PKI ist allgegenwärtig. Wissen Sie, was Sie das kostet?
Jedes Unternehmen nutzt PKI. Zertifikate sichern Ihre Websites, authentifizieren Ihre Geräte, schützen Ihre Workloads und ermöglichen Zero-Trust-Sicherheit. Doch obwohl PKI mittlerweile zu einer grundlegenden Infrastruktur geworden ist, haben die meisten Unternehmen noch nie genau geprüft, welche Kosten tatsächlich für den Betrieb anfallen.
Das ist ein Problem, denn die tatsächlichen Kosten einer PKI sind fast immer höher, als man erwartet.
Angesichts veralteter lokaler Infrastruktur, manueller Zertifikatsabläufe und einer Belegschaft, die durch sich wiederholende operative Aufgaben überlastet ist, geben Unternehmen weitaus mehr für PKI aus, als ihnen bewusst ist. Da zudem das Zertifikatsvolumen wächst und die Gültigkeitsdauer TLS immer kürzer wird, steigen diese Kosten zudem immer schneller an.
In diesem Beitrag wird erläutert, woher die PKI-Kosten tatsächlich stammen, was die Daten über den ROI einer Modernisierung aussagen und wie Sie einen Business Case erstellen, den Ihre Führungskräfte ernst nehmen werden.
Wo sich die tatsächlichen Kosten der PKI verbergen
Ihre PKI-Ausgaben sind wie ein Eisberg. Die sichtbaren Kosten (software , hardware , Personal) sind nur die Spitze. Unter der Wasserlinie verbirgt sich eine weitaus größere Masse an Arbeitsineffizienz, überhöhten Ausgaben für Zertifikate und betrieblichen Reibungsverlusten, die selten in einer einzelnen Haushaltslinie auftauchen.
Infrastruktur
Der Betrieb einer PKI vor Ort bedeutet, dass Zertifizierungsstellen (CA)-Server, hardware (HSMs) sowie die entsprechenden Lizenzen, die all dies miteinander verknüpfen, gewartet werden müssen. Für ein typisches Großunternehmen belaufen sich die Kosten allein für hardware Lizenzen auf etwa 300.000 US-Dollar pro Jahr.
Hinzu kommt der Personalaufwand. Speziell für die PKI zuständige Ingenieure (durchschnittlich zwei pro Unternehmen mit einem Gehalt von jeweils etwa 187.000 US-Dollar) sowie weitere 1,5 IT-Vollzeitkräfte, die PKI-bezogene Aufgaben übernehmen und jeweils etwa 165.000 US-Dollar kosten, erhöhen die Gesamtkosten für die Infrastruktur auf etwa 921.000 US-Dollar pro Jahr. Ein Telekommunikationsunternehmen gab an, 80 bis 100 CA-Server in seiner gesamten Umgebung zu verwalten, was verdeutlicht, wie schnell die Infrastruktur mit steigendem Zertifikatsvolumen anwächst.
Das sind keine ungewöhnlichen Zahlen. Das sind die Kosten, die bei der Nutzung einer veralteten PKI-Lösung anfallen.
Arbeit
Die Infrastrukturkosten sind zumindest vorhersehbar. Bei den Personalkosten unterschätzen Unternehmen ihre PKI-Ausgaben jedoch regelmäßig.
Bedenken Sie, wie viel Zeit die manuelle Verwaltung von Zertifikaten in Anspruch nimmt. Die Bereitstellung eines einzelnen Zertifikats dauert durchschnittlich 90 Minuten. Die Verlängerung eines Zertifikats dauert 25 Minuten. Die Bereitstellung dauert 70 Minuten. Bei einem durchschnittlichen Stundensatz von 75 US-Dollar summieren sich diese Minuten bei Tausenden von Zertifikaten schnell.
Automatisierte Arbeitsabläufe verkürzen diese Zeiten drastisch: Die Bereitstellung dauert nur noch 2 Minuten, die Verlängerung 1 Minute und die Implementierung 15 Minuten. Über einen Zeitraum von drei Jahren beläuft sich der Barwert der eingesparten Arbeitskosten auf beträchtliche Summen: 1,5 Millionen Dollar bei der Bereitstellung, 4,3 Millionen Dollar bei den Verlängerungen und 1,7 Millionen Dollar bei der Implementierung.
Ein Senior Vice President eines großen Bankinstituts drückte es so aus: „Es bringt uns keinen geschäftlichen Nutzen, wenn sich unsere Ingenieure auf die manuelle Bereitstellung und Verwaltung von Zertifikaten in unserer gesamten Umgebung konzentrieren.“
Das sind insgesamt 7,5 Millionen Dollar an Personalkosten, die Unternehmen tragen müssen, nur weil manuelle Prozesse bisher die Norm waren. Mehr dazu in Beitrag 3: Automatisierung des Zertifikatslebenszyklus: So verwalten Sie Zertifikate im Unternehmensmaßstab
Die Prämie für öffentliche Zertifikate
Es gibt noch einen weiteren Kostenfaktor, der selten die Aufmerksamkeit erhält, die er verdient: die Auswahl des Zertifikatstyps. Viele Unternehmen greifen standardmäßig auf teure öffentliche Zertifikate zurück, obwohl in vielen Anwendungsfällen ein privates Zertifikat genauso gut geeignet wäre.
Ein Unternehmensleiter erklärte: „Wir hatten viele Schnittstellen, die öffentliche Zertifikate nutzen und die unsere vertrauenswürdigen Routen intern nutzen könnten, sodass wir diese dann zu wesentlich geringeren Kosten ausstellen können.“
Ein anderer brachte die Chance noch direkter auf den Punkt: „Wenn ich 30 % dessen, was wir heute öffentlich einkaufen, auf private Zertifikate umstellen könnte, könnten wir eine Menge Geld sparen.“
Die genauen Einsparungen variieren je nach Organisation und hängen von der Zusammensetzung der Zertifikate, dem Umfang sowie der bestehenden Infrastruktur ab. Für Unternehmen, die Hunderttausende von Zertifikaten verwalten, bedeutet jedoch bereits die Umstellung eines Teils der öffentlich ausgestellten Zertifikate auf eine private Ausstellung eine erhebliche und wiederkehrende Kostensenkung.
Quantifizierung des ROI der PKI-Modernisierung
Zu erkennen, wo sich Kosten verstecken, ist der erste Schritt. Der zweite Schritt besteht darin, anhand konkreter Zahlen zu ermitteln, wie ein besserer Ansatz aussieht.
Eine unabhängige „Total Economic Impact“-Studie von Forrester untersuchte die finanziellen Ergebnisse von Unternehmen, die ihre PKI mithilfe von Lösungen modernisiert haben, welche gängige Arbeitsabläufe automatisieren, die Infrastruktur konsolidieren und die Transparenz sowie die Governance im Zertifikatsbereich verbessern. Die Ergebnisse liefern überzeugende Argumente.
Die Verbundorganisation
Für die Studie ging Forrester von einer fiktiven Organisation aus, die auf der Grundlage der durchgeführten Interviews modelliert wurde. Das Modell enthält einige Annahmen über diese fiktive Organisation, darunter:
- Das Unternehmen beschäftigt rund 40.000 Mitarbeiter,
- Es stützt sich auf 400.000 Zertifikate,
- Es stellt Zertifikate bereit und verwaltet diese in einer älteren Infrastruktur.
356 % ROI mit einer Amortisationszeit von weniger als sechs Monaten
Die Studie ergab, dass ein fiktives Unternehmen (20 Milliarden US-Dollar Umsatz, 40.000 Mitarbeiter, 400.000 verwaltete Zertifikate) bereits drei Jahre nach der Modernisierung einen risikobereinigten ROI von 356 % erzielte, bei einer Amortisationszeit von weniger als sechs Monaten. Konkret beliefen sich die Gesamtvorteile auf 12,7 Millionen US-Dollar (Barwert) bei Gesamtkosten von 2,8 Millionen US-Dollar, was über einen Zeitraum von drei Jahren einen Nettobarwert von 9,9 Millionen US-Dollar ergab.
Das sind keine theoretischen Prognosen. Es handelt sich um risikobereinigte Zahlen, die auf tatsächlichen Ergebnissen basieren. Mehr dazu in Beitrag 4: PKI-Modernisierung in Monaten statt Jahren: Ein praktischer Leitfaden für die schnelle Umsetzung
Woher die Einsparungen stammen
Die Vorteile in Höhe von 12,7 Millionen Dollar lassen sich in sechs Kategorien unterteilen, die jeweils einen anderen Aspekt der Kostensenkung durch PKI widerspiegeln:
- Infrastrukturkonsolidierung:1,4 Millionen US-Dollar (Ersetzung der veralteten lokalen PKI durch Cloud-basierte Dienste)
- Zertifikatsverlängerungen:4,3 Millionen Dollar (Automatisierung des umsatzstärksten und zeitaufwendigsten Arbeitsablaufs)
- Zertifikatsausstellung:1,5 Millionen Dollar (Reduzierung der Ausstellungszeit um über 95 %)
- Zertifikatsbereitstellung:1,7 Millionen Dollar (Verkürzung der Bereitstellungszeit von 70 Minuten auf 15 Minuten)
- Reduzierung der Vorfälle:3,6 Millionen Dollar (weniger zertifikatsbedingte Ausfälle und schnellere Behebung) Lesen Sie mehr dazu in Beitrag 2: Zertifikatsausfälle sind vermeidbar: So reduzieren Sie PKI-Risiken und vermeiden Ausfallzeiten
- Verbesserung der Sicherheitslage:102.000 US-Dollar (größere Flexibilität bei der Verschlüsselung und bessere Compliance-Bereitschaft)
Die größte Einsparungskategorie, die Zertifikatsverlängerungen, spiegelt das schiere Volumen der Verlängerungsvorgänge im gesamten Zertifikatsbestand eines Unternehmens wider sowie die erhebliche Zeitersparnis, die durch die Automatisierung erzielt wird.
Wie die Investition aussieht
Die Modernisierung ist zwar nicht kostenlos, doch im Verhältnis zum Ertrag ist die Investition überschaubar. Die Forrester-Studie hat für das fiktive Unternehmen folgende Kosten ermittelt:
- Jährliche Gebühren für die SaaS-Plattform:485.000 US-Dollar
- Professionelle Dienstleistungen (Implementierung):53.500 $
- Interne Personalausstattung (2,5 Vollzeitäquivalente bei durchschnittlich 156.000 $):laufende operative Unterstützung
Die Gesamtkosten als Barwert über drei Jahre beliefen sich auf 2,8 Millionen Dollar, was zu der oben genannten Rendite von 356 % führte.
Die Kosten des Nichtstuns steigen
Auch wenn Ihnen Ihre aktuellen PKI-Kosten heute noch überschaubar erscheinen, verschärfen zwei Trends das Problem zusätzlich.
Das Zertifikatsvolumen nimmt zu
Die an der Studie teilnehmenden Unternehmen gaben Zertifikatswachstumsraten von 8 % im ersten Jahr, 10 % im zweiten Jahr und 12 % im dritten Jahr an. Bei diesem Tempo wächst eine Umgebung mit 400.000 Zertifikaten in nur zwei Jahren auf über 475.000 an.
Jedes weitere Zertifikat bedeutet zusätzlichen Aufwand bei der Bereitstellung, Erneuerung und Implementierung. Ohne Automatisierung führt dieses Wachstum direkt zu einem erhöhten Personalbedarf.
Ein Kunde bemerkte dazu: „Der beste Beweis für den Nutzen, den wir aus Keyfactor gezogen haben, Keyfactor die Möglichkeit, die Zertifikatsnutzung mit derselben Anzahl an Ressourcen um das Zehnfache zu steigern.“
47-tägige Gültigkeitsdauer für TLS steht bevor
Das CA/Browser Forum strebt bis 2029 eine Laufzeit von 47 Tagen TLS an – eine Verkürzung gegenüber der bis vor kurzem geltenden Höchstlaufzeit von 398 Tagen, die bereits im März 2026 auf 200 Tage reduziert wurde. Diese Umstellung wird die Häufigkeit der Erneuerung für jedes TLS in Ihrer Umgebung um etwa das Achtfache erhöhen.
Für Unternehmen, die Vertragsverlängerungen noch manuell abwickeln, verwandelt diese Änderung ein Arbeitsproblem in eine Personalnotlage. Bei einem Zeitaufwand von 25 Minuten pro manueller Vertragsverlängerung geht die Rechnung einfach nicht auf.
Ein führender Sicherheitsverantwortlicher im Einzelhandel beschrieb es so: „Die gesamte durch Keyfactor ermöglichte Automatisierung Keyfactor uns dabei helfen, die Transparenz und Automatisierung zu erreichen, die wir benötigen, um diesen Veränderungen in der Branche gerecht zu werden.“
So erstellen Sie Ihren eigenen Business Case für die PKI-Modernisierung
Die oben genannten Daten bilden eine solide Grundlage. Im Folgenden erfahren Sie, wie Sie diese in einen auf Ihr Unternehmen zugeschnittenen Business Case umsetzen können.
Erstellen Sie eine Übersicht über Ihre aktuellen Kostenbasis
Beginnen Sie damit, die Kosten Ihrer PKI-Infrastruktur zu erfassen: CA-Server, HSMs, Lizenzen und spezielles PKI-Personal. Die Forrester-Benchmarks (300.000 US-Dollar für hardware, 921.000 US-Dollar als Basiswert für die gesamte Infrastruktur) bieten nützliche Anhaltspunkte für einen Vergleich. Wenn Ihre Zahlen in diesem Bereich liegen, haben Sie wahrscheinlich eine ähnliche Kostenstruktur.
Die Kosten der manuellen Zertifikatsverwaltung beziffern
Ermitteln Sie die Gesamtzahl Ihrer Zertifikate und wenden Sie dann die Zeitrichtwerte aus der Forrester-Studie an, um Ihren Arbeitsaufwand abzuschätzen:
| Aktion | Manueller Prozess | Automatisierter Prozess | Zeitersparnis |
|---|---|---|---|
| Bereitstellung | 90 Minuten pro Zertifikat | 2 Minuten | 97.8% |
| Verlängerung | 25 Minuten | 1 Minute | 96.0% |
| Einsatz | 70 Minuten | 15 Minuten | 78.6% |
Multiplizieren Sie die Zeitersparnis mit Ihrem internen Stundensatz und dem Zertifikatsvolumen, um den jährlichen Wert der Automatisierung in Ihrem Unternehmen zu berechnen.
Das ROI-Gespräch für die Führungskräfte strukturieren
Die überzeugendsten Business Cases stellen die PKI-Modernisierung als Investition in die betriebliche Effizienz dar und nicht als Sicherheitsposten. Heben Sie zunächst die Amortisationszeit (unter sechs Monaten) und den Nettobarwert (9,9 Millionen Dollar für das fiktive Unternehmen) hervor. Setzen Sie diese Zahlen in Beziehung zu Ihrem eigenen Zertifikatsvolumen und Ihrem Wachstumskurs.
Ein Unternehmensleiter fasste es so zusammen: „Die Rentabilität von Keyfactor unglaublich hoch. Wahrscheinlich liegt sie bei mehreren Millionen Dollar pro Jahr.“
Keyfactor dabei helfen
Die Plattform Keyfactordeckt alle in diesem Beitrag genannten Kostenkategorien ab:
- Ersetzen Sie veraltete PKI-Lösungen durch eine verwaltete, cloudbasierte PKI.
EJBCAKeyfactormacht eine lokale CA-Infrastruktur überflüssig und spart die damit verbundenen Kosten in Höhe von 1,4 Millionen US-Dollar ein, indem die PKI auf ein vollständig verwaltetes SaaS-Modell umgestellt wird. - Automatisieren Sie den Zertifikatslebenszyklus mitKeyfactorCommand.
Reduzieren Sie den Aufwand für Bereitstellung, Verlängerung und Implementierung um über 95 % und erzielen Sie so über den gesamten Zertifikatslebenszyklus hinweg Einsparungen in Höhe von insgesamt 7,5 Millionen US-Dollar. - Verschaffen Sie sich einen Überblick, um Ihre Ausgaben für Zertifikate zu optimieren.
Finden Sie heraus, wo öffentliche Zertifikate durch privat ausgestellte Zertifikate ersetzt werden können, und passen Sie Ihre Zertifikatsstrategie entsprechend an.
Führen Sie den zweiminütigen Test durch, um Ihren ROI abzuschätzen, und erhalten Sie Zugriff auf die vollständige Forrester-Studie.
Haben Sie Fragen zu den Kosten der PKI? Wir haben die Antworten.
Wie hoch sind die Gesamtbetriebskosten (TCO) für den Betrieb einer PKI im eigenen Haus?
In einem typischen Großunternehmen belaufen sich die jährlichen Grundkosten allein für die Infrastruktur – einschließlich hardware, Lizenzen und spezialisiertem Personal – auf etwa 921.000 US-Dollar. Dabei sind die Personalkosten für die manuelle Zertifikatsverwaltung noch nicht berücksichtigt, die über einen Zeitraum von drei Jahren weitere Millionen kosten können.
Welchen ROI können Unternehmen von einer PKI-Modernisierung erwarten?
Eine unabhängige Forrester-Studie ergab, dass Unternehmen, die ihre Systeme mit Keyfactor modernisierten, einen risikobereinigten ROI von 356 %Keyfactor , wobei sich der Gesamtnutzen über einen Zeitraum von drei Jahren auf einen Barwert von 12,7 Millionen US-Dollar belief, während die Gesamtkosten bei 2,8 Millionen US-Dollar lagen.
Wie schnell macht sich die Modernisierung der PKI bezahlt?
Die Forrester-Studie belegte eine Amortisationszeit von weniger als sechs Monaten. Die Kombination aus sofortigen Einsparungen bei den Infrastrukturkosten und einer raschen Senkung der Personalkosten sorgt für schnelle Renditen.
Wo lassen sich die größten Kosteneinsparungen erzielen?
Die Automatisierung der Zertifikatserneuerung sorgt mit einem Barwert von 4,3 Millionen US-Dollar für die größten Einsparungen in einer einzelnen Kategorie, gefolgt von der Reduzierung von Vorfällen (3,6 Millionen US-Dollar), der Automatisierung der Bereitstellung (1,7 Millionen US-Dollar), der Automatisierung der Provisionierung (1,5 Millionen US-Dollar) und der Konsolidierung der Infrastruktur (1,4 Millionen US-Dollar).
Wie wirken sich kürzere Gültigkeitsdauern TLS auf die PKI-Kosten aus?
Das CA/Browser Forum strebt an, die Gültigkeitsdauer TLS bis 2029 von 398 Tagen auf 47 Tage zu verkürzen. Dadurch wird sich die Häufigkeit der Erneuerungen um etwa das Achtfache erhöhen, was eine manuelle Zertifikatsverwaltung auf Unternehmensebene ohne Automatisierung unhaltbar macht.
Was kostet die Modernisierung der PKI?
Laut der Forrester-Studie investierte das fiktive Unternehmen jährlich 485.000 US-Dollar in SaaS-Plattformgebühren, 53.500 US-Dollar in professionelle Dienstleistungen sowie in den laufenden Support durch 2,5 interne Vollzeitkräfte. Die Gesamtkosten über drei Jahre beliefen sich auf 2,8 Millionen US-Dollar (Barwert).
Wie erstelle ich einen Business Case für die Modernisierung der PKI?
Erfassen Sie zunächst die aktuellen Kosten Ihrer PKI-Infrastruktur und die Anzahl der Zertifikate. Wenden Sie die Zeit-Benchmarks von Forrester an (90 Minuten pro manueller Bereitstellung gegenüber 2 Minuten bei automatisierter Bereitstellung), um die Arbeitseinsparungen in Ihrem Umfang abzuschätzen. Stellen Sie die Geschäftseffizienz in den Mittelpunkt des Gesprächs und gehen Sie zunächst auf die Amortisationszeit und den Nettobarwert ein.
Können private Zertifikate öffentliche Zertifikate ersetzen, um Kosten zu sparen?
In vielen Fällen ja. Unternehmen verwenden häufig teure öffentliche Zertifikate für interne Schnittstellen, bei denen ein privates Zertifikat ausreichen würde. Schon die Umstellung eines Teils der öffentlichen Zertifikate auf die private Ausstellung kann je nach Ihrem Zertifikatsmix und -volumen zu erheblichen, wiederkehrenden Kosteneinsparungen führen.
