Public-Key-Infrastruktur (PKI) Unternehmen sollten ihre PKI-Strategie im Blick behalten

Anbieter zum Thema

Fsas Technologies GmbH

FTAPI Software GmbH

PKIs liefern eine wesentliche Grundlage für eine sichere und vertrauenswürdige Geschäftsumgebung des E-Commerce und Internet of Things (IoT). Oftmals verlassen sich IT-Teams auf veraltete und unterschiedliche PKI-Infrastrukturen, die eher Komplexität und Risiken als tragfähige Lösungen schaffen.

Eine Public-Key-Infrastruktur (PKI) hilft dabei, die Identität von Usern, Geräten und Services festzustellen – und so einen kontrollierten Zugriff auf Systeme bzw. Ressourcen sowie den Schutz von Daten als auch die Verantwortlichkeiten bei Transaktionen sicherzustellen. Kein Wunder, dass Geschäftsanwendungen aus dem IoT-Bereich zunehmend auf PKI-Technologien angewiesen sind, um eine hohe Sicherheit zu gewährleisten.

Funktion der Zertifizierungsstellen (CAs)

Um öffentliche Schlüssel mit ihrem zugehörigen User (Eigentümer des privaten Schlüssels) zu verknüpfen, verwenden PKIs digitale Zertifikate. Diese Zertifikate sind Anmeldeinformationen, welche die Überprüfung der Identitäten zwischen Usern in einer Transaktion erleichtern. So wie ein Reisepass die Identität einer Person bezeugt, stellt das digitale Zertifikat die Identität eines Users innerhalb eines Ökosystems fest.

Zertifizierungsstellen (Certificate Authority - CAs) wie beispielsweise 3cert oder Kiwa International Cert bescheinigen die digitalen Anmeldeinformationen, die zur Zertifizierung der Identität von Usern verwendet werden. PKIs unterstützen ebenfalls Identitätsverwaltungsdienste innerhalb als auch über Netzwerke hinweg und unterstützen die Online-Authentifizierung, die dem Secure Socket Layer (SSL) und der Transport Layer Security (TLS) innewohnt. Dadurch soll der Internetverkehr sowie die Signatur von Dokumenten und Transaktionen, die Signierung von Anwendungscodes und die Zeitstempelung geschützt werden.

Risiken einer ungenügenden PKI-Implementierung

Die Implementierung der Verschlüsselung erfordert sowohl Zeit als auch Kosten. Dafür muss das IT-Team definieren, welche Kommunikation bzw. welcher Datenverkehr verschlüsselt werden soll und welche Auswirkungen dies auf die Systeme und User hat, die sie nutzen. Einige Unternehmen sollten beispielsweise auch Verschlüsselungsrichtlinien für IoT-Geräte einführen, die mit ihrem Netzwerk verbunden sind.

Wenn eine PKI-Strategie nicht ordnungsgemäß implementiert oder ausgeführt wird, kann nicht nur die Kommunikation fehlschlagen, sondern es ist vor allem mit erheblichen Risiken zu rechnen. Beispielsweise können digitale Ausfälle, bei denen es sich im Allgemeinen um Fehler im Netzwerk oder bei angeschlossenen Geräten handelt, dazu führen, dass Nachrichten nicht weitergeleitet werden. In diesem Fall ist es eher unwahrscheinlich, dass Daten von Hackern abgefangen wurden.

Eine ungesicherte digitale Identität kann jedoch auch ein ernsteres Problem darstellen. Dies ist dann der Fall, wenn jemand mit einem abgelaufenen Zertifikat sich für einen anderen ausgibt. Ebenso können fehlgeschlagene Audits oder kompromittierte Zertifizierungsstellen zu Datenlecks führen. Um dies zu verhindern, ist es entscheidend, dass einem bestimmten Team die Verantwortung für die Verwaltung der PKI-Infrastruktur übertragen wird, beispielsweise dem IT-Security-Team oder dem Netzwerk-Team.

Mögliche Folgen des Missmanagements

Eine ordnungsgemäße PKI-Implementierung und Schlüsselverwaltung sind für einen reibungslosen und sicheren Datentransfer unerlässlich. In der Folge sind einige Konsequenzen einer ineffektiven PKI-Implementierung skizziert:

• Operative Ineffizienzen: Eine veraltete oder mangelhafte PKI kann zu betrieblichen Ineffizienzen führen. Wenn beispielsweise digitale Zertifikate nicht ordnungsgemäß verwaltet, gewartet oder aktualisiert werden, kann dies zu Ausfallzeiten oder Systemausfällen führen. Dies kann wiederum Produktivitäts- und Umsatzeinbußen hervorrufen.

• Compliance-Probleme: Viele Branchen müssen bestimmte Sicherheitsstandards beachten. Eine unzureichende Nutzung von PKI kann zur Nichteinhaltung dieser Standards führen, was zu Geldstrafen, rechtlichen Verpflichtungen oder Geschäftsverlusten führen kann.

• Datenschutzverletzungen: Wenn die PKI-Zertifizierung nicht den etablierten Standards und Sicherheitspraktiken entspricht, können sensible Daten anfällig für Hacker-Angriffe werden. Cyberkriminelle sind dann in der Lage, persönliche Daten abzufangen und zu stehlen. Dies kann zu Datenpannen, Identitätsdiebstahl, finanziellen Verlusten und Rufschädigung eines Unternehmens führen.

• Vertrauensverlust: PKI baut Vertrauen zwischen Parteien auf, beispielsweise einer Website und Besuchern. Wenn die PKI-Anwendung nicht den Standards entspricht, sind gravierende Vertrauensverluste möglich. User zögern dann vielleicht, persönliche Informationen weiterzugeben oder Transaktionen auf einer Website durchzuführen, die nicht über eine robuste PKI-Infrastruktur verfügt.

• Rechtliche Haftung: Eine kompromittierte PKI-CA oder ein kompromittierter PKI-Server kann auch zu rechtlichen Problemen für ein Unternehmen führen. Kommt es aufgrund einer ineffektiven PKI zu Verstößen gegen sensible Daten, sind rechtliche Schritte oder Schadenersatzforderungen nicht selten die Folge.

Zunehmende Bedeutung von PKIs

Da die Geschäftsmodelle zunehmend von elektronischen Transaktionen und digitalen Dokumenten abhängig sind und immer mehr internetfähige Geräte als IoT mit Unternehmensnetzwerken verbunden werden, ist die Rolle einer PKI nicht mehr auf isolierte Systeme wie sichere E-Mail, Smartcards für den physischen Zugriff oder verschlüsselte Systeme beschränkt.

Von PKIs wird erwartet, dass sie eine größere Anzahl von Anwendungen, Usern und Geräten in komplexen Ökosystemen zuverlässig unterstützen. Und angesichts strengerer staatlicher und branchenspezifischer Vorschriften für die Datensicherheit sind gängige Betriebssysteme und Geschäftsanwendungen mehr denn je auf eine organisatorische PKI angewiesen, um Vertrauen zu gewährleisten.

(ID:49777375)