezogenen Vorfalls auf 100.000 US-Dollar, wobei Produktivitätsverluste bei den Mitarbeitern, Störungen im Kundenservice und Umsatzeinbußen berücksichtigt wurden. Für Unternehmen, bei denen solche Vorfälle oft zu Dutzenden pro Jahr auftreten, ist das kumulierte Risiko erheblich.
Über einen Zeitraum von drei Jahren belief sich der risikobereinigte Barwert der durch Vorfälle verursachten Kosten für die Gesamtorganisation auf 3,6 Millionen Dollar. Dabei handelt es sich um Durchschnittswerte. Für Organisationen in Branchen, in denen Ausfallzeiten behördliche oder vertragliche Strafen nach sich ziehen, können die Kosten pro Vorfall erheblich höher ausfallen.
Ein Telekommunikationsunternehmen schätzte die Kosten eines einzelnen größeren Ausfalls auf „Hunderttausende pro Stunde oder mehr“.
Ein Unternehmensleiter fasste es so zusammen: „Die Kosteneffizienz von Keyfactor unglaublich hoch. Durch die Verringerung von [Zertifikats-]Ausfällen beläuft sich der Nutzen wahrscheinlich auf mehrere Millionen Dollar pro Jahr.“
Wie Unternehmen die Zahl der Vorfälle um 95 % reduzieren
Das auffälligste Ergebnis der Forrester-Studie ist nicht das Ausmaß des Problems, sondern die Geschwindigkeit, mit der die Unternehmen es gelöst haben. Nach der Einführung Keyfactor konnte das fiktive Unternehmen die Anzahl der zertifikatsbezogenen Vorfälle im ersten Jahr um 85 %, im zweiten Jahr um 90 % und im dritten Jahr um 95 % reduzieren.
Ein führender Sicherheitsverantwortlicher im Einzelhandel berichtete: „Im vergangenen Jahr bzw. in den letzten fünf Jahren hatten wir nur einen Fall [eines abgelaufenen Zertifikats] mit minimaler Ausfallzeit.“
Diese Einsparungen ergeben sich aus der direkten Bekämpfung der Ursachen. Durch eine zentralisierte Erfassung werden Sichtbarkeitslücken beseitigt, die dazu führen, dass Zertifikate unbemerkt ablaufen. Automatisierte Verlängerungen verhindern menschliche Fehler im Verlängerungsprozess. Die automatisierte Bereitstellung stellt sicher, dass Zertifikate korrekt und vollständig installiert werden. Erfahren Sie mehr über den Weg zur Bereitstellung und Automatisierung in Beitrag 4: PKI-Modernisierung in Monaten statt Jahren: Ein praktischer Leitfaden für die schnelle Bereitstellung
Wenn jedes Zertifikat sichtbar ist, jede Verlängerung automatisiert erfolgt und jede Bereitstellung überprüft wird, treten die Ursachen für Ausfälle einfach nicht mehr auf.
Das Sicherheitsrisiko, das man nicht sieht
Ausfälle von Zertifikaten führen zu Betriebsunterbrechungen. Zertifikate bergen jedoch auch Sicherheitslücken, die schwerer zu erkennen sind und potenziell größeren Schaden anrichten können.
Zertifikate als Angriffsvektoren
Die Forrester-Studie ergab, dass etwa 5 % der Sicherheitsvorfälle im Zusammenhang mit externen oder internen Angriffen auf Schwachstellen bei Zertifikaten zurückzuführen sind. Für die untersuchten Unternehmen bedeutete dies kumulierte Kosten in Höhe von 5,086 Millionen US-Dollar bei einer Eintrittswahrscheinlichkeit von 68 %.
Auf Jahresbasis beläuft sich das adressierbare Sicherheitsrisiko im Zusammenhang mit Zertifikaten auf etwa 96.800 US-Dollar. Nach der Einführung Keyfactor konnten Unternehmen dieses Risiko um 50 % senken, was zu einem risikobereinigten jährlichen Nutzen von etwa 41.000 US-Dollar und einem Barwert über drei Jahre von 102.000 US-Dollar führte.
Diese Zahlen stellen eher eine konservative Untergrenze als eine Obergrenze dar. Die Methodik von Forrester sieht eine risikobasierte Abwärtskorrektur vor, um Schwankungen Rechnung zu tragen. Für Unternehmen in regulierten Branchen oder solche, die sensible Kundendaten verwalten, dürfte der tatsächliche Sicherheitsnutzen einer zentralisierten Zertifikatsverwaltung deutlich höher ausfallen.
Vorteile in Bezug auf Compliance und Revision
Eine zentralisierte Zertifikatsübersicht verhindert nicht nur Ausfälle und verringert die Angriffsfläche. Sie verändert auch die Abläufe bei der Compliance und bei Audits grundlegend.
Wenn alle Zertifikate über eine einzige Plattform erfasst, nachverfolgt und verwaltet werden, können Auditoren den Zertifikatsstatus in einem Bruchteil der Zeit überprüfen. Die Forrester-Studie ergab, dass die Auditprozesse nach Keyfactor um 30 % effizienter wurden.
Dies gewinnt angesichts immer strengerer regulatorischer Rahmenbedingungen zunehmend an Bedeutung. PCI DSS 4.0, DORA und das EU-Gesetz zur Cyber-Resilienz stellen allesamt Anforderungen an das Management kryptografischer Assets und die Zertifikatsverwaltung. Unternehmen, denen eine zentralisierte Übersicht fehlt, sehen sich mit einem wachsenden Prüfungsaufwand und erhöhten Compliance-Risiken konfrontiert.
Ein Senior Vice President aus dem Bankensektor beschrieb den übergeordneten strategischen Nutzen: Die von Keyfactor Transparenz versetzt das Unternehmen in die Lage, sich auf die Post-Quanten-Ära vorzubereiten, da es so bereits vor Beginn der Umstellung auf quantensichere Algorithmen einen klaren Überblick über alle kryptografischen Ressourcen erhält.
Ein führender Experte für Sicherheit im Einzelhandel hob den operativen Aspekt hervor: ein zentralisiertes Dashboard, das einen länderübergreifenden Überblick über Zertifikate bietet und so eine einheitliche Steuerung auf globaler Ebene ermöglicht.
Wie Keyfactor helfen Keyfactor
Die Plattform Keyfactorgeht auf jede der in diesem Beitrag beschriebenen Ursachen ein:
- Alle Zertifikate ermitteln und erfassen.
Keyfactor Command bietet eine zentrale Übersicht über alle Zertifizierungsstellen, Cloud-Umgebungen und Netzwerkendpunkte. Keine versteckten Zertifikate mehr, keine blinden Flecken mehr. - Automatisieren Sie die Verlängerung, um ein Ablaufen zu verhindern.
Durch die automatisierte Verwaltung des Zertifikatslebenszyklus wird die häufigste Ursache für Ausfälle beseitigt: Zertifikate, die ablaufen, weil niemand den Überblick darüber behalten hat. - Automatisieren Sie die Bereitstellung, um Installationsfehler zu vermeiden.
Durch automatisierte Bereitstellung und Implementierung entfallen manuelle Schritte, wodurch Konfigurationsfehler vermieden werden, die selbst nach einer erfolgreichen Verlängerung zu Ausfällen führen können. Erfahren Sie mehr über die Automatisierung in großem Maßstab in Beitrag 3: Automatisierung des Zertifikatslebenszyklus: So verwalten Sie Zertifikate im Unternehmensmaßstab - Verbessern Sie Ihre Sicherheitslage und Ihre Audit-Bereitschaft.
Eine zentralisierte Governance stärkt die kryptografische Sicherheit, verringert die Angriffsfläche und macht die Überprüfung der Compliance deutlich effizienter.
Laden Sie die vollständige „Total Economic Impact“-Studie von Forrester herunter, um die gesamte Methodik und die detaillierten Erkenntnisse hinter diesen Ergebnissen einzusehen.
Haben Sie Fragen? Wir haben die Antworten.
Wie hoch sind die durchschnittlichen Kosten eines zertifikatsbedingten Ausfalls?
Eine unabhängige Studie von Forrester ergab, dass die durchschnittlichen Kosten eines Vorfalls im Zusammenhang mit Zertifikaten bei 100.000 US-Dollar liegen, wobei Produktivitätsverluste bei den Mitarbeitern, Beeinträchtigungen für die Kunden und Auswirkungen auf den Umsatz berücksichtigt wurden. In Branchen, in denen vertragliche oder behördliche Strafen drohen, können die Kosten pro Vorfall deutlich höher ausfallen.
Wie viele zertifikatsbedingte Ausfälle verzeichnen Unternehmen pro Jahr?
Die Forrester-Studie dokumentierte für eine Organisation, die den befragten Unternehmen nachempfunden war, 18 bis 22 Zertifikatsvorfälle pro Jahr. Diese Vorfälle wurden in erster Linie durch abgelaufene Zertifikate, Installationsfehler und eine lückenhafte Übersicht über den gesamten Zertifikatsbestand verursacht.
Was sind die Hauptursachen für Zertifikatsausfälle?
Drei Hauptursachen sind für den Großteil der Vorfälle verantwortlich: Zertifikate, die ablaufen, weil niemand den Überblick darüber hatte, fehlerhafte Installation bei der manuellen Erneuerung sowie Schattenzertifikate, die außerhalb der zentralisierten Verwaltung verwaltet werden. Bei allen drei handelt es sich um Probleme hinsichtlich der Transparenz und der Prozesse, nicht um technologische Fehler.
Wie schnell können Unternehmen Ausfälle von Zertifikaten beheben?
Unternehmen, die Keyfactor einsetzten, Keyfactor die Anzahl der zertifikatsbezogenen Vorfälle im ersten Jahr um 85 %, im zweiten Jahr um 90 % und im dritten Jahr um 95 % Keyfactor . Diese Verbesserung ist auf die automatisierte Erkennung, Erneuerung und Bereitstellung zurückzuführen, wodurch die Ursachen für Ausfälle beseitigt werden.
Inwiefern stellen Sicherheitslücken bei Zertifikaten ein Sicherheitsrisiko dar?
Etwa 5 % aller Sicherheitsvorfälle im Zusammenhang mit externen oder internen Angriffen stehen im Zusammenhang mit Schwachstellen bei Zertifikaten. Abgelaufene, falsch konfigurierte oder nicht nachverfolgte Zertifikate können Angreifern Einfallstore bieten. Eine zentralisierte Zertifikatsverwaltung verringert dieses Risiko, indem sie sicherstellt, dass jedes Zertifikat sichtbar, aktuell und ordnungsgemäß verwaltet ist.
In welchen Compliance-Rahmenwerken ist eine Zertifikatsverwaltung vorgeschrieben?
PCI DSS 4.0, DORA und das EU-Gesetz zur Cyber-Resilienz enthalten allesamt Anforderungen hinsichtlich der Verwaltung kryptografischer Assets und der Zertifikatsverwaltung. Eine zentralisierte Übersicht über Zertifikate und die Automatisierung des Lebenszyklus helfen Unternehmen dabei, diese Anforderungen zu erfüllen und gleichzeitig den Prüfungsaufwand um etwa 30 % zu reduzieren.
Wie Keyfactor Ausfälle bei Zertifikaten?
Keyfactor Command erfasst und inventarisiert jedes Zertifikat über alle Zertifizierungsstellen, Cloud-Umgebungen und Endgeräte hinweg. Das automatisierte Lebenszyklusmanagement übernimmt die Verlängerung und Bereitstellung und macht damit manuelle Prozesse überflüssig, die für den Großteil der Ausfälle verantwortlich sind. Unternehmen erhalten so eine zentrale Informationsquelle für ihren gesamten Zertifikatsbestand.
Wie hoch ist der ROI der Vermeidung von Zertifikatsausfällen?
Allein der Nutzen durch die Verringerung der Vorfälle beläuft sich über einen Zeitraum von drei Jahren auf einen risikobereinigten Barwert von 3,6 Millionen Dollar. Zusammen mit den Verbesserungen der Sicherheitslage (Barwert: 102.000 Dollar) und den in unserer Kostenanalyse erfassten allgemeinen betrieblichen Einsparungen erreicht der Gesamt-ROI der PKI-Modernisierung 356 %.
