Das Wachstum der IT-Branche im Zuge der Globalisierung des Geschäfts bedeutete, dass GRENKE neue Standards und Technologien übernehmen musste, sobald diese aufkamen, darunter auch die Verwendung von PKI. Infolgedessen sah sich GRENKE mit einem zunehmend unüberschaubaren Sammelsurium an PKI-Lösungen und Methoden zur Ausstellung von Zertifikaten konfrontiert, um seine IT-Systeme am Laufen zu halten.
KUNDENGESCHICHTE
Keyfactor hilft GRENKE, das Zertifikatsmanagement angesichts des schnellen Wachstums zu rationalisieren
Interview mit Olaf Rohleder, Systemingenieur, GRENKE

DIE HERAUSFORDERUNGEN
GRENKE muss neue Standards übernehmen
Überblick über das Unternehmen
Die GRENKE Gruppe ist ein globaler Finanzierungspartner für kleine und mittelständische Unternehmen. Als One-Stop-Shop für Kunden reicht das Angebot von GRENKE vom flexiblen Small-Ticket-Leasing bis zu bedarfsgerechten Bankprodukten. Eine schnelle und unkomplizierte Abwicklung sowie der persönliche Kontakt zu Kunden und Partnern stehen im Mittelpunkt der Aktivitäten von GRENKE. Die 1978 in Baden-Baden gegründete Gruppe ist in mehr als 30 Ländern tätig und beschäftigt weltweit rund 2.100 Mitarbeiter (gemessen in Vollzeitäquivalenten).
Herausforderungen
Zu viele verschiedene Zertifizierungsstellen und Vorlagen
Zu Beginn der Computerrevolution, im Jahr 1978, wurde GRENKE in Baden-Baden, Deutschland, gegründet. Die Idee dahinter: Kleinen und mittleren Unternehmen das Leasing von Bürogeräten bereits ab einem Volumen von 500 Euro zu ermöglichen (Small-Ticket-Leasing). Mit dem Wachstum des Unternehmens und der Entwicklung der Informationstechnologie wurde die Palette der Geräte, die Unternehmen durch Leasing finanzieren können, erweitert. Heute bietet GRENKE ein breites Portfolio an Wirtschaftsgütern an, das von IT über medizinische Geräte bis hin zu Objekten der Green Economy wie Wallboxen, Photovoltaikanlagen und E-Bikes reicht - und ist als globales Unternehmen in mehr als 30 Ländern weltweit tätig.
Mit dem Wachstum der IT-Branche und der Globalisierung des Geschäfts musste das Unternehmen neue Standards und Technologien übernehmen, darunter auch den Einsatz von PKI. Infolgedessen sah sich GRENKE mit einem zunehmend unüberschaubaren Sammelsurium an PKI-Lösungen und Methoden zur Ausstellung von Zertifikaten konfrontiert, um seine IT-Systeme am Laufen zu halten.
"Es war ziemlich chaotisch", sagt Olaf Rohleder, Systems Engineer bei GRENKE, der Anfang 2020 die Aufsicht über die PKI und das Zertifikatsmanagement des Unternehmens übernahm. "Wir hatten 3 verschiedene PKI-Systeme und etwa 70 verschiedene Zertifikatsvorlagen. Zu diesem Zeitpunkt hatten wir etwa 60 Ausfälle, weil unbekannte oder nicht verfolgte Zertifikate abliefen und wir es erst merkten, wenn die Systeme ausfielen." Der Bedarf war dringend. Für interne Zertifikate musste Rohleder die Microsoft Management Console für die Zertifikatsverwaltung verwenden, das Zertifikat anfordern, es als PFX-Datei exportieren und dann an die zuständige Person senden.
"Für Zertifikate von einer öffentlichen Zertifizierungsstelle wurden CSRs [Certificate Signing Requests] auf die gleiche Weise erstellt, aber dann zu einem Zertifikatsanbieter hochgeladen, um das Zertifikat schließlich zu erhalten", sagte er. Es war ein sehr manueller Prozess, der mindestens 30 bis 45 Minuten pro öffentlichem Zertifikat erforderte, und er hatte 10 bis 15 pro Woche zu bearbeiten. In der Zwischenzeit hatte das Unternehmen im ersten Jahr seiner Tätigkeit etwa 60 Ausfälle einiger Dienste aufgrund abgelaufener Zertifikate zu verzeichnen.
Lösung
Konsolidierte und gestraffte PKI mit nur einer internen PKI und einer öffentlichen CA
GRENKE wählte Keyfactor als Lösung für sein Zertifikatsmanagement. Der erste Schritt von Rohleder bestand darin, alle Zertifikate zu identifizieren und sie den Teams für die einzelnen Geschäftsbereiche des Unternehmens zuzuweisen. Der nächste Schritt bestand darin, die veralteten Online-Root-CAs von GRENKE zu ersetzen. "Ich habe die Microsoft 2008 R2 CA ziemlich schnell abgeschaltet und entfernt. Aber die 2012 CA war unsere wichtigste PKI CA. Wir sahen, dass das Zertifikat nur noch etwa 18 Monate gültig war, und ich sagte: 'Nein, ich werde dieses Zertifikat nicht verlängern. Ich werde eine neue, saubere CA-Infrastruktur einrichten."
[Jetzt machen die Benutzer] einen Großteil der Arbeit selbst, und ich habe mehr Zeit, neue Möglichkeiten für sie zu schaffen, einschließlich Linux-Servern. Vor über einem Jahr wäre ich dazu nicht in der Lage gewesen
Das hätte ich vor einem Jahr nicht gekonnt, selbst wenn ich die technischen Möglichkeiten gehabt hätte, denn es blieb einfach nicht genug Zeit, um Dinge auszuprobieren.
Olaf Rohleder, Systemingenieur, GRENKE
Rohleder und sein Team richteten eine neue Offline-Root-CA und zwei ausstellende CAs ein. Alle automatisch ausgestellten Zertifikate, z. B. für Computer, Remote-Desktops und Windows Remote Management, werden von einer einzigen CA ausgestellt. "Diejenigen, die wir verwalten, wie z. B. Web-Service-Zertifikate oder Code Signing-Zertifikate", sagte er. "Wir stellen diese Zertifikate von unserer verwalteten ausstellenden CA aus, auf die wir mit Keyfactor zugreifen [und] unseren Mitarbeitern ermöglichen, Zertifikate zu erhalten."
Jetzt hat das Unternehmen eine Reihe von selbst programmierten Anwendungen, die verschiedene Dienste nutzen und jeweils ein Zertifikat erfordern. Für einige der Entwickler und Administratoren gibt es Code-Signatur-Zertifikate, die Rohleders Team erstellen kann.
Derzeit sind etwa 60 Personen für die Nutzung von Keyfactor geschult. Sie alle haben Zugang zum Self-Service, mit den erforderlichen Berechtigungen. Rohleder bietet zwar immer noch etwas Unterstützung an, weil es Teams gibt, die nur ein- oder zweimal im Jahr Zertifikate ausstellen, "aber im Prinzip kann sich jetzt jeder Benutzer selbst ein Web-Service-Zertifikat besorgen, wenn er eines braucht. Und wenn der Server, auf dem es bereitgestellt werden soll, bereits zu Keyfactor hinzugefügt ist, kann er es auch automatisch bereitstellen. Das hat unseren Teams geholfen, mindestens 50 % schneller zu arbeiten." Infolgedessen beträgt die durchschnittliche Zeit für ein internes Zertifikat in der Regel weniger als fünf Minuten, für ein öffentliches Zertifikat nur etwas mehr.
Auswirkungen auf die Wirtschaft
Konsolidierte Verwaltung von über 25.000 aktiven Zertifikaten und Positionierung des Unternehmens für weitere Expansion
Das Unternehmen hat über 25.000 aktive Zertifikate. Jetzt können die Inhaber von Anwendungen ihre eigenen Zertifikate selbst verwalten, und die Konfiguration nimmt nur 5 Minuten in Anspruch. Außerdem ist das Unternehmen für eine unbegrenzte Expansion gerüstet, da es seinen Finanzdienstleistungssektor weiter ausbaut. Während es früher Probleme hatte, die vorhandenen Zertifikate zu verwalten, kann es jetzt problemlos den Überblick über den alten Zertifikatspool behalten und hat die Bandbreite für eine unbegrenzte Erweiterung.
Eliminierte Ausfälle durch Automatisierung
Im ersten Jahr, in dem Rohleder die PKI- und CA-Infrastruktur des Unternehmens in Ordnung bringen sollte, hatte das Unternehmen 60 Ausfälle zu verzeichnen. Nachdem sich das Unternehmen für die Lösung von Keyfactorentschieden hatte, gab es nur noch drei Ausfälle - und die waren auf menschliches Versagen und übersehene Zertifikate zurückzuführen. Seitdem diese Fehler behoben wurden, gab es keinen einzigen Ausfall mehr. Durch eine Kombination aus Ablaufwarnungen, automatisierten Verlängerungsprozessen und der Schulung von IT-Mitarbeitern in den verschiedenen Geschäftsbereichen konnten menschliche Fehler effektiv eliminiert werden.
Verbesserte Produktivität durch Self-Service-Workflows
Rohleder legte großen Wert auf Schulungen, um personelle Engpässe zu beseitigen. Die Schulung war recht einfach, zumal die meisten Zertifikate auf die gleiche Weise funktionieren, so dass er Zeit für die CAs hat, die mehr Aufmerksamkeit erfordern. "Wir sind nicht vollständig automatisiert, sondern haben von Anfang an mit Keyfactor als Selbstbedienungstool gearbeitet", so Rohleder. "Jetzt haben alle unsere Anwendungseigentümer Zugriff auf Keyfactor mit den erforderlichen Berechtigungen. Sie erledigen ihre Zertifikatsregistrierungen ohne Eingreifen."



Machen Sie den
nächsten Schritt
Erfahren Sie, wie wir Ihnen helfen können, digitales
Vertrauen mit einer hoch skalierbaren, zuverlässigen PKI-Lösung