:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Aufbau und Betrieb einer Unternehmens Public Key Infrastructure Managed PKI oder On Premise Strategie
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Das PKI-Segment ist in vielen Unternehmen seit Jahren etabliert und dynamisches Wachstum wird weiterhin erwartet. Aufgrund wachsender und sich ständig ändernder Bedrohungslage stehen zukünftig mehr Unternehmen vor der Frage, ob sich dauerhaft der Betrieb einer eigenen „privaten“ PKI lohnt und worin sich private von öffentlichen Zertifikaten unterscheiden.
Die Public Key Infrastructure (PKI) ermöglicht als bewährtes Instrument die authentische und vertrauliche Kommunikation von Menschen und Maschinen. Sie stellt Zertifikate aus und repräsentiert den sicheren Vertrauensanker in Unternehmen oder Organisationen. Zertifikate werden für Virtual Private Networks (VPNs) genutzt, sichern Homeoffices ab. Die Replikation von Daten und Dateien zwischen Servern, ein Remote Backup oder die Remote Administration benötigen ebenfalls Schutz durch gesicherte Identitäten, das Internet der Dinge oder kritische Infrastrukturen setzen gleichermaßen auf digitale Zertifikate. Um all diese Systeme zu schützen darf kein Gerät Zugriff haben, solange es nicht durch ein zulässiges Zertifikat die Vertrauenswürdigkeit bewiesen hat.
Öffentliche und private Zertifikate
Private Zertifikate werden meist in internen Netzwerken verwendet und nicht von der Öffentlichkeit genutzt. Die Dienste richten sich somit an eine geschlossene, klar abgegrenzte Nutzergruppe. In diesem Fall reicht es aus, den Vertrauensanker im Unternehmen zu setzen und dort bekannt zu machen. Öffentliche Zertifikate hingegen stellt ein externer Dienstleister aus. Deren Gültigkeit ist jederzeit von Dritten überprüfbar. Bei der Verwendung von öffentlichen Zertifikaten kann die Zertifikatskette von Dritten bis zur Root CA (Certificate Authority) geprüft werden. Das CA Browser Forum gibt Mindestanforderungen für CAs heraus, deren Zertifikate von Webbrowsern als vertrauenswürdig eingestuft werden. Mitglieder des Browser-Forums sind rund 50 Zertifizierungsstellen sowie etwa 8 Browser-Hersteller. Das Zertifizieren einer eigenen (Sub-) CA von einer Public CA ist ein hoher technischer, organisatorischer und finanzieller Aufwand. Der Kreis der Anbieter öffentlicher Zertifikate bleibt folglich überschaubar. Je nach Anbieter, muss man mit unterschiedlichen Kosten für ein Zertifikat rechnen, das über eine Public CA bezogen wird. Zum Teil gibt es SSL-Zertifikate sogar kostenlos. Für Zertifikate höherer Sicherheitsstufen und je nach Prüftiefe der jeweiligen Antragsprozesse fallen deutlich höhere Kosten an. Dazu zählen die Domain-, Organisations- oder Extended Validierung. Öffentliche Zertifikate werden unter anderem zur Absicherung der Kommunikation im Internet mittels SSL/TLS oder auch der E-Mail auf Basis von S/MIME genutzt. Der Einsatz von öffentlichen und privaten Zertifikaten ist dabei keine Frage des Entweder-oder, dienen sie doch unterschiedlichen Zwecken.
Planung und Aufbau einer Unternehmens-PKI
Ist die Entscheidung für eine Unternehmens PKI gefallen, so offerieren die großen Cloud-Anbieter unterschiedliche Optionen. Befindet man sich bereits bei einem Anbieter, profitiert man von abgestimmten Services zur Erzeugung von Zertifikaten für die eigene Cloud-Infrastruktur und erhält dazu maßgeschneiderte Schnittstellen. Mehr Freiheiten und Gestaltungsmöglichkeiten bei der Integration von Zertifikaten in die Unternehmensprozesse bietet jedoch der Einsatz einer dezidierten Unternehmens PKI. Diese kann im eigenen Rechenzentrum („On-Premise“) betrieben oder als Service über spezialisierte Rechenzentrums-Dienstleister und Infrastrukturanbieter genutzt werden.
Die Einführung und der Betrieb einer On-Premise PKI ist dabei eine anspruchsvolle komplexe Aufgabe. Darauf setzen vor allem Unternehmen, die spezielle Sicherheitsanforderungen umsetzen wollen oder erfüllen müssen. Dazu zählen behördliche Auflagen, das Bestücken von IoT-Geräten mit Zertifikaten während der Produktion oder die Umsetzung umfangreicher Services wie im Health Care Bereich. Möglicherweise ist das Unternehmen auch einfach groß genug und verfügt sowohl über die Infrastruktur als auch das erforderliche Fach-Personal, so dass der Betrieb einer eigenen PKI angedacht werden kann. In allen anderen Fällen sollte der Blick jedoch gen Managed PKI gelenkt werden.
Anforderungen an ein Managed PKI Angebot
Eine moderne Managed PKI sollte von einem vertrauenswürdigen Anbieter stammen, exklusiv für den Nutzer eingerichtet werden können und die komplette Vertrauenskette von der Root-CA über die ausstellende Sub-CA abbilden. Jedes ausgestellte private Zertifikat stammt in diesem Fall vom Unternehmen selbst. Skalierbarkeit und der Schutz der Schlüssel nach Stand der Technik sind weitere Anforderungen. Idealerweise sollte man auch öffentliche Zertifikate über eine angebundene Public-CA beziehen können.
Eine benutzerfreundliche Bedienung sowie ein zeitgemäßes Certificate Lifecycle Management (CLM) sind weitere Auswahlkriterien. Denn Unternehmen werden sich zunehmend der Probleme bewusst, die abgelaufene Zertifikate hervorrufen. Ein CLM erleichtert die Einführung, Überwachung und den reibungslosen Betrieb der Zertifikatsprozesse erheblich. Teure Ausfallzeiten durch unbeabsichtigt abgelaufene Zertifikate werden verhindert und somit der Ausfall etwa von Produktionsanlagen oder die fehlende Erreichbarkeit von Homeoffices vermieden. Wenn es um die Überwachung und Verlängerung von vielen Zertifikaten geht, spielen Automatisierungsmöglichkeiten eine sehr wichtige Rolle. Hierfür sollten neben einer REST-Schnittstelle (Representational State Transfer) vor allem standardisierte Schnittstellen, wie ACME (Automatic Certificate Management Environment), EST, CMP (Certificate Management Protocol) genannt werden.
Dies steigert nicht nur die Qualität der Prozesse rund um die Zertifikate, sondern reduziert parallel den kostentreibenden manuellen Aufwand. Mit einem CLM herrscht volle Transparenz über den Status und Verbleib von Zertifikaten. Ein granulares Rechtemanagement, die Unterstützung des Vier-Augen Prinzips, sowie die einfache Verwaltung beliebiger Unternehmensbereiche mit individuellen Policies optimiert zudem die Umsetzung von Compliance Richtlinien im Unternehmen. Ein nicht zu unterschätzender Aspekt beim Betrieb einer PKI ist der persönliche Support und Beratungsbedarf, den Unternehmen in diesem Zusammenhang haben. Selbst bei einer Managed PKI sollte daher der direkte Zugriff auf PKI-Expertise im Blick behalten werden.
Zeit und Kostenaspekte bei der PKI-Planung
Eine private Managed PKI lässt sich mit deutlich geringerem Aufwand und Vorbereitungszeit umsetzen als die On-Premise Lösung. Die vertrauenswürdige Authentifizierung, Verifizierung, Integrität und Verschlüsselung für kritische und sensible Unternehmensprozesse und -anwendungen steht direkt bereit. Unternehmen können sich schneller auf die Absicherung ihrer Unternehmensprozesse konzentrieren und die aufgebaute PKI zügiger nutzen. Denn bei einer Managed PKI entfällt beim Anwender der Aufwand für sichere Konfiguration, Backupkonzepte und Ausfallsicherheit. Zugangskontrollen und Zugriffsrechte sind geregelt, die erforderliche Infrastruktur steht bereit und skaliert mit wachsenden Anforderungen. Darüber hinaus muss kein umfangreiches PKI- und IT Security Know-How oder das entsprechende Fachpersonal aufgebaut werden. Regelmäßige Software- und Security-Updates, sowie Anpassungen an stetig wachsende Krypto-Vorgaben übernimmt der Dienstleister. Der Umgang mit Hardware Security Modulen und das erforderliche Spezialwissen ebenso.
Die Gesamtkosten für eine On-Premise PKI sind wegen der Personal-, Infrastruktur- und Betriebskosten meist deutlich höher als die im Vergleich dazu geringeren Kosten für Softwarelizenzen. Selbst Open Source PKI-Lösungen leisten daher keinen wesentlichen Beitrag zur Reduktion der Gesamtkosten.
Das Szenario entscheidet
Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Für spezielle Anforderungen und je nach Szenario bleibt Unternehmen oder Betreibern kritischer Infrastrukturen und Behörden keine andere Wahl als die Entscheidung für eine On-Premise PKI. Aber gerade im Mittelstand, wo Standardanwendungen umgesetzt und abgesichert werden, bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern, und das bei deutlich niedrigeren Kosten.
Über den Autor: Jürgen Ruf ist Vorstandsvorsitzender MTG AG.
(ID:49046383)
:quality(80)/p7i.vogel.de/wcms/42/81/42816a000f211fd29df0b8f972726191/0109580135.jpeg "IaaS (Infrastructure-as-a-Service) ist eines der drei klassischen Servicemodelle des Cloud-Computings, bei dem Rechenzentrumsinfrastrukturleistungen als Service aus der Cloud genutzt werden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/7b/687b3c0b2e45f37eeba1c78561df90b5/0109580143.jpeg "PaaS (Platform-as-a-Service) ist eines der drei klassischen Servicemodelle des Cloud-Computings, bei dem die Umgebung zur Entwicklung von Anwendungen als Service aus der Cloud kommt. (Bild: gemeinfrei)")