Zertifikatssicherheit im gesamten Unternehmen


PKI/CLM – Warum digitale Zertifikate manuell weder effektiv noch effizient gemanagt werden können
Die Lebensdauer der Zertifikate hat sich, aufgrund stetig gestiegener Sicherheitsanforderungen, immer weiter verringert


Von Andreas Philipp, Business Development Manager, IoT bei Keyfactor

Digitale Zertifikate ermöglichen eine sichere Ende zu Ende-Datenübertragungen zwischen den verschiedenen Kommunikationsendpunkten eines Netzwerks. Das Management der Zertifikate – von der Beantragung, über die Erstellung, bis hin zum Widerruf oder zur Erneuerung – erfolgt in aller Regel manuell. Sehr oft steht dem zuständigen IT-Fachpersonal hierzu nur ein Excel-Sheet zur Verfügung.

Immer mehr Fachkräfte sehen sich deshalb mit der Verwaltung der in ihrem Unternehmen im Einsatz befindlichen digitalen Zertifikate überfordert. Die Anzahl der durchschnittlich in einer Public Key Infrastructure (PKI) befindlichen Zertifikate, sie wächst seit Jahren – nicht selten unkontrolliert. Vielerorts haben selbstsignierte Zertifikate geradezu zu einem "Zertifikatswildwuchs" geführt. Im Grunde verhält es sich so, als ob ein Lagerbestand manuell verwaltet wird und jeder sich – ohne Rückmeldung – einfach etwas herausnimmt oder wieder hineinlegt. Unternehmen beginnen deshalb langsam nun, in Werkzeuge zur Verwaltung und Bearbeitung der PKI und der Zertifikate zu investieren. Doch bleiben die Ergebnisse der Einführung eines solchen Systems, meist hinter den Erwartungen zurück. Die Gründe sind vielfältig:

>> Der technologische Fortschritt – siehe DevOps, IoT, Cloud und Home Office – hat in den vergangenen Jahren zu einem rasanten Anstieg der im Einsatz befindlichen digitalen Zertifikate geführt.

>> Gleichzeitig hat sich die Lebensdauer der Zertifikate, aufgrund stetig gestiegener Sicherheitsanforderungen, immer weiter verringert. Zertifikate, die einstmals über mehrere Jahre genutzt werden konnten, halten heute nur noch 90 Tage und weniger.

>> Dann haben nicht wenige Unternehmen Probleme mit der Inventarisierung. Viele haben keinen umfassenden Überblick über ihre PKI. Selbstsignierte Zertifikate und PKI-Insellösungen sind keine Seltenheit in Unternehmen. Eine transparente Zertifikatslandschaft sieht anders aus.

>> Auch der Prozess der Zertifikatserneuerung stellt für viele PKI-Teams nach wie vor ein Problem dar. Die manuelle Erneuerung von Zertifikaten ist zeitaufwändig, mühsam und fehleranfällig. Insbesondere dann, wenn sie von Mitarbeitern durchgeführt wird, die mit den Eigenheiten von PKIs nicht wirklich vertraut sind.

>> Neben der Erneuerung auslaufender und der Widerrufung kompromittierter Zertifikate geht es beim Zertifikatsmanagement auch darum, PKI-Zertifikate ‚kryptoagil‘ zu machen. In unregelmäßigen Abständen müssen Algorithmen aktualisiert, muss Code überprüft, müssen Zertifikate neu ausgestellt, muss sichergestellt werden, dass sie den richtigen Protokollen und Formaten entsprechen. Schnell und unkompliziert gelingt dies nur, wenn die Zertifikate kryptoagil – eben flexibel – managebar sind. Die Anhebung der Krypto-Agilitätvon Zertifikaten ist aber ein komplexes Unterfangen, das manuell – auch unter Zuhilfenahme einfacher PKI-/CML-Tools – kaum ohne größere Probleme umgesetzt werden kann.

>> Und schließlich übersteigt die Zahl der zu bewältigenden PKI-Aufgaben längst bei weitem die Zahl der zur Verfügung stehenden PKI-Fachleute. Als Ausgleich mögen ihnen Unternehmen nun PKI- und CLM-Tools zur Verfügung stellen. Wirklich helfen tun sie aber meist nur wenig. Denn häufig mangelt es den Teammitgliedern an Erfahrung und dem erforderlichen hochspezialisierten Fachwissen, um diese dann auch wirklich effektiv und effizient zum Einsatz bringen zu können.

Wirklich gebraucht wird etwas anderes: nämlich automatisierte PKI-/CML-Zertifikatserkennungs- und –inventarisierungs-Tools – beispielsweise in Form einer PKI-as-a-Service-Lösung. Mit ihnen lässt sich die Zertifikatssicherheit im gesamten Unternehmen langfristig aufrechterhalten – auch bei begrenzten personellen Ressourcen. Automatisiert können sie die gesamte Zertifikatslandschaft nach aktiven und abgelaufenen Zertifikaten durchsuchen, eine einheitliche Inventarisierung bereitstellen und helfen, diese zentral zu verwalten. Der Status aller erfassten Zertifikate kann so überwacht werden, ein rascher Widerruf im Fall einer Kompromittierung einer CA, eine rechtzeitige Erneuerung im Fall eines Auslaufens zu jeder Zeit gewährleistet werden. Das Risiko zertifikatsbedingter Ausfälle des laufenden Betriebs kann so auf ein absolutes Minimum zurückgefahren werden. Darüber hinaus erleichtern automatisierte PKI-/CLM-Lösungen die Einhaltung von Compliance-Vorgaben und ermöglich das lang ersehnte Zurückdrängen des immer weiter ausufernden Zertifikatswildwuchses. (Keyfactor: ra)

eingetragen: 22.01.25
Newsletterlauf: 09.04.25

Keyfactor: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Hinter den Kulissen der Hacktivisten

    Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.

  • Robuster Disaster-Recovery-Plan erfordert

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.

  • Dem Software-Lieferketten-Risiko begegnen

    In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

Schutz vor Deepfakes gestaltet sich schwierig Prognosen für die OT-Sicherheit in 2025

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen