Führungskräfte, die ihr Unternehmen von oben nach unten betrachten, vernachlässigen möglicherweise den Blick von unten nach oben, insbesondere in Bezug auf die Sicherheit und die technischen Details, die mit der Aufrechterhaltung digitaler Prozesse verbunden sind, die das Unternehmen am Laufen halten.
Die Public-Key-Infrastruktur (PKI) und die Verwaltung digitaler Zertifikate sind die besten Beispiele dafür. Wenn die Sicherheit ein Nebenprodukt des Unternehmens ist, ist die PKI ein Nebenprodukt der Sicherheit. Sie ist ein entscheidender Mechanismus eines notwendigen Apparats, der verhindert, dass etwas Schlimmes passiert, damit das Unternehmen seinen primären Zweck und seine Ziele verfolgen kann.
Aus diesem Grund wird PKI oft vernachlässigt. Obwohl sie für die Aufgabe des Unternehmens kaum von zentraler Bedeutung ist, verschlingt eine unzureichend ausgestattete und schlecht verwaltete PKI mehr Ressourcen, als Unternehmen und Führungskräften wahrscheinlich bewusst ist.
Kurz gefasst, PKI und digitale Zertifikate sichern Interaktionen zwischen digitalen Systemen und verschlüsseln Daten. Stellen Sie sich diese Zertifikate wie Reisepässe vor: Identitätsnachweise, die von einer vertrauenswürdigen Stelle ausgestellt werden. Wie Reisepässe laufen auch diese Zertifikate nach einer bestimmten Zeit ab und müssen neu ausgestellt werden.
Die Verwaltung dieser Zertifikate ist schwieriger als es klingt.
- Die durchschnittliche Organisation unterhält über eine Viertelmillion Zertifikate zu einem bestimmten Zeitpunkt.
- Das Verfolgen, Verwalten und Ausstellen neuer Zertifikate ist sehr manuell und technisch.
- Ein einziges abgelaufenes Zertifikat genügt, um einen Dienst ausfallen zu lassen.
Warum also von allen Problemen, die es im Unternehmen zu lösen gibt, ausgerechnet dieses?
Denn schlecht verwaltete Zertifikate und PKI kosten das Unternehmen Millionen von Dollar und noch mehr durch nachgelagerte Ineffizienzen.
Die Kosten eines Stromausfalls
In Keyfactor2023 State of Machine Identity Reportgaben 77 % der Befragten an, dass ihr Unternehmen in den letzten 12 Monaten mindestens zwei erhebliche zertifikatsbezogene Ausfälle erlebt hat. Mehr als die Hälfte der Befragten gab an, dass diese Ausfälle zu schwerwiegenden Unterbrechungen bei kundenorientierten Diensten, internen Benutzern und Teilgruppen von Kunden führten.
Diese Störungen sind nicht trivial. Die Kosten für entgangene Geschäfte und Rufschädigung sind erheblich. Ungeplante Ausfallzeiten, verursacht durch abgelaufene Zertifikate können Unternehmen mehr als 300.000 Dollar pro Stunde kosten. Laut dem State of Machine Identity Report benötigt ein durchschnittliches Unternehmen 3,79 Stunden, um einen zertifikatsbedingten Ausfall zu erkennen, zu beheben und wiederherzustellen, was Kosten in Höhe von 1,1 Millionen US-Dollar bedeutet.
Die Arbeitskosten für die manuelle Verwaltung der PKI
Nur sehr wenige Unternehmen haben ein eigenes PKI-Team. Häufiger liegt die Verantwortung für die Verwaltung von Zertifikaten und PKI bei den IT- und/oder Sicherheitsteams. Wenn Sie sich die Menge der Zertifikate in der Umgebung Ihres Unternehmens vor Augen halten - durchschnittlich 256.000 -, wird das Risiko der Verwaltung über Tabellenkalkulationen oder ältere, selbst entwickelte Tools offensichtlich.
Diese Teams sind oft schon überlastet. Ineffiziente PKI-Prozesse machen ihre Arbeit nur noch schwieriger. Sie verschlimmern das Burnout, was zu Fluktuationskosten führt, und sie lenken diese Teams von ihren eigentlichen Aufgaben ab. Das bedeutet, dass die Ressourcen für IT- und Sicherheitsteams teurer werden und die Wahrscheinlichkeit von Fehlern in diesen Funktionen steigt.
Tatsächlich gaben 53 % der Befragten im State of Machine Identity Report an, dass sie nicht genug Personal für die Bereitstellung und Wartung ihrer PKI haben. Da das Volumen der Maschinenidentitäten durch die Verlagerung in die Cloud, Akquisitionen, die Einführung von IoT und die Digitalisierung von Geschäftsprozessen weiter ansteigt, wird die Aufgabe der Verwaltung der PKI im großen Maßstab nur noch aufwändiger werden.
PKI is an intensely technical niche. IT and security teams rarely boast PKI-specific expertise. Therefore, they may not have the wherewithal to improve these processes and architect PKI more efficiently. They may not even know what to look for in searching for a PKI solution.
Redundante Infrastruktur und Anbieterkosten
Nur weil ein Team irgendwo im Unternehmen die PKI verwaltet, heißt das noch lange nicht, dass es dabei eine übergreifende Strategie verfolgt. Häufig gibt es keine zentrale Verantwortung für PKI und Zertifikatsmanagement. In diesem Fall suchen sich die Teams, die Zertifikate verwenden (wie DevOps-Teams), ihre eigenen Anbieter und nehmen ihre eigenen Lösungen an.
Das Problem ist, dass sie dies oft ohne Rücksicht auf die Sicherheit tun und die Zertifikate, die sie erstellen und ausstellen, nicht dokumentieren. Unverfolgte Zertifikate lauern in der Infrastruktur und warten wie eine Zeitbombe darauf, abzulaufen und einen Ausfall zu verursachen.
Wenn isolierte Teams nach eigenen PKI-Lösungen suchen, kommt es zu Redundanz und Wildwuchs, was unnötige Kosten und Komplexität verursacht.
PKI als Service
Einige Organisationen finden es machbar, eine unternehmensweite PKI-Architektur, -Richtlinien und -Werkzeuge zu erstellen und zu implementieren, die die Kosten der PKI verringern.
Haben Sie die Zeit, das zu tun? Ist die interne Verwaltung Ihrer PKI wirklich die Art, wie Sie Ihr Budget ausgeben wollen?
Viele Unternehmen finden es effizienter und effektiver, PKI vollständig aus den Händen ihrer internen Teams zu nehmen, indem sie Partner, die PKI als Service anbieten.
Verabschieden Sie sich von Ausfällen.
Diese Anbieter und ihre Tools erkennen und verfolgen proaktiv alle Zertifikate in der Umgebung und fassen sie in einer universellen Verwaltungszentrale zusammen.
Nutzen Sie das umfassende PKI-Wissen.
PKI-Partner verfügen über die Fähigkeiten und Kenntnisse, die IT- und Sicherheitsteams fehlen. Sie können Effizienzgewinne erzielen und Best Practices implementieren, die die PKI vereinfachen, skalieren und den Overhead minimieren. In der Zwischenzeit können sich Ihre internen Teams mit viel mehr Bandbreite wieder ihrer Arbeit widmen.
Fühlen Sie sich mit den besten Praktiken der Branche vertraut.
Der richtige PKI-Anbieter nutzt Standards wie ISO 27000, PCI-DSS, SOC2 und andere, um Ihre Infrastruktur in der sich schnell verändernden Bedrohungslandschaft von heute zu schützen. Dies gibt den Sicherheitsteams Vertrauen und der Geschäftsleitung den Nachweis, dass ihre PKI den besten Sicherheitsverfahren der Branche entspricht.
Positionierung des Unternehmens für die Zukunft.
With a streamlined, expertly managed PKI, your organization can pursue new initiatives, prepare for quantum computing, and stay ahead of emerging threats.
For the business to succeed, it must be able to trust its digital infrastructure. As with so many aspects of transformation, outsourcing niche-but-necessary expertise to specialized partners can provide an instant lift to the entire business.
With Keyfactor, organizations get all the advantages of a best-in-class PKI without the effort and expense of running it in-house. Check out our Essential Guide to Evaluating PKI Solutions and learn how to pick the right PKI Solution for your organization.
