Unternehmen jeder Größe stehen in einem Spannungsfeld zwischen dem Bedarf an neuen Anwendungen und Daten und der Notwendigkeit, ihr Unternehmen und ihre Kunden zu schützen. Wenn Sie ein IT- oder Sicherheitsexperte sind, wissen Sie das nur zu gut. Sie befinden sich auf dem Schlachtfeld und sind täglich mit diesem Druck konfrontiert.
Die explosionsartige Zunahme der Konnektivität zwischen Nutzern, Geräten und Anwendungen macht es immer schwieriger, mit dem Alltag Schritt zu halten, geschweige denn voranzukommen. Was früher als umfassende Abdeckung galt, reicht heute gerade noch aus, um das Licht am Laufen zu halten.
Die Public-Key-Infrastruktur (PKI) ist zweifellos ein zentraler Baustein in der IT, aber in der neuen Cybersicherheitslandschaft spielt sie eine noch wichtigere Rolle. Einst als Backend-Technologie zur Absicherung von HTTPS-geschützten Websites und Anwendungen betrachtet, wird PKI nun zur Absicherung und Aktivierung neuer Initiativen an der Spitze der digitalen Transformation eingesetzt.
Die Entwicklung der Public Key Infrastructure (PKI)
Wie sind wir hierher gekommen? PKI ist nichts Neues, aber sie hat nicht immer so ausgesehen, wie sie heute aussieht. In einem früheren Blog hat unser CTO Ted Shorter die Entwicklung von PKI in drei verschiedenen Phasen beschrieben:
- Internet-PKI: In den Anfängen des Internets benötigten die Unternehmen zur Absicherung ihrer öffentlich zugänglichen Websites und Anwendungen Zertifikate, denen sie weitgehend vertrauen konnten. Digitale Zertifikate wurden zu hohen Kosten von einer begrenzten Anzahl von öffentlichen Zertifizierungsstellen erworben.
- Unternehmens-PKI: Mit dem Wachstum der Unternehmensnetzwerke stieg der Bedarf, Benutzergeräte, Netzwerkgeräte, Wi-Fi und VPN-Zugang mit Zertifikaten zu sichern, denen außerhalb des Unternehmens nicht vertraut werden muss. Die Einrichtung einer privaten PKI ermöglichte eine bessere Kontrolle über diese Zertifikate und beseitigte die Kosten pro Zertifikat, die beim Kauf bei einer öffentlichen Zertifizierungsstelle anfallen.
- PKI der nächsten Generation: Heute ist alles und jeder vernetzt. Die Einführung der Cloud, IoT und mobiler Geräte hat die Technologielandschaft dramatisch verändert. Die hochgradig skalierbare und bewährte PKI ist zum De-facto-Standard für die Sicherung digitaler Identitäten in dieser neuen Umgebung geworden.
Was hat sich geändert?
Mit jeder Generation ist die Technologie vernetzter, mobiler und schneller geworden. Die Bereitstellung einer PKI vor 10 Jahren bedeutete eine völlig andere Reihe von Anwendungsfällen, Herausforderungen und Standards als die, mit denen Unternehmen heute konfrontiert sind. Hier sind die wichtigsten Auswirkungen auf die heutige Enterprise PKI:
- Einführung von IoT, Cloud & DevOps. Immer mehr Anwendungen erfordern den Einsatz von Verschlüsselung und Authentifizierung, aber in vielen Fällen sind die bestehenden PKI-Implementierungen für diese Aufgabe nicht gerüstet. Laut der 2019 Global PKI and IoT Trends Study geben 56 % der Unternehmen an, dass ihre bestehende PKI nicht in der Lage ist, neue Anwendungen zu unterstützen.
- Rasantes Wachstum bei digitalen Zertifikaten. Es versteht sich von selbst, dass die Anzahl der Schlüssel und digitalen Zertifikate, die in Unternehmen verwendet werden, exponentiell gestiegen ist, was es noch schwieriger macht, nachzuvollziehen, wie viele davon ausgestellt wurden und wo sie sich in Ihrer Infrastruktur befinden. Ohne die richtigen Tools verursachen Ausfälle aufgrund abgelaufener Zertifikate erhebliche Ausfallzeiten und Sicherheitsrisiken für das Unternehmen.
- Unzusammenhängende "DIY"-PKI. Viel zu oft wissen Unternehmen nicht einmal, wie viele CAs in ihrer Umgebung Zertifikate ausstellen. Mehrere "DIY"-Zertifizierungsstellen werden für verschiedene Anwendungsfälle implementiert, ohne dass das Sicherheitsteam einen Überblick darüber hat. Anstelle einer dedizierten, gut strukturierten PKI schaffen diese Ad-hoc-Zertifizierungsstellen eine unzusammenhängende und offen gesagt chaotische Umgebung, die schwer zu bereinigen sein kann.
- Unzureichende Qualifikationen und Ressourcen. In großen Unternehmen gab es früher ein spezielles Team, das für alle PKI-Fragen zuständig war, aber im Laufe der Zeit wurde diese Aufgabe auf das IT- oder Sicherheitsteam übertragen. Die Sicherheitsexperten sind zwar sachkundig, verfügen aber über Dutzende von Tools und Anwendungen, die sie außerhalb der PKI einsetzen können. Ohne konstante Sorgfalt sinkt die Integrität der PKI jedoch unweigerlich unter ein akzeptables Serviceniveau. Im besten Fall führt dies zu betrieblichen Problemen. Im schlimmsten Fall muss die PKI von Grund auf neu aufgebaut werden.
- Sich entwickelnde Krypto-Standards. Jedes Zertifikat läuft ab, jeder Algorithmus entwickelt sich weiter, und mit den jüngsten Fortschritten im Quantencomputing werden die Risiken noch größer. Die Notwendigkeit, sich schnell anzupassen und Ihre PKI auf die Post-Quanten-Ära vorzubereiten, war noch nie so wichtig wie heute.
Warum Legacy PKI nicht funktioniert
Was ist eine Legacy-PKI? Auf der höchsten Ebene handelt es sich in der Regel um eine Mischung aus Lösungen, die von der Zertifizierungsstelle bereitgestellte Tools, Tabellenkalkulationen und benutzerdefinierte Skripte sowie andere selbst entwickelte Lösungen umfassen können. Dieser Ansatz war in der Vergangenheit die beste verfügbare Option, aber heute, wo die Anzahl der Zertifikate Zehn- oder sogar Hunderttausende erreicht, ist er völlig unzureichend.
Bei älteren PKI-Implementierungen sind Unternehmen in einem reaktiven Modus gefangen, in dem verschiedene Abteilungen (z. B. DevOps, Netzwerkingenieure, AD-Administratoren) CAs für ihre eigenen Anwendungsfälle ohne jegliche Aufsicht oder Kontrolle implementieren und Sicherheitsteams ständig auf der Suche nach abgelaufenen oder nicht konformen Zertifikaten sind, um störende Ausfälle zu verhindern.
Da zertifikatsbezogene Verstöße und Ausfälle weiterhin die Produktivität stagnieren lassen und das Unternehmen gefährden, suchen IT- und Sicherheitsteams nach einem neuen Ansatz, der die großen Lücken schließt, die ihre PKI in der Vergangenheit hinterlassen hat.
Der Bedarf an neuen PKI-Best-Practices
Gartner stellt fest, dass "technische Fachleute die Wahrnehmung - und den Einsatz - von PKI verändern müssen, um ein automatisiertes System für PKI zu etablieren." Beim Übergang zur nächsten PKI-Generation müssen sich die Unternehmen weiterentwickeln und anpassen.
Die richtige Umsetzung erfordert Investitionen in die Infrastruktur, das Personal und die laufende betriebliche Unterstützung, aber die Vorteile einer robusten und zuverlässigen PKI sind von unschätzbarem Wert. Laden Sie unser Whitepaper herunter, um zu erfahren, was für den Aufbau einer PKI erforderlich ist, und um Ihren Weg zum Erfolg zu beginnen. Außerdem erfahren Sie, wie Keyfactor Command alle Vorteile einer PKI nutzen kann, ohne dass die Kosten oder die Komplexität einer eigenen PKI anfallen.