Was ist eine Vertrauensinfrastruktur?

Jede digitale Interaktion hängt von etwas ab, das die meisten von uns nicht sehen. Die Websites, die wir besuchen, die Apps, die wir nutzen, die Zahlungen, die abgewickelt werden, die Updates, die installiert werden. All das funktioniert, weil hinter den Kulissen das Vertrauen zwischen den Maschinen überprüft wird, die dies ermöglichen.

Maschinenidentitäten und Kryptografie machen all dies erst möglich. Signaturen verifizieren Code und Dokumente. Algorithmen verschlüsseln Daten. Protokolle stellen Vertrauen her. Zertifikate belegen die Authentizität von Geräten, Servern und Maschinen. Wenn das funktioniert, läuft das Geschäft. Wenn es versagt, versagen auch die darauf basierenden Systeme und Sicherheitsvorkehrungen.

Das ist die Vertrauensinfrastruktur. Sie bildet das kryptografische Fundament, auf dem die digitale Wirtschaft basiert. Und wie bei jeder anderen kritischen Infrastruktur – Strom, Wasser, Energie – denken die meisten Menschen erst dann darüber nach, wenn sie ausfällt.

Die Komponenten der Vertrauensinfrastruktur

Was macht also die Vertrauensinfrastruktur aus? Im Kern besteht sie aus kryptografischen Identitäten, Ressourcen und Systemen, die alle zusammenwirken, um kontinuierlich Vertrauen aufzubauen und zu überprüfen.

Vertrauenssysteme & Anker

• Öffentliche und private Zertifizierungsstellen (CAs) stellen Zertifikate in großem Umfang aus und validieren diese.
• Hardware (HSMs), Trusted Platform Modules (TPMs) und Secure Enclaves generieren und speichern sensible Daten.
• Systeme zur Verwaltung des Zertifikatslebenszyklus regeln, wie digitale Zertifikate verwaltet, erneuert, widerrufen und geprüft werden.
• Schlüsselverwaltungssysteme generieren, speichern und rotieren kryptografische Schlüssel.

Identitäten & Vermögenswerte

• Schlüssel und Zertifikate dienen zur Identitätsprüfung von Rechnern, Diensten, Geräten und KI-Agenten.
• Algorithmen und Protokolle sichern die Kommunikation und schaffen Vertrauen.
• Kryptografische Bibliotheken ermöglichen es Entwicklern, Anwendungen mit Sicherheitsfunktionen auszustatten, ohne komplexe Algorithmen von Grund auf neu entwickeln zu müssen.
• Digitale Signaturen gewährleisten, dass software, Firmware, Artefakte und Transaktionen authentisch sind und nicht manipuliert wurden.

Die Geschichte der Vertrauensinfrastruktur

Seit Jahrzehnten sind Maschinenidentitäten und Kryptografie fragmentiert und weitgehend unkontrolliert. Heute sind sie eine kritische Infrastruktur, die in jeder Umgebung aktiv überwacht, koordiniert und gesteuert werden muss.

Das Internetzeitalter

Einmal einstellen und fertig

In den 2000er Jahren kamen das Internet, mobile Geräte und die Cloud auf. Unternehmen richteten ihre ersten Public-Key-Infrastrukturen (PKI) ein und stellten Zertifikate aus, um ihre Unternehmensnetzwerke zu sichern.

Die Gültigkeitsdauer von Zertifikaten war unbegrenzt. Verschlüsselungsalgorithmen blieben jahrelang im Einsatz. Als die Rechner schneller wurden, erhöhten die Sicherheitsteams einfach die Schlüssellänge und machten weiter wie bisher.

Es war die Zeit, in der man nach dem Motto handelte : Was nicht kaputt ist, muss man nicht reparieren. Das waren technische Details, die man den Spezialisten überließ.

Das Zeitalter der Maschinen

Der Wilde Westen

In den 2010er Jahren IoT Cloud und IoT den Mittelpunkt. Server, Container und Apps verbreiteten sich rasant. Jede neue Umgebung brachte neue Anforderungen an die Vertrauenswürdigkeit mit sich. Die Tools wurden immer uneinheitlicher. Die Zuständigkeiten wurden unklar.

Dann traten Risse auf. SHA-1 versagte. Heartbleed legte Schlüssel in einem bisher nie dagewesenen Ausmaß offen. Die Branche reagierte – die Gültigkeitsdauer vonTLS wurde zunächst auf fünf Jahre begrenzt, dann auf drei, zwei und schließlich auf ein Jahr. Die Teams hatten Mühe, Schritt zu halten, und abgelaufene Zertifikate führten zum Ausfall kritischer Dienste, von Azure über LinkedIn bis hin zu Spotify.

Was einst ein unscheinbares Konfigurationsdetail war, tauchte plötzlich in Nachanalysen (und Schlagzeilen) auf. Das rasante Wachstum der Maschinenanzahl in hybriden Umgebungen zwang Unternehmen dazu, neue Teamstrukturen zu etablieren und schwierige Entscheidungen hinsichtlich der eingesetzten Tools zu treffen.

Das Zeitalter der Automatisierung

Automatisieren oder scheitern

Die KI ist da. Agenten rufen APIs auf und führen Aktionen aus. Statische Anmeldedaten und API-Schlüssel sind dafür nicht ausgelegt. Identitätsmanagement in Echtzeit wird entscheidend, und die Nachfrage nach Zertifikaten steigt erneut sprunghaft an. 

Unterdessen verkürzt sich die Gültigkeitsdauer von TLS bis 2029 erneut von einem Jahr auf nur noch 47 Tage. Es entstehen neue postquantenresistente Algorithmen, und Unternehmen werden dringend dazu aufgefordert, mit der Umstellung zu beginnen. Trotz dieser Veränderungen verlassen sich viele Teams nach wie vor auf ein Flickwerk aus Tools und manuellen Prozessen, die unter Druck versagen.

Entweder automatisieren oder aufgeben. 

Quantenzeitalter

Ein neues Paradigma 

Die Quanteninformatik schreitet rasch voran. Gartner geht davon aus, dass die heutige asymmetrische Kryptografie bis 2029 nicht mehr sicher sein wird und bis 2034 vollständig geknackt werden kann. Die Realität sieht jedoch noch beunruhigender aus: Der „Q-Day“ ist kein bestimmtes Datum. Es ist die langsame Anhäufung von Risiken, die bereits im Gange ist.

Die Risiken nach dem Motto „Erst erbeuten, dann entschlüsseln“ sind heute Realität. Angreifer gehen still und leise vor … sie horten Daten mit langer Haltbarkeit – man denke an Gesundheitsdaten, Finanzunterlagen oder geistiges Eigentum – und warten darauf, diese entschlüsseln zu können. Der Angriff ist praktisch bereits im Gange.

Eine neue Denkweise

Vertrauensinfrastruktur

In den letzten zwei Jahrzehnten wurden kryptografische Identitäten, Vermögenswerte und Systeme meist wie die Wasserleitungen behandelt: wichtig, aber weitgehend unsichtbar. Sie wurden der Verantwortung der wenigen überlassen, die es wagten, sich mit Kryptografie zu beschäftigen. Diese Ära ist vorbei.

Drei disruptive Trends treffen gleichzeitig aufeinander:

• Die Angriffsfläche wächst rasant: KI-Agenten, Workloads und kurzlebige Dienste sorgen derzeit für ein rasantes Wachstum an kryptografischen Identitäten und Assets – eine Angriffsfläche, wie wir sie bisher noch nicht gesehen haben.
• Die Gültigkeitsdauer von Zertifikaten verkürzt sich: Die Gültigkeitsdauer kryptografischer Identitäten auf umsatzgenerierenden Websites und in Apps wird bis 2029 von einem Jahr auf nur noch 47 Tage verkürzt, was für die ohnehin schon überlasteten Teams eine Zwölffachung der Erneuerungsaufwände bedeutet.
• Die Welt der Kryptografie befindet sich im Umbruch: Die Umstellung auf Post-Quanten-Technologie ist offiziell in Gang gekommen – der größte Wandel seit über einer Generation –, und sie wird in weniger als fünf Jahren vollzogen sein.

Keine Ticket-Warteschlange und keine Tabellenkalkulation kann diese Herausforderungen bewältigen. Kryptografie ist nicht nur eine Art „Rohrleitung“, die alle paar Jahre überprüft werden muss, sondern eine kritische Infrastruktur, die klare Zuständigkeiten, Echtzeit-Transparenz, festgelegte Service-Levels und Automatisierung als Standard – und nicht nur als Wunschvorstellung – erfordert.

Die Kryptografie bekommt ein neues Zuhause

Viele Organisationen vollziehen parallel dazu eine weitere Veränderung: Die Kryptografie findet eine neue Heimat. 

Ein Cryptographic Center of Excellence (CCoE) kann verschiedene Formen annehmen. In manchen Unternehmen handelt es sich um eine eigene Abteilung. In anderen ist es eine funktionsübergreifende Gruppe. Unabhängig von der Struktur ist das Ziel dasselbe: Leitlinien und Richtlinien für Teams zu erstellen, Entscheidungen hinsichtlich Architektur und Tools zu lenken, die Governance voranzutreiben und Veränderungen zu koordinieren.

Das ist keine reine Theorie. Gartner weist schon seit einiger Zeit in diese Richtung und empfiehlt Unternehmen, ein CCoE einzurichten und schon jetzt Krypto-Agilität zu ermöglichen. Tatsächlich geht das Unternehmen davon aus, dass Unternehmen, die bis 2028 über ein CCoE verfügen, im Vergleich zu solchen ohne CCoE 50 % der Kosten für die PQC-Migration einsparen werden.

Die Steuerungsebene für die Vertrauensinfrastruktur

Selbst mit dem richtigen Team kann ein CCoE nur so gut funktionieren, wie es die ihm zugrunde liegenden Systeme zulassen. Und genau hier stoßen die meisten Unternehmen an ihre Grenzen.

Zersplitterte Tools sind nicht in der Lage, eine Migration zu koordinieren. Tabellenkalkulationen können dynamische Ressourcen nicht verwalten. Ticket-Warteschlangen können mit kurzlebigen Identitäten, die nur wenige Stunden oder sogar Minuten bestehen, nicht Schritt halten. Jedes Team hat seinen eigenen Teil des Problems im Blick, und niemand hat den Überblick über das Gesamtbild.

Was benötigt wird, ist eine Steuerungsebene für die Vertrauensinfrastruktur: eine einheitliche Ebene, die alle kryptografischen Komponenten zusammenführt, auf die sich das Unternehmen stützt. Eine echte Steuerungsebene bietet vier wesentliche Vorteile:

• Transparenz und Kontext. Ein ständig aktualisierter Überblick über alle Zertifikate, Schlüssel, Algorithmen, Zertifizierungsstellen und kryptografischen Abhängigkeiten in der gesamten Umgebung sowie deren Kontext, um Schwachstellen zu erkennen und zu beheben.
• Richtlinien und Governance. Zentralisierte Richtlinien, die festlegen, was zulässig ist, was ausläuft, was ungenutzt bleibt und wem es gehört. Eine Durchsetzung, die nicht davon abhängt, dass ein Mensch daran denkt, dies zu überprüfen.
• Automatisierung und Orchestrierung. Lebenszyklusmanagement für kryptografische Identitäten und Ressourcen, integriert in die Systeme, die diese nutzen. 
• Flexibilität und Widerstandsfähigkeit. Die Fähigkeit, sich an Veränderungen anzupassen, ohne jede Anwendung neu zu entwickeln oder den Betrieb zu stören. Dies ist die Grundlage für die Migration in die Post-Quantum-Ära (und für alles, was danach kommt).

Mit anderen Worten: Der Wandel, den die IT vor Jahren in den Bereichen Rechenleistung, Netzwerke und Identitätsmanagement vollzogen hat, vollzieht sich nun auch in der Kryptografie selbst. Von verstreuten Konfigurationen hin zu einer verwalteten Infrastruktur. Von Einzeltools hin zu einer koordinierten Steuerungsebene. Von reaktivem Feuerwehreinsatz hin zu gezielter Ausfallsicherheit. `

Das Fazit

Die Vertrauensinfrastruktur war früher unsichtbar, weil sie sich nicht veränderte. Es handelte sich um eine Konfigurationsentscheidung, die man einmal traf und nur selten überprühte. Heute verändert sie sich ständig. Zertifikate laufen innerhalb weniger Tage ab, Identitäten entstehen innerhalb von Sekunden, Algorithmen haben eine begrenzte Lebensdauer, und KI-Agenten verhandeln Vertrauensbeziehungen in einem Ausmaß, das Menschen nicht manuell überwachen können.

Die Unternehmen, die die nächsten fünf Jahre unbeschadet überstehen, werden diejenigen sein, die Kryptografie nicht länger als nebensächliches Detail betrachten, sondern als das, was sie tatsächlich ist: eine kritische Infrastruktur für die digitale Wirtschaft. Sie werden einen klar definierten Verantwortlichen haben. Sie werden über eine Steuerungsebene verfügen. Bei ihnen wird die Routine von der Automatisierung übernommen, während sich Menschen um die Strategie kümmern.

Die Zukunft beginnt nicht mit Quanteninformatik oder KI. Sie beginnt mit dem Vertrauen, das wir gerade jetzt aufbauen.

Haben Sie Fragen zur Vertrauensinfrastruktur?
Wir haben die Antworten.