Hier ist der Grund, warum die meisten Organisationen PKI wieder aufbauen würden, wenn sie könnten

Wenn Sie damals gewusst hätten, was Sie heute wissen, hätten Sie dann die PKI Ihrer Organisation anders aufgebaut?

Sie sind nicht allein. 

In Keyfactordem PKI & Digital Trust Report 2024gaben erstaunliche 98 % der Unternehmen an, dass sie ihre Public Key Infrastructure (PKI) ändern würden, wenn sie die Möglichkeit dazu hätten.

Das ist kein Wunder. Denken Sie daran, wie viel sich in den letzten zehn Jahren verändert hat. Automatisierung und Cloud Computing haben sich erheblich weiterentwickelt, und neue Innovationen wie IoT und DevOps-Methoden haben die Anforderungen an die PKI-Infrastruktur erhöht. 

Da niemand die Zukunft vorhersagen kann, werden PKI-Systeme oft ohne eine langfristige Vision für Sicherheit, Skalierbarkeit oder Flexibilität geschaffen. Infolgedessen wird die PKI ad hoc erweitert, wodurch eine komplexe, brüchige Lösung entsteht. Dies führt zu einem Dominoeffekt, der schnell zu einem geschäftskritischen Problem wird. 

Die Befragten gaben unzählige Gründe für die Änderungen an, die sie an ihrer PKI vornehmen würden. Wenn Sie die häufigsten Ziele verstehen, können Sie Ihren eigenen PKI-Modernisierungsprozess und zukünftige PKI-Herausforderungen aufzeigen.

Etwa 48 % der Befragten gaben an, dass die Notwendigkeit, sich an Veränderungen anzupassen - sei es aufgrund von Skalierung, Innovation oder neuen Vorschriften - ein treibender Faktor für ihren Wunsch war, ihre PKI neu zu gestalten.

Der Erfolg oder Misserfolg einer PKI hängt von den Entscheidungen ab, die in der frühesten Phase ihrer Entwicklung getroffen werden. Den meisten Unternehmen fehlt es an den notwendigen Fähigkeiten, um die PKI von Anfang an richtig zu gestalten, oder sie haben nicht die Weitsicht, die Richtung im Laufe der Zeit zu verbessern. Erschwerend kommt hinzu, dass die hohe Fluktuation in der IT-Abteilung dazu führt, dass das institutionelle Wissen über die Besonderheiten der jeweiligen PKI einer Organisation verloren geht.

PKI-Systeme stützen sich beispielsweise auf eine Stammzertifizierungsstelle (Root Certificate Authority, CA), die an der Spitze der Hierarchie des Vertrauens steht. Unterhalb der Stammzertifizierungsstelle befinden sich mehrere Zwischenzertifizierungsstellen (ICAs). Im Idealfall hat jede Zwischen-CA eine bestimmte Funktion. Eine könnte für die Verwendung durch das Sicherheitsteam bestimmt sein, eine andere für das DevOps-Team usw. 

Kleinere Organisationen benötigen vielleicht nur ein paar ICAs, während ein ausgewachsenes Unternehmen durchschnittlich sieben verwendet. Wenn die kleinere Organisation wächst, muss sie ihre Dienste auf mehr spezialisierte ICAs verteilen. Die Planung dieses Prozesses und die Migration von Diensten zu den jeweiligen ICAs erfordert ein hohes Maß an Fachwissen und Planung. 

Andere Herausforderungen bei der Skalierung von PKI

• Zertifikatsvolumen: Gartner schätzt, dass einige Organisationen bis zu einer halben Million Zertifikate zu einem bestimmten Zeitpunkt im Einsatz haben. Das ist eine Menge, über die man den Überblick behalten muss. Mit zunehmender Größe des Unternehmens wird die Verwaltung der Lebenszyklen von Zertifikaten mit selbst entwickelten Lösungen, Tabellenkalkulationen, unvollständigen Anbieterlösungen oder einer Kombination aus diesen nicht mehr praktikabel.
• Fehlende Governance: Wenn niemand im Unternehmen für die PKI-Richtlinien zuständig ist, beschaffen die einzelnen Abteilungen ihre eigenen PKI-Ressourcen und betreiben sie ohne Aufsicht oder gründliche Dokumentation. Dies erschwert den Überblick und die Kontrolle über die gesamte PKI- und Zertifikatslandschaft.

• Herausforderungen bei der Einhaltung von Vorschriften und Bestimmungen: Neue Märkte oder Branchen bringen oft ihre eigenen, immer wieder neu entstehenden Compliance-Anforderungen mit sich. Diese Vorschriften machen Änderungen an der PKI-Architektur erforderlich, um die Einhaltung von Branchenstandards und -vorschriften zu gewährleisten.

Die Zentralisierung der Zertifikatsverwaltung ist ein wichtiger erster Schritt. Die Zusammenführung aller Zertifikate in einem einzigen Verwaltungszentrum legt den Grundstein für die Nachverfolgung, Automatisierung und bessere PKI-Richtlinien. Dank der Transparenz, die durch die proaktive Zertifikatserkennung ermöglicht wird, können Sie die technischen Aspekte der Zertifikatsverwaltung verwalten und die PKI mit den Unternehmenszielen abstimmen. 

Ungefähr 40 % der Unternehmen äußern den starken Wunsch, ihre ihre PKI-Systeme mit Automatisierungsfunktionen auszustatten.

Noch vor wenigen Jahrzehnten war PKI ein Nischenspezialgebiet, das nur einige ausgewählte Aspekte der allgemeinen IT-Funktion betraf. Doch bei der heutigen Nutzung von Zertifikaten ist Automatisierung der Schlüssel zum Auffinden undokumentierter Zertifikate und zur Vermeidung von zertifikatsbedingten Ausfällen für immer. 

Mit dem Umfang und der Komplexität der Zertifikatsnutzung steigen auch die Anforderungen an die Sicherheits-, IT- und Infrastrukturteams, die diese Zertifikate verwalten. Ohne Automatisierung steigen auch die Risiken - die Risiken eines zunehmenden Wartungsaufwands und der Neigung zu menschlichen Fehlern.

Weitere Herausforderungen bei der Automatisierung von Zertifikaten und PKI

• Geringe Sichtbarkeit: Viele Unternehmen haben Schwierigkeiten, ein genaues Inventar von kryptografischen Ressourcen wie Zertifikaten und Zertifizierungsstellen zu erstellen. Ohne ein vollständiges Bild ist es praktisch unmöglich, sinnvolle Automatisierungsfortschritte zu erzielen.
• Tool-Wildwuchs: Dem Bericht zufolge verwenden 38 % der Unternehmen eigene Tools und Tabellenkalkulationen für die Verwaltung von Zertifikaten, während 30 % auf Tools von Zertifikatsanbietern zurückgreifen. Eigene Tools decken selten den gesamten Bedarf ab, während die Tools der Anbieter in der Regel nur für die Zertifikate des jeweiligen Anbieters funktionieren. Dies führt zu redundanten Werkzeugen und erschwert die Umsetzung der Automatisierung.
• Personalmangel: Nur wenige Organisationen haben interne Ressourcen die sich speziell mit PKI befassen. Häufiger wird PKI den IT-, Sicherheits- oder Infrastrukturteams anvertraut, die mit ihren Hauptaufgaben alle Hände voll zu tun haben. Infolgedessen werden sie von der täglichen Arbeit so sehr in Anspruch genommen, dass sie nicht in der Lage sind, einen Schritt zurückzutreten und umfassendere Verbesserungen an ihren eigenen Arbeitsabläufen vorzunehmen.

Wenn die Wartung langsam und manuell erfolgt, sind auch die Reaktionen auf zertifikatsbezogene Probleme meist langsam und manuell. Im Durchschnitt brauchten die Befragten fast sechs Stunden, um eine zertifikatsbezogene Störung zu erkennen und zu beheben, wofür acht Mitarbeiter ihre Arbeit unterbrechen und auf die Störung reagieren mussten. 

Die Automatisierung der PKI-Verwaltung verbessert die betriebliche Effizienz, indem Aufgaben wie die Ausstellung, Erneuerung und der Entzug von Zertifikaten rationalisiert werden. Dies senkt den Aufwand und den Zeitrahmen für die Reaktion auf einen Vorfall und erleichtert die Umsetzung von Änderungen, die zur Einhaltung von Vorschriften erforderlich sind. 

Am wichtigsten ist vielleicht, dass die Teams, die sich mit PKI befassen, mehr Zeit für ihre eigentlichen Aufgaben aufwenden können. 

Etwa 35 % der Unternehmen würden ihre PKI in die Cloud verlagern, wenn sie könnten. Die üblichen Cloud-Vorteile wie bessere Sicherheit, Kosteneffizienz und Skalierbarkeit gelten natürlich auch für PKI.

Diese Art der Umstellung ist jedoch komplex und erfordert erhebliche infrastrukturelle Veränderungen. Für viele mag es praktischer sein, ein System von Grund auf speziell für Cloud-Umgebungen zu entwickeln.

Herausforderungen bei der Migration in die Cloud

• Integration mit Altsystemen: Viele Umgebungen - vor allem im Bereich der Betriebstechnologie - stützen sich auf einige wichtige Teile der alten Infrastruktur, die so gut wie nicht integriert oder modernisiert werden können. Dennoch sind diese Altsysteme zu kostspielig oder störend, um sie zu ersetzen.
• Mangelndes Fachwissen: Techniker mit PKI-Kenntnissen sind schwer zu finden, aber wie viele PKI-Experten kennen sich auch mit der Cloud und Cloud-Migrationen aus? Sehr wenige.
• Schutz Ihrer Daten: Die Datenintegrität ist ein wichtiges Anliegen bei jeder Cloud-Migration. Auf ihrem Weg in die Cloud gehen die Daten durch viele Hände, Plattformen und Pipelines. Auf diesem Weg gibt es viele Möglichkeiten für Fehler und Unstimmigkeiten. Wenn sensible Daten offengelegt werden, ist das ein Vorfall für sich, und es kann kostspielig und kompliziert sein, herauszufinden, wo die Kette des Datenvertrauens unterbrochen wurde.

Die Vorteile einer in der Cloud gehosteten PKI machen die Migration jedoch lohnenswert. Cloud-Anbieter bieten eine weitere Sicherheitsebene und machen das Unternehmen flexibler. 

Die Verlagerung der PKI in die Cloud erfordert die Suche nach dem richtigen Partner - PKI-Experten, die erfolgreich Cloud-Migrationen durchgeführt haben. Diese Partner können Sie durch einen stufenweisen Migrationsansatz führen und schlagen vor, die Infrastruktur zu konsolidieren, Automatisierung zu implementieren und eine vertrauenswürdigere, flexiblere PKI einzuführen. 

Unternehmen und Organisationen verlassen sich zunehmend auf Anbieter, die ihnen helfen, den Kurs zu korrigieren und ihre PKI-Systeme zukunftssicher zu machen. 

Zu diesem Zweck hat sich PKI as a Service (PKIaaS) für viele als praktikable Lösung herauskristallisiert, die das Fachwissen und die Infrastruktur bietet, die für eine effiziente und sichere PKI-Verwaltung erforderlich sind. Durch die Auslagerung der PKI-Verwaltung an erfahrene Anbieter wird sichergestellt, dass die kryptografischen Anforderungen Ihres Unternehmens erfüllt werden, ohne dass der Aufwand für die Wartung und Skalierung eines internen Systems anfällt.

Die Rolle der PKI bei der Schaffung von digitalem Vertrauen und Sicherheit wird nur noch stärker in den Vordergrund treten. Die Organisationen, die dies jetzt erkennen und bei der PKI-Verwaltung proaktiv bleiben, werden am ehesten sicher bleiben.